Le 22 juin 2026, la société de cybersécurité Spur a publié un rapport d’investigation. Ils ont scanné 6 038 applications sur les deux grandes plateformes de TV intelligentes, LG webOS et Samsung Tizen, et le résultat est inquiétant : 2 058 d’entre elles intègrent un SDK de proxy résidentiel — plus d’un tiers. La plateforme LG est pire, près de la moitié des applications vendent en arrière-plan l’adresse IP domestique de l’utilisateur.
Ces applications ont pour façade un écran de veille aquarium, une horloge, un jeu de cartes, un fond d’écran de chiot. À l’écran, une scène paisible ; en dessous, le code fait travailler votre réseau pour le compte d’autrui.
▲ Source image : rapport Spur.us. Axe horizontal = plateforme, axe vertical = nombre d’applications, rouge = applications avec SDK proxy détecté.
Qu’est-ce qu’un proxy résidentiel
Pour comprendre, il faut d’abord saisir un concept. Chaque appareil sur Internet a une adresse IP ; les sites web l’utilisent pour juger d’où vient le visiteur. Les adresses IP des serveurs de centres de données traditionnels sont faciles à repérer — les fournisseurs disposent de bases de plages d’IP, et l’on voit tout de suite « ceci n’est pas un humain ». Aussi les scrapeurs ont depuis longtemps renoncé à crawler directement depuis leurs propres serveurs.
Leur nouvelle solution : emprunter la sortie réseau de foyers ordinaires. Ce service s’appelle « proxy résidentiel » (residential proxy). L’IP de votre connexion haut débit et celle de votre voisin se ressemblent trait pour trait — toutes deux sont de vraies adresses attribuées aux abonnés par les opérateurs télécom. Face à un tel visiteur, le site ne peut guère distinguer s’il s’agit d’un humain ou d’une machine.
D’où viennent les proxies résidentiels ? Deux voies. La première est franchement malveillante : infecter par malware les ordinateurs ou téléphones des utilisateurs pour contrôler secrètement ces appareils comme nœuds proxy. Début d’année, Google, avec le FBI, a démantelé un botnet appelé IPIDEA, puis un autre, NetNut. Jonathan Corbet, l’administrateur de LWN, a mentionné dans un article du 10 juillet que, après l’arrêt d’IPIDEA, les attaques de scraping contre son site avaient nettement baissé pendant un à deux mois — avant de revenir en force.
La seconde est « au grand jour » : les sociétés de proxy fournissent un SDK (kit de développement logiciel) permettant aux développeurs d’applications d’intégrer un bout de code dans leur produit. Quand l’utilisateur ouvre l’application, une fenêtre de consentement apparaît ; une fois cochée, l’application peut, en arrière-plan, solliciter la connexion réseau de l’utilisateur pour relayer du trafic externe. Le développeur touche de l’argent, la société de proxy obtient un nœud, l’utilisateur obtient une application « gratuite » ou « sans publicité ». Bright Data est l’un des acteurs les plus en vue du domaine — il propose même un VPN « gratuit » à condition que l’utilisateur accepte que son appareil devienne aussi un nœud du réseau proxy de Bright Data.
Pourquoi la télévision est un hôte proxy idéal
Quand un proxy tourne sur un téléphone ou un ordinateur, l’utilisateur finit par s’en apercevoir : la batterie du téléphone se vide vite, la facture de données s’envole, le ventilateur tourne à plein régime. Mais la télé est différente. Le rapport Spur contient une description précise :
La smart TV est un hôte proxy quasi idéal. Elle est sur le même réseau que les autres appareils de la maison, mais on ne la considère pas comme un « ordinateur », aussi on la vérifie rarement comme on le ferait pour un PC. Aucune consommation de batterie perceptible, aucune flambée de facture de données, aucune activité suspecte dans le sélecteur d’applications. Une télé peut rester branchée, connectée à un compte, sur le réseau, pendant des années, et son propriétaire la traite comme un meuble.
Cet écart de perception détermine la valeur du moment du consentement. Quand l’utilisateur installe une application sur sa télé avec la télécommande, la fenêtre de consentement est souvent survolée rapidement — manipuler la télécommande est déjà assez pénible, qui lirait les conditions mot pour mot ? Plus crucial : le « consentement » de ces SDK ne demande généralement qu’une fois : vous cliquez, le service proxy tourne en arrière-plan en continu, même si vous fermez l’application ou changez de chaîne, il continue de travailler.
L’équipe de Spur a capturé plusieurs interfaces de consentement typiques. Parmi elles, Pac-Man (jeu de Pac-Man) sur la plateforme Samsung Tizen a la pratique la plus « franche » : il fait carrément choisir l’utilisateur entre deux modes — soit regarder des publicités pour jouer, soit accepter le service proxy de Bright Data et jouer sans publicité. « Utiliser votre connexion réseau pour l’indexation web », c’est le texte littéral. Un classique embranchement de monétisation : votre attention ou votre IP, il faut bien en donner une.
▲ Source image : rapport Spur.us. Pac-Man fait choisir entre « avec publicité » et « sans publicité mais partage de la connexion réseau ».
Qui fabrique ces applications
La recherche de Spur révèle aussi un motif plus profond. Dans bien des cas, la société de proxy est elle-même l’éditeur de l’application. Bright Data et ses noms associés représentent 367 applications marquées comme proxy dans le jeu de données. Honeygain (filiale d’Oxylabs) apparaît 16 fois comme éditeur.
Cela signifie que beaucoup d’applications n’ont pas « intégré par hasard un SDK proxy en plus de leur fonction normale ». Elles ressemblent davantage à du « stock proxy de première partie » : des jeux d’arcade bâclés, des fonds d’écran, des coquilles d’outils, publiés en masse dans le seul but d’offrir un environnement d’exécution au SDK. L’application est le papier d’emballage, l’IP résidentielle est le produit.
Pourquoi les solutions anti-scraping perdent leur efficacité
L’existence des réseaux de proxies résidentiels rend de facto inutiles les protections anti-scraping déployées par les webmasters.
Prenons Anubis. Cet outil open source, avant d’autoriser l’accès au site, exige du navigateur qu’il résolve une épreuve de « preuve de travail » (Proof of Work), afin de filtrer les robots qui n’exécutent pas de JavaScript. Depuis 2025, de nombreux sites, mis à terre par des attaques de scraping, ont déployé Anubis. L’administrateur de LWN mentionne que le seul site LWN a récemment subi l’attaque de scraping la plus violente de son histoire — grâce à la protection déployée à l’avance, la plupart des lecteurs ne s’en sont même pas aperçus.
Mais le problème est : Anubis bloque-t-il vraiment les vrais robots malveillants, ou les utilisateurs ordinaires qui ont simplement désactivé le JS ? Le développeur Farid Zakaria, dans un billet du 9 juillet, donne une réponse déprimante : il a demandé à une IA d’écrire un outil dédié à contourner Anubis, nommé anubis-fetch, en un temps très court. Pour le scraper, résoudre l’épreuve d’Anubis est un coût ponctuel — une fois le cookie obtenu, il peut le mettre en cache et le réutiliser. Pour l’utilisateur réel, à chaque ouverture d’un nouveau site, il faut attendre quelques secondes de chargement et de calcul CPU, et chaque utilisateur attend pour son propre compte, impossible de « répartir ».
Le titre de l’article de Zakaria est sa conclusion : Who does Anubis actually stop? (Qui est-ce qu’Anubis arrête vraiment ?) — la cible visée le contourne allègrement, et ceux qui sont blessés par ricochet sont précisément les vrais utilisateurs venus avec un vieux téléphone, un navigateur texte ou un lecteur d’écran.
Et le proxy résidentiel rend ce problème encore plus insoluble. Quand le robot emprunte l’IP de votre télé, le « visiteur » vu par le site est indiscernable de votre voisin ouvrant son navigateur. Vous bloquez cette IP, vous coupez tout l’accès réseau d’un foyer réel. Dans les commentaires de LWN, l’utilisateur splitbrain a mis le doigt dessus : pour bloquer les robots à proxy résidentiel, un bouton et un cookie suffisent, pas besoin d’un PoW complexe. Mais le problème — comment savoir quelle IP cache une télé au travail ?
La divergence des positions des plateformes
Face à la situation, les positions des différentes plateformes de TV ont nettement divergé.
La plateforme Fire TV d’Amazon interdit explicitement, dans sa politique d’abus des appareils et du système, que les applications fournissent un service proxy à des tiers. Selon Lowpass (reprise par The Verge), Roku a aussi interdit aux développeurs d’utiliser Bright SDK et services proxy similaires, et après avoir été contactée par les médias, les applications concernées ont disparu de la plateforme.
Mais LG et Samsung n’ont pas encore tracé de ligne rouge publique équivalente. Les données de Spur montrent que le modèle économique interdit par Amazon et Roku prospère encore à grande échelle sur webOS et Tizen.
En fin d’article, LWN, Jonathan Corbet écrit un passage qui touche au cœur : l’industrie derrière ces attaques semble se moquer éperdument de réduire un site indépendant en ruine — du moment que les données sont récupérées. Cette attitude ne vise pas seulement les sites, elle s’étend à la Terre et à son économie. Certains s’y opposent et continueront de se battre. Peut-être qu’un jour, le monde décidera d’imposer une éthique minimale aux sociétés de grands modèles et à leurs technologies associées. Mais jusqu’à ce jour, ce comportement ne s’arrêtera pas, et nous n’avons d’autre choix que de nous défendre.
Bien au-delà du scraping
Une autre dimension mérite attention sérieuse : dès qu’une application obtient sur votre réseau domestique une permission de proxy, le risque ne se limite pas à « quelqu’un emprunte votre IP publique ». Si le fournisseur de proxy autorise les requêtes vers des adresses privées ou locales — ou si son filtrage échoue —, cette télé peut devenir un point de saut pour l’attaquant pénétrant votre réseau local : panneau de gestion du routeur, NAS, imprimante, caméra, machine de dev, et toute application en écoute sur un port local.
Ce n’est pas hypothétique. En janvier 2026, KrebsOnSecurity a rapporté un botnet appelé Kimwolf qui exploitait un réseau de proxy résidentiel pour rebondir à l’envers et pénétrer le LAN du nœud proxy, puis se propager.
Le jugement de l’auteur : l’essence de cette offensive-défense n’est pas technique. Le modèle économique du proxy résidentiel tient parce qu’il externalise la question « l’utilisateur a-t-il consenti en connaissance de cause » vers le développeur d’application — et le développeur est incité par l’argent, pas par la sécurité de l’utilisateur. Quand l’identité par défaut d’une télé est « meuble » plutôt que « ordinateur connecté », quand un seul clic à la télécommande autorise en permanence un proxy en arrière-plan, toute la chaîne de responsabilité du système se brise.
Liens de référence :
- LWN : An update on the scraper situation
- fzakaria : Who does Anubis actually stop
- Spur.us : Nearly Half of LG Smart TV Apps Contain Residential Proxy SDKs
- Discussion Lobsters (item?id=kpaxih)
- Discussion Lobsters (item?id=ktew3s)