Le 2 juillet 2026, le FBI (Federal Bureau of Investigation) a saisi plusieurs centaines de noms de domaine. Derrière ces domaines étaient reliés plus de 2 millions de téléviseurs connectés et de boîtiers TV de foyers ordinaires. On y avait installé secrètement des programmes malveillants qui, à votre insu complet, ont transformé votre réseau domestique en “relais” pour les criminels.
En juin de cette année, le chercheur en sécurité Xe Iaso a publié sur son blog un court article intitulé “Vous devriez probablement vérifier vos appareils électroménagers connectés”. L’article cite un jeu de données de honeypot du système anti-robot Anubis : parmi le trafic de robots intercepté, 89,3 % provenaient d’adresses IP absentes de toute liste de surveillance des menaces — plus de 2,6 millions d’IP distinctes, toutes des adresses de connexions haut débit domestiques ordinaires. Iaso suppose que la majeure partie de ce trafic provient d’appareils électroménagers connectés compromis : téléviseurs, réfrigérateurs, routeurs, voire cadres photo numériques.
Le billet a recueilli 73 votes sur la communauté technique Lobsters, mais la section des commentaires a révélé un fait embarrassant : le milieu de la sécurité sait que ces appareils ne sont pas sûrs — le problème, c’est comment vérifier ? comment détecter ? comment traiter ? À quoi personne n’a de réponse universelle.
Figure : les appareils connectés d’une maison moderne sont tous reliés à Internet, chacun pouvant devenir une porte d’entrée pour une attaque. Source : Internet
Ce n’est pas de la science-fiction : votre téléviseur travaille vraiment pour le compte d’autrui
Si vous pensez que “le piratage des appareils électroménagers connectés” n’est qu’une peur imaginaire du milieu technique, alors les chiffres ci-dessous méritent un coup d’œil.
À la fin de 2025, l’équipe de sécurité de Google a révélé un botnet nommé BadBox 2.0. Il a infecté plus de 10 millions d’appareils sous système Android — téléviseurs connectés, boîtiers TV, tablettes, projecteurs numériques. Le plus critique, c’est que le programme malveillant n’a pas été téléchargé par l’utilisateur. Il était préinstallé dans l’appareil dès sa sortie d’usine. Ce boîtier TV de marque bon marché que vous avez acheté en magasin ou en ligne était, au moment où vous avez ouvert l’emballage, déjà un nœud du réseau criminel.
En 2026 est apparu un autre botnet nommé Popa. Cette fois, l’échelle n’était “que” de plus de 2 millions d’appareils, mais son modèle économique est encore plus complet : Popa emballe le trafic réseau de ces appareils compromis dans un “réseau de proxys résidentiels” appelé NetNut, vendu au prix fort à ceux qui ont besoin de masquer leur véritable IP — escroqueries publicitaires, hackers au brute-force, robots de crawling en masse des entreprises d’IA, jusqu’à des opérations de renseignement à l’échelle étatique. L’équipe de renseignement sur les menaces de Google a observé en une seule semaine 316 organisations criminelles différentes utilisant les nœuds de NetNut. Et la société exploitant NetNut, Alarum Technologies, est une entreprise israélienne cotée au Nasdaq.
Le FBI a saisi le nom de domaine de NetNut le 2 juillet de cette année. Mais saisir un nom de domaine et démanteler un botnet de 2 millions de nœuds, c’est deux choses différentes.
Figure : le botnet IoT transforme les appareils de milliers de foyers en outils d’attaque. Source : rapport de recherche en sécurité
Comment votre téléviseur se fait-il piéger ?
Au moment d’acheter un téléviseur, rares sont ceux qui le considèrent comme un ordinateur. Or la réalité est que les téléviseurs connectés d’aujourd’hui exécutent un système d’exploitation complet — Android TV, Tizen, webOS — et possèdent, comme le portable sur votre bureau, un processeur, de la mémoire, une connexion réseau, ainsi que des failles exploitables.
Un téléviseur connecté ordinaire présente généralement les “portes d’entrée” suivantes :
- Programmes malveillants préinstallés en usine (c’est la méthode de BadBox 2.0) : implantés dès la chaîne d’approvisionnement, ils ont déjà infecté l’appareil au moment où l’utilisateur le rapporte chez lui.
- “Chevaux de Troie” dans les boutiques d’applications : une étude d’un organisme de recherche en sécurité sur le magasin d’applications LG webOS a révélé que plus de 42 % des applications intègrent un SDK proxy, capable de transformer le téléviseur de l’utilisateur en nœud de relais de trafic. La situation sur la plateforme Tizen de Samsung est un peu meilleure, mais plus d’un quart des applications y transportent le même SDK. Ces SDK se cachent dans les lecteurs vidéo, les économiseurs d’écran, les outils système — aucune fenêtre ne s’affiche, aucune autorisation n’est requise, ils s’exécutent dès l’installation.
- Applications TV pirate : c’est un point soulevé à plusieurs reprises par de nombreux professionnels de la sécurité dans la discussion Lobsters. Beaucoup installent sur leur téléviseur des applications tierces d’origine douteuse pour regarder des séries gratuitement. Ces applications embarquent souvent du code malveillant, et le système TV ne dispose ni de la gestion des permissions d’un téléphone, ni d’un mécanisme de contrôle des applications.
- Port de débogage à distance : certains téléviseurs Android activent par défaut le port de débogage ADB (port 5555), permettant à un attaquant de se connecter directement à l’appareil via le réseau et d’en obtenir le contrôle total. Le botnet xlabs_v1, découvert en mai 2026, ne scanne précisément que ce port pour recruter des bots zombies.
En reliant tout cela, on obtient une chaîne d’attaque complète : les fabricants de marque inconnue rognent les coûts et vendent le “connecté” comme argument de vente, sans investir le moindre centime dans la sécurité ; les fournisseurs de SDK tiers emballent la fonction proxy en “technologie publicitaire” pour s’infiltrer légalement dans les boutiques d’applications ; les utilisateurs installent des applications pirate pour du contenu gratuit ; les criminels louent ces nœuds et mènent leurs propres opérations via l’IP domestique qui est la vôtre.
Pourquoi votre connexion ralentit — les conséquences d’un compromis
Un téléviseur connecté infecté ne présente généralement aucune anomalie que vous pourriez percevoir directement. Il n’affiche pas de fenêtre vous disant “je travaille pour le compte d’autrui”. Mais à un niveau invisible, il pourrait simultanément faire tout ce qui suit :
- Servir de nœud d’attaque DDoS : votre téléviseur, avec des dizaines de milliers d’autres appareils, envoie un déluge de requêtes à un site web jusqu’à le paralyser. Votre bande passante est saturée et vous ne ressentez qu’un “pourquoi ma connexion est si lente ces temps-ci”.
- Faire office de proxy de trafic chiffré : les criminels lancent des attaques, envoient des e-mails de phishing, pratiquent le brute-force via votre IP domestique — quand les enquêteurs remontent la piste de l’IP, ils aboutissent finalement chez vous.
- Minage : bien que la puissance de calcul d’un téléviseur soit limitée, en réunissant des dizaines de milliers d’unités pour miner ensemble, la consommation électrique se disperse chez chacun — la facture d’électricité est pour vous, le profit pour eux.
- Fraude publicitaire : en arrière-plan, à votre insu, votre appareil simule des clics utilisateurs sur des publicités, lit des vidéos, aidant la cybercriminalité à escroquer les annonceurs.
- Écoute : presque tous les téléviseurs connectés intègrent un microphone (pour le contrôle vocal). En 2015, Samsung a publiquement admis que sa fonction de reconnaissance vocale envoyait les conversations ambiantes à des tiers pour traitement. Si le téléviseur est contrôlé par un programme malveillant, le microphone peut être activé à distance.
Figure : les failles de sécurité des appareils comme les téléviseurs connectés peuvent exposer votre vie privée sans que vous le sachiez. Source : Internet
La question qui vient : comment savoir si mon téléviseur pose problème ?
C’est le commentaire le plus apprécié de la discussion Lobsters — et l’auteur original Iaso a répondu avec franchise : il n’existe pas de méthode universelle.
Pourquoi ? Parce qu’un téléviseur connecté est un système fermé. Vous ne pouvez pas y installer un antivirus comme sur un ordinateur, ni consulter sa liste de processus. Le fabricant ne vous accorde pas cette permission.
Certains proposent de surveiller les requêtes DNS sur le réseau domestique — pour voir avec quels domaines étrangers votre téléviseur communique. Mais cette astuce est inefficace contre les programmes malveillants utilisant DoH (DNS-over-HTTPS, c’est-à-dire la résolution de noms via un canal chiffré). D’autres suggèrent de consulter les journaux de trafic sur le routeur, mais cela exige un routeur dont on peut flasher le firmware, et la volonté de prendre le temps d’apprendre à lire les journaux — un seuil trop élevé pour l’utilisateur domestique moyen.
Le consensus de la communauté de sécurité converge grosso modo sur les points suivants :
Premièrement, n’installez pas d’applications TV d’origine douteuse. Surtout celles prétendument “pour tout regarder gratuitement” ou “séries sans abonnement” — ce ne sont pas des œuvres caritatives, et le prix que vous payez pourrait être votre réseau domestique.
Deuxièmement, ne connectez pas le téléviseur à Internet. Ce n’est pas une plaisanterie. Si vous utilisez un Apple TV externe, un Chromecast ou une console de jeu pour diffuser du contenu, la fonction de connexion du téléviseur connecté lui-même peut être totalement désactivée. Beaucoup de ceux qui ont acheté la fonction connectée n’utilisent en pratique que l’entrée HDMI — vous ne sollicitez jamais sa partie “connectée”, mais vous en assumez l’intégralité des risques de sécurité.
Troisièmement, si vous avez acheté un boîtier TV Android de marque inconnue bon marché, soyez particulièrement prudent. Ces appareils sont les plus touchés par BadBox 2.0 — infectés dès la sortie d’usine, vous n’avez aucune marge de manœuvre. La solution la plus sûre est de ne pas acheter de marques inconnues.
Quatrièmement, le routeur ne peut pas faire grand-chose, mais mieux vaut faire quelque chose que rien. Si votre routeur prend en charge la fonction “réseau invité”, vous pouvez placer les appareils électroménagers connectés sur le réseau invité, isolés de votre téléphone et de votre ordinateur. Ainsi, même si le téléviseur pose problème, l’attaquant ne peut pas l’utiliser pour accéder aux données de vos autres appareils.
Cinquièmement, surveillez les variations de consommation électrique et de vitesse de connexion. Si vous remarquez que les voyants du routeur clignotent frénétiquement alors que personne ne navigue à la maison, ou que la facture d’électricité augmente anormalement, cela pourrait être un signal — insuffisant pour confirmer le diagnostic, mais digne d’attention.
La ligne de front : la friction de long terme entre commodité et sécurité
La racine du problème de sécurité des appareils électroménagers connectés réside dans l’absence d’alignement des intérêts entre les parties.
Pour les fabricants, le “connecté” est une étiquette de majoration de prix. Un téléviseur ordinaire vendu 2 000, avec en plus une “voix intelligente IA”, se vend 3 500 — les 1 500 supplémentaires coûtent peut-être 50 en puce et un système Android open source gratuit. Quant aux mises à jour de sécurité ? L’utilisateur ne les voit pas, cela n’affecte pas les ventes, alors pourquoi investir ?
Pour les utilisateurs, la commodité est un besoin réel. Recherche vocale de films, mirroring depuis le téléphone, télécommande via application — ce sont des fonctions utiles. Exiger des utilisateurs qu’ils renoncent à la commodité pour la sécurité n’a jamais été une stratégie efficace sur le marché grand public.
Pour les attaquants, les appareils électroménagers connectés sont une “proie parfaite” : en ligne en permanence, d’une puissance suffisante, jamais vérifiés par l’utilisateur, jamais corrigés par le fabricant. Un téléviseur peut servir cinq à dix ans, alors que ses correctifs de sécurité système peuvent s’arrêter dès la deuxième année après la sortie d’usine.
Le Règlement sur la Résilience Cybernétique (Cyber Resilience Act) de l’Union européenne exige qu’à partir de fin 2027, tous les appareils connectés vendus dans l’UE doivent fournir des mises à jour de sécurité, des configurations sécurisées par défaut et une divulgation publique des failles. C’est une direction. Mais à l’échelle mondiale, les fournisseurs d’appareils low-cost peuvent toujours exploiter les failles réglementaires pour déverser du matériel non sécurisé sur les marchés à régulation laxiste.
L’auteur ne propose ici aucune solution de “résolution totale” — car elle n’existe pas. Ce qu’on peut faire, c’est sensibiliser suffisamment de monde à cette réalité, pour que “mon téléviseur pourrait poser problème” cesse d’être une idée qui sonne comme de la science-fiction. Après tout, le premier pas de la sécurité a toujours été d’admettre qu’on pourrait soi-même ne pas être sûr.
Liens de référence :
- Xe Iaso : You should probably check on your smart appliances
- Discussion Lobsters (s/slrak5)
- Blog officiel Google : Taking legal action against BadBox 2.0 botnet
- Hive Security : FBI Seizes NetNut — How a 2-Million-Device Proxy Botnet Hid Inside Smart TVs
- Gblock : Your Smart TV Is Secretly Routing Hacker Traffic
- SecurityWeek : Google Sues Operators of 10-Million-Device BadBox 2.0 Botnet