Quasi aucun routeur WiFi vendu aux États-Unis n’est assemblé sur le sol américain. Ça n’a pas empêché la FCC de tous les inscrire sur sa liste noire ce 23 mars 2026, au motif qu’ils représentent « un risque inacceptable pour la sécurité nationale ».
Le même scénario que pour les drones
La Commission fédérale des communications (FCC) a mis à jour sa « Covered List », la liste des équipements de télécommunications jugés dangereux pour la sécurité du pays. Jusqu’ici, on y trouvait Huawei, ZTE, Hikvision, Dahua et Kaspersky. Depuis ce lundi, une nouvelle entrée vient s’ajouter : « les routeurs grand public fabriqués dans un pays étranger ».
La formulation est volontairement large. Tous les routeurs WiFi destinés à un usage résidentiel, tels que définis par la norme NIST IR 8425A (installables par le client, usage domestique), sont concernés. Concrètement, cela couvre l’écrasante majorité du marché américain : TP-Link, Asus, Netgear, Linksys… même les marques américaines font assembler leurs produits en Chine, à Taïwan ou au Vietnam.
Le mécanisme est identique à celui appliqué aux drones étrangers en décembre 2025. Un appareil inscrit sur la Covered List ne peut plus recevoir d’autorisation radio de la FCC, ce qui revient à en interdire l’importation et la commercialisation aux États-Unis. Pas besoin de voter une loi au Congrès : la FCC agit sur directive d’un comité interministériel de sécurité nationale, comme le prévoit le Secure Networks Act de 2019.
Ce qui change (et ce qui ne change pas) pour les consommateurs
Premier réflexe légitime : faut-il débrancher son routeur ? Non. Les modèles déjà autorisés par la FCC conservent leur certification. Ils peuvent continuer à être importés, vendus et utilisés sans restriction. La FAQ officielle de la FCC est limpide sur ce point : « Les consommateurs utilisant actuellement des routeurs couverts n’ont rien à faire. »
C’est sur les futurs modèles que tout se joue. Aucun nouveau routeur fabriqué à l’étranger ne recevra d’autorisation FCC, sauf si son fabricant obtient une « approbation conditionnelle » délivrée par le Département de la Guerre (DoW) ou le Département de la Sécurité intérieure (DHS). Pour l’obtenir, il faut fournir la nomenclature complète des composants avec leur pays d’origine, détailler qui fournit le logiciel et les mises à jour, et surtout présenter un plan concret de relocalisation de la production aux États-Unis.
Autrement dit, la FCC utilise l’autorisation radio comme levier pour forcer le rapatriement industriel. La liste des approbations conditionnelles est consultable en temps réel sur le site de la FCC. Au moment de la publication de cet article, elle est vide.
TP-Link, cible officieuse depuis 2024
Derrière cette mesure générale se cache un dossier précis. TP-Link, fondé à Shenzhen, domine le marché américain du routeur grand public. La marque était dans le viseur des autorités américaines depuis fin 2024, quand des enquêtes fédérales avaient envisagé une interdiction ciblée en raison de sa position dominante et de liens présumés avec le gouvernement chinois, comme le rapportait The Verge à l’époque.
TP-Link a depuis multiplié les gestes de distanciation. Scission juridique de l’entité chinoise en 2022, installation d’un siège mondial en Californie en 2024, et même une plainte déposée contre Netgear en 2025 pour avoir suggéré que TP-Link était infiltré par Pékin. Pas suffisant, visiblement, pour rassurer Washington.
La décision de sécurité nationale publiée par la FCC cite explicitement trois vagues de cyberattaques comme justification : Volt Typhoon, Flax Typhoon et Salt Typhoon, des opérations attribuées à des acteurs étatiques chinois qui ont ciblé des infrastructures critiques américaines (énergie, transports, eau, télécommunications) via des routeurs compromis.
Le paradoxe que personne n’a envie d’entendre
Voilà le problème. Lors de l’opération Volt Typhoon, documentée par le Département de la Justice américain, les hackers n’ont pas exploité des routeurs TP-Link ou des marques asiatiques obscures. Ils ont ciblé des routeurs Cisco et Netgear, deux entreprises américaines. Le point commun de ces appareils : ils avaient été abandonnés par leurs fabricants, plus aucune mise à jour de sécurité n’était diffusée parce que les produits étaient en fin de vie.
Déplacer une chaîne d’assemblage de Shenzhen en Alabama ne corrige pas un firmware que personne ne met à jour. Comme le notait un contributeur de Hacker News dans la discussion autour de la décision de la FCC : « Les vulnérabilités n’ont rien à voir avec le pays de fabrication. Elles ont toujours été dues aux pratiques de sécurité désastreuses des fabricants. » D’autres soulignaient que le firmware de la quasi-totalité des routeurs grand public repose sur des « blobs binaires » propriétaires impossibles à auditer, quelle que soit la nationalité du fabricant.
La mesure soulève donc une question inconfortable : s’agit-il réellement de cybersécurité, ou d’un levier de politique industrielle habillé en impératif de sécurité nationale ? Le document de la FCC lui-même mêle les deux registres, affirmant que « les États-Unis ne peuvent plus dépendre de nations étrangères pour la fabrication de routeurs » tout en citant des risques économiques aux côtés des risques cyber.
L’Europe a choisi une autre voie
De l’autre côté de l’Atlantique, l’Union européenne a opté pour une philosophie diamétralement opposée. Le Cyber Resilience Act, adopté en 2024 et dont l’application complète est prévue pour 2027, ne s’intéresse pas à l’endroit où un routeur est fabriqué. Il impose des obligations de résultat : le fabricant doit garantir des mises à jour de sécurité pendant toute la durée de vie attendue du produit, signaler les vulnérabilités exploitées dans les 24 heures, et soumettre les appareils les plus critiques à des audits indépendants.
L’idée : plutôt que de contrôler l’usine, contrôler ce qui sort de l’usine. Un routeur assemblé en Chine mais correctement maintenu et audité serait, selon cette logique, plus sûr qu’un routeur américain abandonné par son fabricant après deux ans, exactement le scénario Volt Typhoon.
Les deux approches ne sont pas mutuellement exclusives, mais elles révèlent des priorités différentes. Washington mise sur le contrôle de la chaîne d’approvisionnement. Bruxelles mise sur la responsabilisation des fabricants. Le marché, lui, se retrouve pris en étau. Les fabricants de routeurs devront, dans les prochains mois, décider s’ils investissent dans des lignes de production américaines pour conserver l’accès au marché US, ou s’ils acceptent de perdre le premier marché mondial de l’électronique grand public. DJI, le géant chinois des drones, avait déjà fait son choix en décembre en renonçant purement et simplement au marché américain. Reste à voir si TP-Link, Asus et les autres feront le même calcul.
