
La découverte du FBI dans 10 millions de salons
Audio Summary
AI Summary
L'histoire débute avec Ashley, une professionnelle de la tech américaine, qui découvre une anomalie dans le réseau Wi-Fi de la maison de son père, cadre supérieur dans une entreprise pétrolière et gazière. Le père a récemment acquis plusieurs "Superbox", des boîtiers IPTV vendus pour environ 300 dollars, qui donnent accès à une multitude de films, séries, services de streaming et chaînes de télévision sans abonnement mensuel. Ces boîtiers sont en réalité des dispositifs de piratage, récupérant des flux illégaux et les présentant comme une télévision augmentée.
Le problème de lenteur du réseau, signalé par la sœur d'Ashley, éveille ses soupçons. Ashley décide d'analyser l'une de ces boîtes dans son laboratoire. Elle la connecte à un réseau séparé et utilise un "packet squirker" pour analyser le trafic réseau.
Ses premières observations révèlent que la Superbox contacte régulièrement q.com, une messagerie instantanée chinoise très populaire développée par Tencent. Bien que certains objets connectés contactent parfois des domaines inattendus, Ashley continue d'approfondir son analyse. Elle découvre ensuite une vulnérabilité SCADA, un système de contrôle industriel normalement absent des appareils grand public, ce qui est très inhabituel pour une box TV.
Plus alarmant encore, la Superbox se montre "très bavarde" sur le réseau local. Elle envoie constamment des requêtes ARP pour cartographier les autres appareils connectés, répétant ces requêtes des milliers de fois (ARP flood). Elle tente même de prendre la place d'une IP déconnectée pour observer les communications antérieures. Ce comportement est très étrange et suggère une tentative de surveillance du réseau.
Ashley s'interroge sur la légitimité de ces appareils. Bien qu'ils soient vendus sur des plateformes comme Amazon, Best Buy et Walmart, elle découvre un réseau de vendeurs amateurs aux États-Unis, opérant comme un système de marketing multi-niveaux (MLM). Ces vendeurs, souvent des proches ou des artisans, sont rémunérés jusqu'à 50% du prix de vente, un taux anormalement élevé pour un programme d'affiliation. Le système semble cibler les banlieues américaines et les travailleurs souhaitant réduire leurs dépenses mensuelles. Des micro-influenceurs sur TikTok et YouTube promeuvent également ces boîtiers, souvent avec des lignes éditoriales incohérentes.
Ashley note également l'absence presque totale d'avis négatifs sur le web, ce qui rend le produit "trop beau pour être vrai". Poursuivant son enquête, elle suit des cours de cybersécurité et fait des découvertes encore plus inquiétantes.
La Superbox ne fonctionne pas sur une version certifiée d'Android TV, mais sur une version open-source d'Android datant de 2021 et non mise à jour, la rendant vulnérable à de nombreuses failles de sécurité. Elle contacte des noms de domaine chinois (.cn) et des domaines en .top, souvent associés à des sites de mauvaise réputation.
De plus, la Superbox télécharge automatiquement des applications, ce qui est une fonctionnalité de porte dérobée. Bien qu'elle ne parvienne pas à désosser entièrement les applications, Ashley trouve du code en clair qui ne devrait pas l'être. Le boîtier utilise son propre magasin d'applications, le "Blue TV Store", désactivant le Play Store de Google. Cela s'explique par la nécessité de fournir un accès facile aux contenus illégaux, mais les utilisateurs sont guidés pour installer ces applications non vérifiées.
Enfin, les boîtiers sont livrés avec l'Android Debug Bridge (ADB) activé par défaut et sans authentification, offrant un accès administrateur à distance. Certaines Superbox testées avaient même TeamViewer préinstallé, un logiciel d'accès à distance. Tous ces indices pointent vers un comportement très suspect.
Ashley présente ses découvertes lors d'une conférence, après laquelle elle est interdite d'en parler publiquement. Le FBI ouvre une enquête, réalisant l'ampleur potentielle du problème. Son père, en tant que cadre dans le secteur pétrolier et gazier, représente une cible de choix. Ashley reçoit d'autres témoignages de personnes travaillant dans le même domaine ayant reçu des Superbox gratuitement et sans commande. Cela suggère que ces boîtiers pourraient être un cheval de Troie géant, ciblant des employés d'entreprises sensibles pour obtenir un accès initial à leurs réseaux domestiques, qui pourraient ensuite être pivotés vers des réseaux d'entreprise (via un VPN mal configuré, par exemple).
Ces Superbox sont également retrouvées dans des cafés et restaurants, où elles attirent les propriétaires par la promesse de diffuser des matchs sans frais. Se connecter à un réseau Wi-Fi hébergé par une boîte vérolée présente des risques évidents. Ces éléments suggèrent une attaque étatique, très probablement chinoise, compte tenu des requêtes réseau et du matériel fabriqué en Chine.
Ashley teste d'autres marques de boîtiers TV populaires, comme la V Box et la Maga Box, et y découvre des similitudes de comportement anormal.
L'enquête du FBI, publiée en août 2025 (date fictive donnée dans le récit), confirme les craintes d'Ashley. Le rapport, intitulé "Les appareils connectés à internet à domicile facilités criminelles", révèle que ces boîtiers, et d'autres appareils connectés (y compris des cadres photo numériques très vendus sur Amazon), font partie d'un botnet massif appelé Badbox 2.0. Google, en collaboration avec le FBI, identifie 10 millions d'appareils infectés.
L'infection peut survenir dès la fabrication de l'appareil (via une porte dérobée intégrée) ou a posteriori, en exploitant les nombreuses vulnérabilités des systèmes non mis à jour. Le botnet utilise la bande passante des foyers pour diverses activités.
Le FBI découvre que les appareils infectés contactent notamment q.com, mais surtout grass.io, un service qui prétend louer des connexions résidentielles à des fins marketing ou d'IA, en échange de récompenses. Ces services prétendent obtenir le consentement des utilisateurs, mais en réalité, ils s'appuient sur des millions d'appareils infectés pour obtenir suffisamment d'adresses IP résidentielles, ce qui est illégal.
Un fournisseur de proxy résidentiel, IPIDA, basé en Chine et considéré comme le plus grand au monde, est lié à ce botnet. Les analystes le voient comme une renaissance de Proxy 911 S5, un service utilisé par les cybercriminels pour des arnaques et des attaques DDoS, qui avait été ciblé par les autorités américaines.
L'histoire prend un autre tournant fin 2025, avec la plus grande attaque DDoS jamais enregistrée, menée par le botnet Kim Wolf, qui a atteint 31 téraoctets par seconde. Deux millions d'appareils étaient infectés, dont les deux tiers étaient des boîtiers TV connectés, y compris des Superbox.
Un étudiant en informatique de 22 ans, Benjamin, découvre une vulnérabilité permettant de contourner les protections des proxys résidentiels. Normalement, un service de proxy ne devrait pas permettre d'accéder au réseau local de l'appareil hôte. Cependant, Benjamin trouve un moyen de modifier la configuration DNS pour pointer vers des adresses IP locales (qui sont normalement blacklistées), permettant ainsi d'accéder au réseau local et potentiellement d'exploiter des vulnérabilités comme l'ADB ouvert des Superbox pour y installer des malwares et agrandir le botnet.
Benjamin identifie un chevauchement entre les infections de Kim Wolf et les adresses IP proposées par IPIDA, suggérant un lien potentiel entre les deux. Cette faille a été corrigée depuis par les services de proxy résidentiel, y compris IPIDA.
Cette histoire met en lumière trois points essentiels : la vulnérabilité de nos réseaux domestiques face aux objets connectés importés, la nécessité d'acheter des produits avec de vraies certifications (européennes, par exemple), et l'indifférence du public face à ces menaces. Malgré les révélations sur les dangers des Superbox, beaucoup d'utilisateurs continuent de les utiliser car le produit remplit sa promesse de divertissement gratuit, et le danger est invisible. C'est un scandale, car cela équivaut à avoir un inconnu dans son réseau, une violation flagrante de la vie privée et de la sécurité.