Discussion :

[Stan Adkens]

Il y a une raison simple pour laquelle votre nouveau téléviseur intelligent était si abordable
Il collecte et vend vos données, selon un rapport

Selon un rapport, aujourd’hui, les téléviseurs « intelligents » à grand écran avec des cadres extrêmement fins et munis de toutes les commodités nouvelles technologies disponibles telles qu’une image de qualité brillante et des services de streaming intégrés sont étonnamment plus abordables que jamais. Toutefois, selon le rapport, il y a de bonnes raisons à cela. En effet, certains fabricants de téléviseurs intelligents collecteraient des données des utilisateurs et les vendraient à des tiers à des fins de suivi et de publicité afin de compenser la marge perdue sur le prix de vente de l’appareil.

Les objets connectés qui collectent des données personnelles prennent de plus en plus place dans la vie quotidienne des gens, notamment dans les domiciles des utilisateurs. Par exemple, Portal, un gadget de chat vidéo à domicile lancé par Facebook octobre dernier, ne reçoit pas, lui-même, des annonces mais collecte des données sur les personnes appelées et sur les applications utilisées sur l’appareil qui peuvent être utilisées pour cibler d'autres périphériques utilisant les applications Facebook avec des annonces. « Les appels vocaux du Portal sont basés sur l'infrastructure Messenger. Par conséquent, lorsque vous effectuez un appel vidéo sur Portal, nous collectons les mêmes types d'informations (données d'utilisation telles que la durée et la fréquence des appels) que nous collectons sur d'autres appareils compatibles Messenger. », a déclaré un porte-parole de Facebook.

Par ailleurs, l’américain Richard Matthew Stallman, président de la Free Software Foundation (FSF) et pionnier du GNU, reconnu pour ses prises de position radicales en faveur des utilisateurs de la technologie, a soutenu dans une interview en mais 2018 que l'IoT est un danger pour la vie privée. Stallman a déploré le fait que le marché de l’IoT est en grande partie contrôlé par des acteurs qui privilégient l’usage de logiciels propriétaires au détriment des logiciels libres. Selon lui, cette tendance contribue à la vulgarisation de mouchards et de logiciels propriétaires potentiellement malveillants en renforçant la surveillance illégale et les abus (l’exploitation illégale des données collectées notamment) dont sont régulièrement victimes les utilisateurs.

De nos jours, de nombreux foyers se sont équipés des modèles de téléviseurs intelligents avec connexion à Internet et abonnement à des services de streaming tels que Netflix.

Selon Business Insider, acquérir, sur le marché aujourd’hui, un poste téléviseur intelligent de grande capacité (par exemple, un téléviseur intelligent 4K de 65 pouces avec écran HDR) et susceptible d’être utilisé pendant plusieurs années, ne coute pas grand-chose, en particulier dans des entreprises comme TCL et Vizio, qui se spécialisent dans les téléviseurs intelligents à faible coût et à haute technologie.

Cependant, selon Business Insider, ces bas prix seraient s'accompagnés d'une mise en garde que la plupart des utilisateurs ignorent. En effet, certains fabricants de téléviseurs intelligents recueillent des données sur les utilisateurs par le biais de leurs produits, puis vendent ces données à des tiers. Ces données collectées peuvent inclure les habitudes de visionnement telles que le type d'émissions que vous regardez, les publicités que vous regardez, votre localisation approximative, et bien d’autres données.

Dans une récente interview accordée à un site Web, Bill Baxter, le Directeur des Technologies de Vizio, a expliqué exactement comment cela fonctionne en justifiant les bas prix pratiqués par les ces sociétés. Selon le Directeur des Technologies, les entreprises comme Vizio n'ont pas besoin de faire de l'argent avec chaque téléviseur qu'elles vendent. « C'est une industrie impitoyable. Il s'agit d'une industrie à marge bénéficiaire de 6 % », a déclaré M. Baxter. « La meilleure stratégie, c'est que je n'ai vraiment pas besoin de faire de l'argent avec la télé. J’ai juste besoin de couvrir mes frais. », a-t-il dit.

Selon M. Baxter, Vizio peut vendre ses téléviseurs intelligents au prix coûtant ou presque aux consommateurs, ce qui est formidable pour eux. Ensuite, Vizio sait compenser ce manque à gagner en monétisant ces téléviseurs par la collecte de données, la publicité et la vente de divertissement direct (films, etc.) aux consommateurs, ce qui est moins intéressant pour les consommateurs car porte atteinte à leur vie privée.

« Il ne s'agit pas seulement de collecte de données. Il s'agit de la monétisation de la télé après l'achat. », d’après M. Baxter. Et selon lui, il y a plusieurs façons de monétiser ces téléviseurs après l'achat. Les fabricants peuvent vendre des films, des émissions de télé, des publicités aux consommateurs, tout comme le font les plateformes numériques, a-t-il dit.

Ce sont ces formes supplémentaires de revenus après vente qui contribuent à diminuer les prix et à rendre abordables les grandes et belles télévisions intelligentes des entreprises comme Vizio et TCL et sans cette source de revenus, les consommateurs paieraient un coût initial plus élevé, a-t-il dit. « Nous collecterions un peu plus de marge au détail pour compenser. »

A la question de savoir si les gadgets de Vizio exécutent la reconnaissance automatique de contenu, M. Baxter a répondu par l’affirmatif.« Absolument », a-t-il déclaré.

« Si l'utilisateur a suivi le processus d'installation et a opté pour la reconnaissance de contenu, nous l'activerons pour certains cas d'utilisation, parce qu'il y a des restrictions, nous ne voulons pas violer les droits de confidentialité du client et nous anonymisons certainement ces données et nous n'essayons en aucune façon de porter atteinte à leur vie privée », a-t-il ajouté

Toutefois, le Directeur des Technologies a soutenu qu'en collectant automatiquement les données, les consommateurs aident réellement l'industrie et, à plus long terme, eux-mêmes. « Si vous choisissez cette option, nous pourrons mieux vous servir de bien des façons différentes. Il y a donc de réels avantages. ». Cependant, d’après lui, les utilisateurs peuvent ne pas opter pour la reconnaissance de contenu.

Les utilisateurs de Reddit ont tenté de répondre à la question à savoir comment utiliser votre routeur pour bloquer la surveillance de la télévision intelligente. Un des utilisateurs a préconisé l’utilisation de certains routeurs qui empêchent les téléviseurs, notamment TCL Roku, d'envoyer les données à leurs serveurs. Ces routeurs permettent de filtrer également les publicités, les trackers, les logiciels malveillants et les nuisances. Selon lui, ils sont faciles à installer et coûtent moins chers.

Par ailleurs, selon Richard Matthew Stallman, fervent partisan du logiciel libre, seuls le développement et l’adoption de logiciels libres à plus grande échelle permettraient de garantir une meilleure protection des données et de la vie privée des utilisateurs d’objets connectés.

Source : Business Insider

Et vous ?

Qu’en pensez-vous ?
Que pensez-vous de ces technologies qui échangent les données privées des utilisateurs contre des services ?
Quelle est votre solution contre la surveillance des objets connectés ?

Lire aussi

L'IoT est un danger pour la vie privée, une technologie à risque accordant peu de place aux logiciels libres, d'après Richard Stallman
Facebook ne vous aurait pas dit toute la vérité : la caméra de son « Portal » de domicile collectera vos données, à des fins de ciblage publicitaire
Avez-vous un compte Facebook ? La société a déposé un brevet pour déterminer votre prochaine destination, en utilisant vos données de localisation
IoT : la Californie est sur le point de prendre une loi pour réglementer les objets connectés, et deviendra ainsi le premier État américain à le faire
Intel et ARM s'associent, en dépit de leur rivalité, pour sécuriser l'IoT autour d'une plateforme unique, et de l'initiative Any Device to Any Cloud

[transgohan]

De nos jours on ne peut de toute manière pas s'en passer...
Le décodeur TV de votre FAI fait la même chose avec les bouquets replay et vod... (aucune idée pour le visionnage en direct des chaines, mais qui sait...)
Votre compte Netflix fait la même chose...
Comble de l'ironie ? Vous payez pour cela chaque mois.

Pour ma part je n'ai toujours pas compris l'utilité d'une TV connectée.
J'en ai une car pas trouvé d'autre TV dans la taille que je souhaitais sans ce mode.
Beh je ne l'ai pas connectée au réseau tout simplement...

[Invité]

De nos jours on ne peut de toute manière pas s'en passer...

C'est pas un peu excessif tout de même?

On peut par exemple refuser tout ce cirque et emprunter films et séries dans une bibliothèque municipale.

[Ryu2000]

De nos jours on ne peut de toute manière pas s'en passer...

Là au moins ça fait baisser le prix ^^
Cette histoire de TV qui surveillent les spectateurs c'est comme dans un roman de science-fiction dystopique.

Pour ma part je n'ai toujours pas compris l'utilité d'une TV connectée.

Pareil, en plus chaque appareil connecté apporte son lot de failles qui pourront être exploitées.
IoT : des pirates s'appuient sur le thermostat connecté d'un aquarium pour pénétrer le réseau d'un casino et extirper 10 Go de data

En ce moment il y a des histoires de problème de sécurité avec des sonnettes connectées.

[Anselme45]

De nos jours on ne peut de toute manière pas s'en passer...

Ce commentaire me laisse sans voix!

Le peuple de moutons doit donc tout accepter, tout subir et svp avec le sourire! Ben c'est vrai quoi, se faire enc...ler, cela fait mal la première fois... Après, certains peuvent y prendre du plaisir, non?

Si les gens étaient un peu moins cons, ils voteraient avec leur porte-monnaie: Quand tu n'achètes pas un produit, le produit disparaît très vite du paysage!


Pensée émue pour tous les utilisateurs de FesseBook: Il n'y a plus une journée sans l'annonce d'un nouveau scandale sur cette société et il y a toujours des gogos pour y raconter leur vie.

[Ryu2000]

Le peuple de moutons doit donc tout accepter

Les gens ne sont pas obligé d'acheter des objets connectés (enfin sauf les TV, mais ils ne sont pas obligé de les connecter à internet).
Si vous voulez des objets connectés vous serez surveillé c'est tout.
Vous êtes libre.

[Jon Shannow]

Ce commentaire me laisse sans voix!

Le peuple de moutons doit donc tout accepter, tout subir et svp avec le sourire! Ben c'est vrai quoi, se faire enc...ler, cela fait mal la première fois... Après, certains peuvent y prendre du plaisir, non?

Si les gens étaient un peu moins cons, ils voteraient avec leur porte-monnaie: Quand tu n'achètes pas un produit, le produit disparaît très vite du paysage!


Pensée émue pour tous les utilisateurs de FesseBook: Il n'y a plus une journée sans l'annonce d'un nouveau scandale sur cette société et il y a toujours des gogos pour y raconter leur vie.

Le problème, c'est que la plupart des personnes n'en ont pas conscience (je parle des objets connectés - pour Facebook, c'est autre chose, normalement tout le monde sait que cette société est pourrie).
Quand tu achètes une TV connectée, par exemple, le vendeur ne va pas te dire : "Une fois la TV connectée au réseau, elle va envoyée tout un tas de données sur vous et vos manières d'utiliser la TV, à des entreprises qui vont s'en servir pour vous pourrir de pub, et qui, en même temps se feront plein de pognon sur votre dos."

[captaindidou]

C'est pour ça que je préfère acheter "con".

[Ryu2000]

C'est pour ça que je préfère acheter "con".

T'auras de moins en moins de choix.
Il y a déjà des réfrigérateurs connectés, des lampes connectées, des sonnettes connectées, des enceintes connectées, etc.
Les smartphones et les ordinateurs vous écoutent également.

À moins que la mode du low tech arrive et qu'on fasse un peu comme les Amish.
On a qu'a se dire que la technologie en 1997 était bien assez évolué et qu'on a pas besoin de plus

[ParseCoder]

Avant on regardait la télé, maintenant c'est elle qui nous regarde.

[Ryu2000]

Avant on regardait la télé, maintenant c'est elle qui nous regarde.

C'est une vieille blague sur l'URSS.
Absurdity in an upside down world: Where did ‘Russian reversal’ jokes come from?

In Soviet Russia, TV watches you... all the TVs are watching you!

À l'époque c'était une blague, maintenant les entreprises le font vraiment, il y a des micros et des connexions à internet partout.

[transgohan]

Je suis toujours autant effaré du nombre de lecteur sur DVP qui ne lisent que le début des réponses...
Effectivement j'aurai du utiliser un terme plus approprié comme "difficilement", mais le reste de mon message ne laissait pas de place à l'ambiguïté quant à mes pensées...

Pour rebondir sur les réponses, certes on peut refuser tout cela.
Mais on peut aussi refuser le feu car ça brule...
Quand le mouvement est global on ne peut que difficilement luter sans retourner à l'ère de pierre.
Il faut savoir accompagner le mouvement au moins en partie pour continuer à vivre.
Être extrémiste au point de tout refuser serait plus proche de la survie que de la vie selon moi.

Si je reprends ma situation, j'achète une TV connectée car il n'y a quasiment plus que ça, mais je ne la branche pas sur internet.
Donc oui je suis le mouvement, mais non je n'y adhères pas et je réduis son impact sur moi comme je peux (mais il y a des fois où on peut pas ça il faut le comprendre).

[el_slapper]

Je n'ai tout simplement pas de télé.


(bon, mon activité sur internet suffit probablement à me cibler, hein, je ne suis pas naïf)

[LapinGarou]

Ca me rappelle l'histoire de Kinect dans la xbox one qui était accusée de collecter des données même éteinte (=en veille sauf le capteur micro ?)

Il faudrait un "Dacia" des télés pour n'avoir que ce pour quoi à la base c'est fait, tout en ayant les derniers écrans sans tout le tintouin qui ne sert "à rien" pour certains ou dont on ne veut pas !

[Ryu2000]

Ca me rappelle l'histoire de Kinect dans la xbox one qui était accusée de collecter des données même éteinte (=en veille sauf le capteur micro ?)

Moi je me rappelle de l'histoire d'un joueur qui jouait à NBA Live et qui insultait l'arbitre ou je ne sais pas quoi et qui a reçu un carton à cause de ça.
Les gens avaient peur à l'époque, se faire écouter en train de jouer c'était pas rassurant.
Xbox Can Hear You Curse and Will Scold You For It

[disedorgue]

Tiens, c'est pas mal ça, je me demande combien de râleur sur le compteur linky qui potentiellement peut nous espionner ou nous envoyer des mauvaises ondes ont été acheter ce genre de TV sans rien y trouver à redire...

[Invité]

Je suis toujours autant effaré du nombre de lecteur sur DVP qui ne lisent que le début des réponses...
Effectivement j'aurai du utiliser un terme plus approprié comme "difficilement", mais le reste de mon message ne laissait pas de place à l'ambiguïté quant à mes pensées...

Pour rebondir sur les réponses, certes on peut refuser tout cela.
Mais on peut aussi refuser le feu car ça brule...
Quand le mouvement est global on ne peut que difficilement luter sans retourner à l'ère de pierre.
Il faut savoir accompagner le mouvement au moins en partie pour continuer à vivre.
Être extrémiste au point de tout refuser serait plus proche de la survie que de la vie selon moi.

Si je reprends ma situation, j'achète une TV connectée car il n'y a quasiment plus que ça, mais je ne la branche pas sur internet.
Donc oui je suis le mouvement, mais non je n'y adhères pas et je réduis son impact sur moi comme je peux (mais il y a des fois où on peut pas ça il faut le comprendre).

Bonsoir,

Suis-je désigné par ce commentaire? Si tel est le cas il y a méprise car j'ai bien lu ton post intégralement (j'attache de l’importance a ce qu’écrive les membres du forum et essaie de ne pas répondre a la légère, avec il est vrai plus ou moins de brio, suivant que j'ai passé ou non "l'heure intelligente").

J'ai désigné "tout ce cirque" en englobant les services que tu as listé (bouquets des box, Netflix) car je pense moi aussi que ce sont des services visant a profiler leurs utilisateurs, pour servir par exemple le capitalisme de surveillance, au sens donné par Shoshana Zuboff (voir le super article du Monde Diplomatique de janvier), la normalisation des individus a des fins de contrôle, etc.

Je ne pense pas que privilégier fréquenter une bibliothèque plutôt que Netflix soit une attitude rétrograde. Et j'ai la conviction que "continuer à vivre", pour te citer, implique plutôt de refuser ce mouvement actuel dicté par des "majors" du loisir ou des réseaux sociaux.

Je ne fais le procès de personne. Pour la petite histoire j'ai du résilier à contre cœur mon abonnement ADSL chez OVH en emménageant avec ma baronne, car cette dernière ne pouvait se résigner a abandonner la sacro-sainte box TV de Martin Bouygues. Chacun sont p'tit kiff.
Je reste toutefois persuadé qu'OVH a davantage besoin de mes tunes que le nuisible Bouygues dont les visées sont de contrôler l'opinion publique (via le rachat de médias), perturber l'autorité de régulation qu'est l’état (via l'opinion publique), faire perdurer la Françafrique, et j'en passe. Là encore je ne crois pas avoir un comportement rétrograde, obscurantiste ou même extrémiste.

Donc pour résumer: je n'ai cure d'accompagner un "mouvement global", n'ai pas le sentiment de me "priver" ou de "vivre a l'âge de la pierre" en vivant sans les services de VOD suscités, ne souhaite pas rentrer dans le moule pour "continuer a vivre" (je vais bien merci) et ne me considère pas "extrémiste" ou survivaliste sur la planète internet en refusant de brancher ma TV a autre chose qu'un PC administré par mes soins.

A bon entendeur, Salut!

Edit: Il semble que Netflix ait augmenté ce jour le tarif de son offre "deux écrans" aux US depuis 10.99 vers 12.99 USD.

[bluboy]

Pour avoir bosser comme développeur sur des boîtiers TV de fournisseurs ADSL,
Chaque sélection d'un menu est envoyé au fournisseur.
Et dans ce cas c'est un suivi très léger. Certains FAI souhaite que tout appuis sur une touche soit logué.

[Mathis Lucas]

Une étude révèle que des milliers d'appareils Android bon marché sont équipés d'une porte dérobée préinstallée
et sont utilisés pour l'exécution de code à distance et la fraude publicitaire

Une nouvelle étude rapporte que des milliers d'appareils Android (appareils mobiles, téléviseurs connectés, etc.) bon marché sans marque sont préchargés avec un logiciel malveillant appelé Triada. L'étude utilise le terme "BADBOX" pour désigner cette opération d'infection et de distribution d'appareils Android et les appareils infectés étaient vendus pour moins de 50 dollars. Les chercheurs ont trouvé plus de 200 modèles avec des logiciels malveillants préinstallés et, lorsqu'ils ont acheté sept appareils en particulier, ils ont constaté que 80 % des unités étaient infectées par Triada. Une autre opération appelée PEACHPIT implique des applications mobiles malveillantes.

Découverte d'un réseau d'appareils électroniques Android compris à l'échelle mondiale

L'étude, intitulée "Trojans All the Way Down: BADBOX and PEACHPIT", a été publiée par la société américaine de cybersécurité Human Security. Elle s'est concentrée sur deux opérations clés : la première est le réseau BADBOX qui est composé d'appareils Android bon marché disponibles à l'achat en ligne populaires et dans des magasins physiques. Ces appareils sont infectés par des logiciels malveillants avant même d'arriver dans les mains de l'acheteur peu méfiant. Mais le réseau ne s'arrête pas aux boîtiers TV Android ; il s'étendrait aux applications de mauvaise qualité installées volontairement par les utilisateurs sur leurs téléphones Android et leurs iPhone.

La seconde opération étudiée par les chercheurs d'Human Security est baptisée "PEACHPIT. Il s'agit d'un réseau qui se concentre sur les applications de mauvaise qualité, installées volontairement par les utilisateurs sur leurs téléphones Android et leurs iPhone. Ces applications sont accompagnées d'une mauvaise surprise sous la forme d'un code malveillant qui ouvre une porte dérobée que les cybercriminels peuvent exploiter. C'est un rappel brutal que tout ce qui brille dans le magasin d'applications n'est pas forcément de l'or. Les chercheurs ont signalé l'opération PEACHPIT à Apple et Google, indiquant qu'elle implique au moins 39 applications Android et iOS.

Google a déclaré avoir supprimé les applications à la suite des recherches d'Human Security, tandis qu'Apple a déclaré avoir trouvé des problèmes dans plusieurs des applications qui lui ont été signalées. Selon les chercheurs d'Human Security, ce réseau d'appareils compromis a servi de plateforme à divers stratagèmes malveillants, notamment la fraude publicitaire, les services proxy, l'exécution de codes à distance et même l'enregistrement illicite de comptes Gmail et WhatsApp. Ces appareils se trouvent dans des foyers, des entreprises et des écoles à travers l'Europe, les États-Unis, etc. L'on ignore l'ampleur réelle des dégâts liés à ces deux opérations.

Les chercheurs ont découvert que les boîtiers TV infectés utilisent le système d'exploitation "Android Open Source Project" (AOSP) au lieu du projet Android TV qui est certifié par Google. Le projet AOSP est disponible en open source et en accès libre. « Les appareils sans marque infectés par la porte dérobée BADBOX n'étaient pas des appareils Android certifiés Play Protect. Si un appareil n'est pas certifié Play Protect, Google ne dispose pas d'un registre des résultats des tests de sécurité et de compatibilité », explique Ed Fernandez, porte-parole de Google. Fernandez a expliqué que l'entreprise dispose d'une liste de partenaires certifiés pour Android TV.

Au total, les chercheurs ont confirmé l'existence de huit appareils dotés de portes dérobées : sept boîtiers TV Android (T95, T95Z, T95MAX, X88, Q9, X12PLUS et MXQ Pro 5G) et une tablette J5-W. (Certains de ses appareils ont également été identifiés par d'autres chercheurs en sécurité qui se sont penchés sur le problème au cours des derniers mois). Le rapport d'Human Security, dont l'auteur principal est Marion Habiby, scientifique des données, indique que l'entreprise a repéré au moins 74 000 appareils Android présentant des signes d'infection par BADBOX dans le monde entier. Selon les chercheurs, les téléviseurs en cause sont fabriqués en Chine.

Cependant, quelque part avant qu'ils n'arrivent entre les mains des revendeurs - les chercheurs ne savent pas exactement où - une porte dérobée de micrologiciel leur est ajoutée. Cette porte dérobée modifie un élément du système d'exploitation Android, ce qui lui permet d'accéder aux applications installées sur les appareils. « À l'insu de l'utilisateur, lorsque vous branchez cet appareil, il se connecte à un centre de commande et de contrôle (C2) en Chine, télécharge un jeu d'instructions et commence à faire tout un tas de mauvaises choses », explique Gavin Reid, le RSSI d'Human Security qui dirige l'équipe Satori Threat Intelligence and Research de l'entreprise.

Selon le rapport, les acteurs de la menace vendaient l'accès aux réseaux résidentiels à des fins commerciales, affirmant avoir accès à plus de 10 millions d'adresses IP domestiques et à plus de 7 millions d'adresses IP mobiles. Cela représentait une menace importante pour la vie privée et la sécurité d'Internet à l'échelle mondiale. À son apogée, le réseau d'applications malveillantes PEACHPIT fonctionnait sur un botnet couvrant 121 000 appareils par jour sur Android. En ce qui concerne iOS, les applications malveillantes utilisées par les cybercriminels auraient fonctionné sur 159 000 appareils Apple par jour au plus fort de la campagne PEACHPIT.

Les appareils mobiles compromis sont engagés dans une fraude publicitaire massive

Les appareils infectés diffusaient plus de quatre milliards de publicités par jour, toutes invisibles pour les utilisateurs. « N'importe qui peut accidentellement acheter en ligne un appareil faisant partie du réseau BADBOX sans jamais savoir qu'il s'agit d'un faux, le brancher et ouvrir sans le savoir ce logiciel malveillant à porte dérobée. Ce logiciel malveillant peut être alors utilisé pour voler des informations personnelles, exécuter des robots cachés, créer des serveurs proxy résidentiels, voler des cookies et des mots de passe à usage unique, ainsi que d'autres systèmes de fraude uniques », écrit Rosemary Cipriano, membre de l'équipe d'Human Security.

Il convient de noter que le T95 est un boîtier TV connu pour contenir des maliciels préinstallés. En janvier dernier, Daniel Milisic, consultant canadien en cybersécurité, a découvert un logiciel malveillant sur le boîtier TV T95 qu'il avait acheté sur Amazon. En février, les chercheurs de Malwarebytes ont confirmé l'existence de logiciels malveillants préinstallés sur ce boîtier TV. Toutefois, à ce jour, Amazon continue de vendre le boîtier TV T95 malveillant. Selon Reid d'Human Security, le réseau ressemble à un "couteau suisse pour faire de mauvaises choses sur Internet". Reid a déclaré aux médias qu'il s'agissait d'une fraude bien organisée.

Selon le rapport, bien que les auteurs de PEACHPIT semblent différents de ceux de BADBOX, il est probable que les deux groupes travaillent ensemble d'une manière ou d'une autre. « Ils disposent d'un SDK pour la fraude publicitaire et nous avons trouvé une version de ce SDK qui correspond au nom du module déposé sur BADBOX. C'est un autre niveau de connexion que nous avons trouvé », explique Joao Santos, chercheur en sécurité chez Human Security. Selon les chercheurs de l'entreprise, la fraude PEACHPIT concerne à la fois les appareils Android et iOS, mais la porte dérobée BADBOX n'a été trouvée que sur Android, pas sur les appareils iOS.

Les données dont dispose l'entreprise ne sont pas exhaustives en raison de la complexité du secteur de la publicité, mais Redi estime que les auteurs de ce stratagème auraient pu facilement gagner 2 millions de dollars en un seul mois. Redi a déclaré que vers la fin de l'année dernière et au cours de la première partie de cette année, Human Security a pris des mesures contre les éléments de fraude publicitaire de BADBOX et de PEACHPIT. Selon les données communiquées par la société, le nombre de requêtes publicitaires frauduleuses provenant de ces systèmes a complètement chuté. Mais les attaquants se sont adaptés à la perturbation en temps réel.

L'entreprise explique que lorsque les contre-mesures ont été déployées pour la première fois, les auteurs des stratagèmes ont commencé par envoyer une mise à jour pour brouiller les pistes. Puis, les auteurs de BADBOX ont mis hors service les serveurs C2 qui alimentaient la porte dérobée du micrologiciel. Ces résultats concordent avec ceux d'autres chercheurs. Fyodor Yarochkin, chercheur en menaces chez Trend Micro, explique que l'entreprise a vu deux groupes chinois de menaces qui ont utilisé des appareils Android piratés. Selon lui, l'un a fait l'objet de recherches approfondies, l'autre est celui sur lequel Human Security s'est penché.

Il a déclaré que Trend Micro a trouvé une "société de façade" pour le groupe sur lequel elle a enquêté en Chine. « L'infection des appareils est assez similaire. Ils prétendaient avoir plus de 20 millions d'appareils infectés dans le monde, avec environ 2 millions d'appareils en ligne à tout moment. Il y avait une tablette dans l'un des musées quelque part en Europe », explique-t-il. Yarochkin a ajouté qu'il est possible que des pans entiers de systèmes Android aient été touchés, y compris dans les voitures. Il a déclaré : « il est facile pour eux d'infiltrer la chaîne d'approvisionnement. Et pour les fabricants, c'est vraiment difficile à détecter ».

Sources : Human Security, rapport de l'étude (PDF)

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des menaces de sécurité BADBOX et de PEACHPIT ?
Selon vous, quels pourraient être les impacts de BADBOX et PEACHPIT ?
Comment peut-on se débarrasser de ces menaces de sécurité ?

Voir aussi

Le fabricant chinois de téléviseurs intelligents Skyworth est accusé d'espionner les autres appareils de ses clients par l'intermédiaire d'une application préinstallée sur les téléviseurs

Il y a une raison simple pour laquelle votre nouveau téléviseur intelligent était si abordable, il collecte et vend vos données, selon un rapport

Les dispositifs de streaming piratés sont truffés de logiciels malveillants, selon un nouveau rapport d'étude

WikiLeaks : comment la CIA aurait piraté les smart TV de Samsung pour les transformer en dispositifs d'écoute des conversations privées

[phil995511]

Il faudrait poursuivre les fabricants, importateurs et distributeurs de tels produits pour atteinte à la vie privée...