Le marché des boîtiers IPTV illégaux n’a rien de nouveau. On connaît tous quelqu’un qui se vante d’avoir accès à toutes les chaînes cryptées, tous les matchs de foot et tous les catalogues de streaming pour une bouchée de pain. Aux États-Unis, où la facture mensuelle du divertissement peut facilement dépasser les 150 dollars, une nouvelle génération de boîtiers s’est imposée : les « Superbox ». Vendues environ 300 dollars en paiement unique, elles promettent monts et merveilles. Mais sur 0xhack, on sait qu’en informatique, quand c’est gratuit (ou presque), c’est que vous êtes le produit. Ou plus exactement, que votre réseau local est le produit.

L’histoire qui suit n’est pas un simple récit de piratage de droits d’auteur. C’est l’autopsie d’une des plus grandes compromissions de réseaux domestiques jamais documentées, qui a transformé plus de 10 millions de salons en un botnet tentaculaire. Tout a commencé par la curiosité d’une ingénieure nommée Ashley, dont le père avait installé l’un de ces fameux boîtiers.

La Découverte : Un Réseau Local Saturé

Lors d’une visite chez son père, cadre supérieur dans l’industrie pétrolière et gazière, Ashley découvre qu’il a fait l’acquisition de plusieurs « Superbox ». Le père en est ravi, mais sa sœur cadette se plaint de lenteurs anormales sur le réseau Wi-Fi depuis leur installation, même lorsque personne ne consomme de streaming. La puce à l’oreille, Ashley décide d’isoler l’un de ces boîtiers dans son propre laboratoire pour en analyser le trafic.

La méthodologie est classique mais impérative : connexion du boîtier sur un réseau strictement séparé (VLAN dédié) et écoute passive via un Packet Squirrel pour capturer et analyser les trames réseau (PCAP). Les premières observations sont déconcertantes.

Le boîtier initie des connexions vers qq.com, le service de messagerie du géant chinois Tencent, et résout de nombreux noms de domaine exotiques en .cn et .top. Si la présence de télémétrie vers des serveurs asiatiques est monnaie courante sur de l’IoT bas de gamme, le comportement du boîtier sur le sous-réseau local (LAN) est beaucoup plus agressif. La box se révèle extrêmement bavarde : elle bombarde le réseau de requêtes ARP. Son but ? Cartographier l’intégralité du réseau domestique pour identifier tous les appareils connectés (adresses IP et adresses MAC associées). Pire encore, elle effectue de l’ARP flooding, répétant ses requêtes de manière incessante. Lorsqu’une adresse IP se libère sur le réseau, la box tente même de l’usurper pour analyser le trafic qui lui était destiné.

Note d’analyse technique : Ce comportement d’énumération agressive (ARP sweep/flood) est typique d’un ver informatique cherchant à pivoter sur un réseau interne (Lateral Movement). Pour un simple boîtier de streaming vidéo, cela n’a strictement aucune justification fonctionnelle légitime.

Un Gruvère Sécuritaire : Analyse de la Charge Utile

En poussant l’investigation et en se formant spécifiquement au reverse engineering et à l’analyse de malwares, Ashley fait des découvertes stupéfiantes sur la configuration système de la Superbox.

Loin de tourner sur une version certifiée et sécurisée d’Android TV, l’appareil exploite une version open source d’Android datant de 2021, figée dans le temps et n’ayant reçu aucun correctif de sécurité depuis. C’est un nid à vulnérabilités (CVE) connues et documentées. Mais le plus grave n’est pas l’obsolescence, c’est la configuration délibérée du système :

  • Un port ADB grand ouvert : Le pont de débogage Android (ADB) est activé par défaut, accessible via le réseau, et surtout, ne requiert aucune authentification. N’importe qui sur le réseau (ou communiquant avec la box à distance) possède un accès administrateur (root) absolu sur la machine.
  • Sideloading automatisé : La box est capable de télécharger et d’installer silencieusement des applications en arrière-plan (fichiers APK) sans aucune interaction de l’utilisateur. En termes de cybersécurité, cela s’appelle ni plus ni moins qu’une porte dérobée (backdoor) permettant l’exécution de code arbitraire (RCE).
  • Absence du Google Play Store : Pour éviter la modération de Google, la box utilise son propre magasin d’applications (« Blue TV Store »), permettant la distribution d’applications lourdement vérolées.
  • Des outils d’accès à distance : Sur certains modèles analysés, le logiciel TeamViewer était préinstallé et configuré, facilitant la prise de contrôle directe.

Le plus insolite dans cette surface d’attaque reste la détection d’une vulnérabilité SCADA. Les protocoles SCADA sont exclusifs aux systèmes de contrôle industriels (usines, centrales électriques). Trouver une telle vulnérabilité dans une box télé grand public indique que le boîtier embarque des scanners de vulnérabilités généralistes ou qu’il est conçu pour servir de tête de pont vers des réseaux bien plus critiques que de simples salons.

Le Modèle Économique : Botnets et Proxies Résidentiels

Face à l’ampleur de ces découvertes, le FBI a fini par s’emparer du dossier, interdisant temporairement à Ashley de divulguer ses résultats le temps de mener une investigation fédérale. Leurs conclusions, publiées dans un avis officiel, révèlent l’existence d’un botnet colossal baptisé Badbox 2.0, comptant plus de 10 millions d’appareils infectés à l’échelle mondiale (incluant des Superbox, mais aussi des cadres photo numériques très populaires sur Amazon).

Mais pourquoi infecter des télévisions ? La réponse tient en deux mots : Proxies Résidentiels et Bande Passante.

Le marché des données (scraping pour l’IA, billetterie, contournement de géoblocages) a un besoin vital d’adresses IP légitimes. Les adresses IP de datacenters sont rapidement blacklistées. Les attaquants utilisent donc des services comme Grass.io ou des réseaux obscurs pour vendre l’accès à votre connexion internet. Votre box télé devient un nœud de sortie pour des activités illicites. Le FBI a notamment fait le lien entre ce botnet et « IPIDA », un fournisseur de proxies résidentiels basé en Chine, considéré comme le successeur spirituel du célèbre réseau cybercriminel 911 S5, récemment démantelé par les autorités.

Au-delà du proxying, cette puissance de calcul décentralisée sert d’arme de destruction massive. Fin 2025, le botnet « Kim Wolf », fort de 2 millions de machines zombies (dont deux tiers étaient des box TV comme la Superbox), a généré la plus grande attaque DDoS jamais enregistrée, atteignant des pics hallucinants de 31 Térabits par seconde.

Bypasser l’Isolation : L’attaque DNS Rebinding

Si vous pensez que votre pare-feu vous protège, détrompez-vous. Un chercheur en sécurité de 22 ans, Benjamin, a démontré comment ces proxies résidentiels illégaux permettaient de compromettre les réseaux locaux. Habituellement, les fournisseurs de proxies bloquent l’accès aux adresses IP privées (les plages 192.168.x.x ou 10.x.x.x) pour empêcher leurs clients de scanner le réseau local de l’hôte infecté.

Cependant, Benjamin a découvert une faille logique triviale. En achetant un nom de domaine public (ex: mon-super-site.com) et en configurant ses enregistrements DNS pour pointer vers une adresse IP locale (ex: 192.168.1.10), il pouvait contourner les filtres. Le proxy, voyant une requête vers un nom de domaine public, la laissait passer. La machine infectée résolvait alors le DNS localement et frappait l’adresse interne. Résultat ? Une fois dans le LAN via la Superbox, un attaquant a un accès direct pour interagir avec les imprimantes, les serveurs NAS personnels, ou même injecter des malwares directement via le port ADB ouvert.

Soyons clairs et honnêtes : le comportement des consommateurs face à cette menace est une aberration sécuritaire absolue.

Le Biais Humain : Le Prix de la Gratuité

Ce qui est peut-être le plus terrifiant dans cette affaire, ce ne sont pas les aspects techniques, c’est la réaction humaine. Une enquête menée par The Verge auprès des utilisateurs de Superbox après ces révélations a montré une apathie totale. Les gens s’en fichent. Tant que la promesse initiale (regarder le sport et des films gratuitement) est tenue et que la menace reste invisible, ils refusent de débrancher l’appareil.

Le père d’Ashley lui-même débranchait la box uniquement lorsque sa fille venait en visite, pour la rebrancher sitôt son départ. L’appât du gain à court terme supplante toute rationalité sécuritaire.

Conclusion

La prolifération de ces boîtiers vérolés s’apparente à un système pyramidal de distribution de malwares (le système de vente en MLM offrait 50% de commission aux revendeurs amateurs), ciblant précisément les foyers, les cafés et les restaurants. Ils constituent de parfaits chevaux de Troie, offrant un accès persistant, silencieux et hautement privilégié à nos vies numériques et parfois même à des réseaux d’entreprises si le télétravailleur imprudent s’y connecte.

Mon avis est sans appel : si vous tenez un minimum à la sécurité de vos données, de vos mots de passe, et à la bande passante pour laquelle vous payez votre FAI, ces appareils n’ont qu’une seule place légitime : la déchetterie électronique. Si vous êtes obligés de bidouiller des VLAN stricts ou de flasher des firmwares open source pour assainir un produit que vous avez acheté, c’est que ce produit est fondamentalement hostile.

Source : Underscore