Si vous possédez un boîtier TV noir dans votre salon vous permettant d’accéder gratuitement à des milliers de films, séries et chaînes payantes, vous pourriez bien héberger un espion sans le savoir. Ces petits appareils, communément appelés box IPTV, promettent de transformer votre téléviseur pour une somme modique, souvent autour de 300 dollars, sans aucun abonnement mensuel. Mais derrière cette promesse alléchante de piratage à moindre coût se cache une réalité bien plus sombre, impliquant des réseaux de cybercriminalité, des botnets mondiaux et même le FBI.
L’histoire commence avec Ashley, une Américaine travaillant dans le secteur de la technologie. Lors d’une visite chez son père, cadre supérieur dans une entreprise pétrolière et gazière, ce dernier lui présente fièrement sa nouvelle acquisition : une Superbox censée lui offrir un accès illimité à tous les contenus imaginables. Cependant, un détail intrigue Ashley. Sa sœur se plaint que depuis l’installation de ce boîtier, le réseau Wi-Fi de la maison est devenu anormalement lent, même lorsque la télévision est éteinte. Poussée par la curiosité professionnelle, Ashley décide d’emporter l’une de ces box dans son laboratoire pour l’analyser.
Une analyse réseau aux résultats troublants
Pour éviter de compromettre son propre réseau, Ashley isole la Superbox et utilise un analyseur de paquets pour observer son comportement. Les premières constatations sont immédiatement suspectes :
- Des communications étranges : La box contacte régulièrement qq.com, une célèbre messagerie instantanée chinoise appartenant à Tencent. Bien que certains objets connectés communiquent avec des serveurs lointains, cela reste inhabituel pour un simple boîtier TV.
- Une vulnérabilité industrielle : Ashley découvre la présence d’une faille liée au système SCADA. Ce protocole est exclusivement utilisé dans les infrastructures industrielles (comme les centrales nucléaires, tristement célèbres lors de l’attaque Stuxnet). Sa présence dans un appareil grand public n’a aucun sens logique.
- Un balayage agressif du réseau : La box se révèle extrêmement bavarde. Elle envoie des milliers de requêtes ARP (Address Resolution Protocol) en boucle pour cartographier le réseau local. Elle cherche activement à identifier tous les autres appareils connectés dans la maison. Pire encore, si une adresse IP se déconnecte, la Superbox tente de prendre sa place pour intercepter ses communications.
Un système de vente pyramidal et une sécurité inexistante
En creusant l’origine de ce produit, la chercheuse découvre un modèle de distribution opaque. Bien que vendues sur des plateformes connues, ces box sont principalement écoulées via un réseau de vendeurs amateurs, s’apparentant à du marketing de réseau (MLM). Des électriciens, des membres de la famille ou des micro-influenceurs les recommandent, motivés par une commission faramineuse de 50 % sur chaque vente de 300 dollars. Sur internet, les avis négatifs sont miraculeusement inexistants.
Sur le plan logiciel, la Superbox est un véritable cauchemar de sécurité :
- Elle tourne sur une version open source d’Android datant de 2021, obsolète et truffée de failles non corrigées.
- Elle communique avec des noms de domaine en .cn (Chine) et en .top, des extensions souvent associées à des sites peu recommandables.
- L’appareil est capable de télécharger et d’installer des applications de manière invisible et automatique, ce qui s’apparente purement et simplement à une porte dérobée (backdoor).
- Elle utilise son propre magasin d’applications, désactivant ainsi toutes les sécurités natives du Google Play Store.
- L’accès administrateur (ADB) est activé par défaut, sans aucune authentification requise. N’importe qui peut prendre le contrôle total de la machine à distance. Sur certains modèles, le logiciel de contrôle à distance TeamViewer était même préinstallé.
L’intervention du FBI et la menace d’espionnage
Forte de ces découvertes alarmantes, Ashley présente ses résultats lors d’une conférence spécialisée. La réaction des autorités américaines ne se fait pas attendre : une enquête officielle est ouverte et le FBI lui interdit temporairement de s’exprimer publiquement sur le sujet.
L’une des craintes majeures des enquêteurs concerne le profil des cibles. Le père d’Ashley n’est pas un cas isolé. D’autres cadres travaillant dans des secteurs critiques (pétrole, gaz, infrastructures) ont déclaré avoir reçu ces box gratuitement à leur domicile, sans jamais les avoir commandées. L’hypothèse d’un cheval de Troie physique est privilégiée. En infiltrant le réseau domestique d’un employé haut placé, des attaquants — potentiellement étatiques — peuvent rebondir sur des VPN mal configurés ou des ordinateurs professionnels ramenés à la maison pour espionner des entreprises stratégiques.
Badbox 2.0 : une armée de 10 millions de zombies
En août 2025, le FBI publie un avis officiel mettant en garde contre les appareils connectés facilitant les activités criminelles. Les investigations ont révélé que le problème dépasse largement le cadre de l’espionnage ciblé. Ces boîtiers TV font partie d’un gigantesque botnet (un réseau d’appareils infectés contrôlés à distance) baptisé Badbox 2.0.
Selon une plainte conjointe avec Google, ce botnet regroupe pas moins de 10 000 000 d’appareils à travers le monde. Il ne se limite pas aux Superbox, mais touche de nombreux objets connectés bon marché, comme certains cadres photo numériques très populaires sur internet.
À quoi sert cette armée de machines zombies ? Principalement à voler de la bande passante pour alimenter des services de proxys résidentiels. Des plateformes comme grace.io ou IPDEA vendent l’accès à de véritables adresses IP de particuliers (pour du scraping de données, des besoins marketing ou de l’intelligence artificielle). Si une partie de leur réseau est légale, une immense majorité repose sur ces millions de boîtiers infectés qui partagent la connexion de leurs propriétaires à leur insu. IPDEA est d’ailleurs soupçonné d’être la résurrection de Proxy 911 S5, un célèbre réseau utilisé par les cybercriminels avant d’être démantelé par les autorités.
Une attaque record et une faille DNS redoutable
Fin 2025, la puissance destructrice de ces réseaux a été démontrée lors de la plus grande attaque par déni de service (DDoS) jamais enregistrée, atteignant 31 téraoctets par seconde. Le botnet responsable, nommé Kim Wolf, s’appuyait sur 2 millions d’appareils, dont les deux tiers étaient des boîtiers TV connectés.
C’est un étudiant en informatique de 22 ans, Benjamin, qui a découvert comment ces boîtiers étaient si facilement enrôlés. Normalement, un proxy résidentiel bloque l’accès aux adresses IP locales (comme 192.168.x.x) pour protéger la vie privée de l’hôte. Mais Benjamin a découvert qu’il suffisait de modifier la configuration DNS d’un nom de domaine classique pour le faire pointer vers une adresse IP locale. Cette technique permettait de contourner les filtres des proxys, d’accéder au réseau domestique de la victime, de repérer une box avec un port ADB ouvert, et d’y injecter un malware en quelques secondes pour l’intégrer au botnet.
Le paradoxe de l’utilisateur : le confort avant la sécurité
Malgré l’ampleur du scandale et les révélations publiques confirmant que ces appareils sont des nids à malwares, la réaction des consommateurs reste glaçante. Les utilisateurs s’en moquent presque totalement.
Tant que la promesse initiale est tenue — à savoir, regarder la télévision et les matchs de sport gratuitement — le fait qu’un réseau criminel international ait un accès direct à leur salon leur semble secondaire. Le danger étant invisible, le biais humain pousse à l’inaction. Pourtant, posséder un tel appareil équivaut virtuellement à laisser un inconnu malveillant s’installer en permanence dans sa propre maison, avec un accès direct à toutes ses données personnelles.
Face à ce fléau, la seule véritable protection consiste à privilégier du matériel certifié par des marques reconnues, ou, pour les plus technophiles, à effacer intégralement le système d’exploitation d’origine de ces boîtiers pour y installer des versions sécurisées et open source.
Source : Underscore_































































