Traduit en 2017 devant la cour de justice de l’Etat de Californie par la Federal Trade Commission américaine (FTC) pour « ses échecs à prendre les mesures nécessaires pour sécuriser les routeurs et caméras IP conçus pour, commercialisés et vendus aux consommateurs des Etats-Unis », D-Link se voit imposer un certain nombre de mesures correctives.
Parmi les griefs formulés par le régulateur à l’encontre du fabricant de matériel sans fil figuraient des identifiants de connexion codés en dur dans certaines caméras, l’existence de portes dérobées permettant aux hackers d’accéder aux flux vidéos des caméras, des vulnérabilités de certains routeurs aux attaques SQL, la mauvaise gestion de la clé privée utilisée pour signer ses logiciels et exposée sur le site pendant « plus de six mois » sur un site public.
La FTC s’était en outre émue que certaines de ces failles avaient été utilisées par les pirates pour développer le botnet IoT Mirai à l’origine de plusieurs attaques DDOS à l’automne 2016. Une de ces attaques avait notamment visé l’hébergeur français OVH. Le code source de Mirai avait été publié sur plusieurs forums de hackers.
Le règlement à l’amiable prévoit que le fournisseur d’équipement de réseau taïwanais mette en place un programme de 20 ans garantissant la sécurité de ses caméras et de ses routeurs. Il doit notamment établir un programme de sécurité logicielle impliquant la planification, la modélisation des menaces et des tests de vulnérabilité. Pendant une période de dix ans, il devra se soumettre à des audits de sécurité. Ils devront être réalisés par une tierce partie qui conservera ses évaluations pendant cinq ans et les fournira sur demande à la FTC. Celle-ci a le pouvoir d’approuver ou non le choix de la tierce partie.
Lors de sa plainte la commission avait estimé que D-Link avait mis en péril la confidentialité des clients, considérant qu’il s’agissait d’une question de droit des consommateurs. L’équipementier avait de son côté affirmé qu’il ne devait pas faire l’objet d’un procès, puisqu’aucun client n’avait subi de dommages. La Cour lui donne en partie raison. « Nous sommes ravis de parvenir à un règlement à l’amiable avec FTC. Notamment, cette ordonnance ne reconnaît aucune responsabilité à D-Link Systems. Nous avons choisi de nous défendre contre ce litige en raison de notre ferme attachement à la qualité et à la sécurité de nos produits », affirme un communiqué de l’entreprise.
Celle-ci a été défendue à titre gracieux par Cause of Action, une organisation à but non lucratif qui se bat pour « une liberté économique sans réglementation excessive ». « Nous nous sommes lancés dans la cause de D-Link Systems, pro bono publico, parce que nous pensons que D-Link Systems est une entreprise citoyenne responsable qui se soucie de ses clients. Cet accord reflète le fait que les deux parties prennent la sécurité et la protection des consommateurs très au sérieux », assure dans le communiqué Michael Pepson, l’avocat de Cause of Action en charge de l’affaire.