Votre décodeur TV met-il votre réseau à la disposition d’autres utilisateurs ?

Votre box Android TV est-elle vraiment sécurisée ? Faire des économies sur vos abonnements de streaming pourrait faire de votre appareil un maillon d’un botnet, mettre vos adresses IP à la disposition de tiers et vous causer d’autres sérieux soucis.

Netflix, Apple TV+, Disney+, Hulu, Amazon Prime, YouTube Premium… Aujourd’hui, une famille lambda paie en moyenne entre cinq et dix abonnements rien que pour regarder ses séries préférées, la facture mensuelle dépassant facilement la barre des cent euros. Il n’est donc pas surprenant que les réseaux sociaux et les plateformes de vente en ligne connaissent une forte hausse de la demande pour ces « box magiques » apparues fin 2025 : des décodeurs TV fonctionnant sous Android qui promettent de donner accès à des milliers de chaînes et à tous les services de streaming sans abonnement, moyennant un achat unique.

Capture d'écran d'une vidéo TikTok présentant une SuperBox

Une vidéo promotionnelle sur TikTok qui explique à quel point c’est génial quand le fromage est gratuit vous pouvez simplement résilier tous vos abonnements

Les publicités pour ces appareils inondent TikTok et Instagram : des influenceurs souriants déballent les SuperBox, les branchent à un téléviseur et zappent sans fin d’une chaîne à l’autre. On dirait bien l’astuce ultime pour lutter contre la saturation des abonnements, non ? En réalité, c’est l’un des moyens les plus simples d’introduire un botnet dans votre réseau domestique.

Que reproche-t-on à ces box TV bon marché ?

On a déjà entendu parler de box TV malveillantes, mais aujourd’hui, leur commercialisation a pris des proportions véritablement alarmantes.

À la fin de l’année 2025, des analystes ont examiné plusieurs modèles du célèbre appareil SuperBox, disponible dans les grandes surfaces et sur les sites de vente en ligne. Les conclusions étaient extrêmement préoccupantes : dès leur mise sous tension, les appareils commençaient à envoyer des requêtes aux serveurs de l’application de messagerie chinoise Tencent QQ, ainsi qu’au service proxy Grass, louant ainsi la bande passante Internet de leur propriétaire à des tiers.

Au sein du micrologiciel, les chercheurs ont découvert des applications qui n’ont absolument rien à voir avec un lecteur multimédia : un scanner de réseau, un analyseur de trafic et des outils permettant de détourner le DNS. L’appareil en question ne se contente donc pas de diffuser du contenu piraté, mais analyse également le réseau local à la recherche d’autres cibles (notamment des interfaces SCADA industrielles) et se tient prêt à participer à des attaques DDoS. On a également découvert que les SuperBox contenaient des dossiers portant le nom révélateur « secondstage », ce qui est un indice classique de la présence d’un logiciel malveillant à plusieurs phases.

Plus récemment, en avril 2026, le podcast « Darknet Diaries » a diffusé une interview d’un chercheur en sécurité connu sous le pseudonyme de D3ada55, qui a révélé de nombreux détails intrigants sur ces box, notamment le fait qu’elles étaient toujours vendues librement sur de grandes plateformes comme Amazon, Walmart et Best Buy.

Les chroniques de l’infection : de BADBOX à Keenadu

L’affaire SuperBox est loin d’être le seul cas où des appareils Android ont été transformés en nœuds de botnet, ou vendus infectés dès leur sortie d’usine. Voici un aperçu des cas les plus récents :

  • BADBOX 2.0. En juillet 2025, Google a intenté une action en justice contre les exploitants d’un botnet qui avait infecté plus de 10 millions d’appareils Android, principalement des box TV, des tablettes et des projecteurs bon marché ne disposant pas de la certification Google Play Protect. Comme nous l’avons mentionné précédemment, BADBOX 2.0 cible spécifiquement les box TV, fonctionnant à la fois comme un réseau proxy et un moteur de fraude publicitaire.
  • Kimwolf. En décembre 2025, l’équipe QiAnXin XLab a révélé l’existence d’un botnet DDoS qui avait pris le contrôle d’environ 1,8 million d’appareils Android. Le matériel infecté comprenait des modèles génériques provenant de fabricants sans marque, portant des noms très connus, tels que TV BOX, SuperBox, XBOX, SmartTV et autres. L’ampleur de l’infection était considérable, des appareils infectés ayant été expédiés dans le monde entier. Parmi les pays les plus touchés figuraient le Brésil, l’Inde, les États-Unis, l’Argentine, l’Afrique du Sud, les Philippines et le Mexique.
  • Keenadu. Nos experts ont découvert ce logiciel malveillant dissimulé dans le micrologiciel d’appareils flambant neufs dès novembre 2025, mais ce n’est qu’après la publication de notre rapport en février 2026 qu’il a vraiment retenu l’attention. Keenadu se fait passer pour un composant système légitime et s’intègre même dans les applications de déverrouillage par reconnaissance faciale, ce qui pourrait permettre aux pirates d’accéder à des données biométriques, bancaires et à des messages personnels.

Toutes ces histoires partagent la même origine : le cheval de Troie Triada, documenté pour la première fois par nos chercheurs en 2016 et surnommé à l’époque « l’un des chevaux de Troie mobiles les plus avancés ». Au cours de la dernière décennie, ce logiciel malveillant est passé d’un simple programme malveillant à une porte dérobée modulaire intégrée directement dans le micrologiciel au moment de la fabrication.

Mécanisme de l’infection

Les fabricants de box TV bon marché lésinent sur tout : la certification Google Play Protect, les audits de micrologiciels et les mises à jour de sécurité. Bon nombre de ces appareils fonctionnent sous Android Open Source Project sans aucune garantie de sécurité. À un moment donné de la chaîne d’approvisionnement, que ce soit en usine, auprès d’un intermédiaire ou chez un distributeur, une porte dérobée est introduite dans l’image du micrologiciel. Nos experts soupçonnent que le fabricant lui-même n’ait peut-être même pas conscience de cette compromission.

L’ampleur même de l’infection transforme des millions d’appareils identiques en une base idéale pour un botnet : chaque appareil piraté correspond à une adresse IP unique qui peut être mise à la disposition de n’importe qui. Les opérateurs de botnets comme Kimwolf tirent profit de cette situation non seulement en lançant des attaques DDoS, mais aussi en revendant la bande passante des téléviseurs connectés et des box de streaming infectés.

Ce que cela signifie pour vous

Une box TV infectée se trouve dans votre salon, connectée au Wi-Fi de votre domicile. Cela signifie qu’elle peut détecter les smartphones sur lesquels sont installées des applications bancaires, les périphériques de stockage en réseau (NAS) contenant les archives familiales, les caméras IP, les serrures intelligentes, les ordinateurs portables professionnels et tout autre appareil connecté à votre réseau Wi-Fi.

En s’introduisant ainsi dans votre réseau domestique, un pirate peut intercepter le trafic non chiffré, usurper des requêtes DNS, analyser les ports et rechercher des failles sur les appareils connectés à proximité. Il peut également utiliser votre adresse IP à des fins frauduleuses. Au mieux, votre adresse IP finira par être mise sur liste noire et les services légitimes commenceront à vous bloquer en raison d’activités suspectes ; au pire, les forces de l’ordre pourraient venir frapper à votre porte.

Comment détecter un gadget potentiellement dangereux

Vous devriez vous méfier si un appareil :

  • est vendu sous une marque générique telle que T95, X96Q, MX10, TV BOX, SuperBox ou toute autre marque similaire ;
  • promet un accès gratuit à vie à des services premium payants en échange d’un paiement unique ;
  • vous demande de désactiver Google Play Protect ou d’installer des fichiers APK tiers lors de la configuration initiale ;
  • ne dispose absolument pas de la certification Play Protect ;
  • fait l’objet de campagnes de spam agressives sur les réseaux sociaux.

Comment éviter d’héberger un nœud de botnet

  • Achetez des box TV certifiées équipées de Google Play Protect, ou procurez-vous vos appareils directement auprès d’opérateurs de télécommunications et de fournisseurs d’accès à Internet réputés.
  • Isolez tous les appareils connectés de la maison. Configurez un réseau Wi-Fi distinct sur votre routeur domestique pour les box TV, les caméras, les enceintes connectées, les robots aspirateurs et autres appareils similaires, tout en laissant les smartphones, les serveurs NAS et les ordinateurs sur le réseau principal. Vous éviterez ainsi que votre matériel principal ne soit infecté par des logiciels malveillants.
  • Mettez régulièrement à jour le micrologiciel de tous vos appareils, et n’oubliez pas votre routeur : lui aussi est un maillon vulnérable de la chaîne.
  • Supprimez de votre box Android TV toutes les applications que vous n’avez pas installées vous-même, notamment les boutiques d’applications alternatives, les « amplificateurs » Wi-Fi et les « nettoyeurs de système ».
  • Surveillez votre trafic. Les routeurs modernes et Kaspersky Premium permettent d’afficher quels appareils se connectent à quel endroit. Des connexions fréquentes entre un lecteur multimédia et des serveurs situés en Chine sont un sérieux indicateur de risque de sécurité.
  • Installez Kaspersky Premium sur tous vos appareils : cette solution vous protège contre les chevaux de Troie et bloque les pages de phishing souvent utilisées pour diffuser des fichiers APK infectés.
  • Ne désactivez pas Google Play Protect et évitez d’installer des fichiers APK provenant de sources douteuses : c’est le principal vecteur d’infection qui contourne la boutique d’applications officielle.
  • En cas de doute, retournez la box TV. Un appareil de streaming bon marché ne vaut pas la peine de mettre en péril vos données biométriques, vos informations bancaires ou la réputation de votre adresse IP.

Vous voulez en savoir plus sur les différentes façons de protéger vos appareils connectés ? Lisez nos autres articles sur le sujet :

Conseils
  • For all other countries