Badbox c’est le nom donné par une étude à une pratique mafieuse touchant l’industrie des appareils Android en général et des TV-Box en particulier. Une étude qui dévoile des chiffres effrayants en ce qui concerne le nombre d’appareils infectés.
Je vous en parlais il y a peu, j’ai arrêté de suivre l’actualité des TV-Box Android il y a un bon moment maintenant. Mon constat assez amer au moment où j’ai pris cette décision était triple. Le premier était dans la course effrénée aux nouveaux modèles qui se suivaient sans cesse. A peine une Box sortie qu’une nouvelle était annoncée, souvent pour corriger juste un bug de la première. Plus rentable que de faire une mise à jour, les constructeurs préféraient lancer de nouvelles versions plutôt que de suivre les anciens modèles. Le fait que les TV-Box soient vendues à des prix très bas – entre 20 et 30€ – justifiant selon eux cette méthode.
Corollaire de ce premier problème, un second souci se posait. Aucun suivi n’était proposé pour ces TV-Box. En cas de bug du système entier ou d’une application essentielle, la box était le plus souvent bonne à mettre à la poubelle… Un gâchis de ressources énorme et une dépense finalement importante pour le client. Ce qui m’avait donné envie de publier un long billet sur les Nvidia Shield TV en 2018 où j’expliquais que la différence de tarif entre une TV-Box noname et celle de Nvidia finissait par se justifier amplement dans le temps.
Troisième souci, le comportement étrange de ces appareils. J’avais déjà remarqué alors que certaines box, envoyées par des revendeurs, réagissaient bizarrement. Des engins qui se mettaient à envoyer et recevoir des tonnes de données dès leur branchement à un réseau. Sans que cela ne se justifie à l’usage. Pourquoi une TV-Box aurait besoin d’envoyer et de recevoir des centaines de Mo/s si je ne lui demande rien, juste en l’allumant la première fois, sans avoir même lancé une application ou une mise à jour. Ces pratiques étaient très inquiétantes d’un point de vue de sécurité.
Ces trois éléments conjugués m’ont fait baisser le rideau de cette rubrique sur minimachines. Fini les TV-Box noname malgré les nombreux modèles que je recevais et que je continue à recevoir de temps en temps. Aujourd’hui, avec du recul, cette décision s’avère finalement très positive.
La mafia des TV-Box
C’est à une échelle industrielle que Badbox a opéré. Cette appellation désigne l’infection de dizaines de milliers d’appareils Android de tout type avec un logiciel malveillant baptisé Triada. Le terme rappelle sans ambiguïté les triades mafieuses et l’ensemble des applications employées opère bel et bien pour le compte d’organisations de ce type. Les appareils infectés sont divers mais le vecteur principal semble être les TV-Box. Peu chères, utilisées en masse pour un usage connecté, exploitées comme des objets indépendants de tout pilotage informatique, ce sont les vecteurs parfaits pour piloter un large réseau de machines zombies.
Plus de 200 modèles de TV-Box ont été recensés comme infectés par Triada. 80% des TV-Box « noname » seraient concernées mais d’autres vecteurs seraient également à l’œuvre. En particulier des applications diverses, souvent des copies de copies d’applications existantes comme une calculatrice, un convertisseur de mesures ou une boussole. Des apps qui sont proposées par d’autres apps et qui tissent chaque jour un réseau de plus en plus étoffé. Cet ensemble de machines infectées a servi aux pirates comme une base arrière pour plusieurs opérations différentes : vol de données, création de comptes en masse, fraude publicitaire et création de portes dérobées pour venir fouiner dans les différents appareils.
Google et Apple ont évidemment pris le taureau par les cornes et fait le ménage dans ces applications malveillantes. Là où le problème subsiste c’est dans les appareils infectés dès leur sortie d’usine. Les fameuses TV-Box « noname ». Les fabricants à la recherche de la meilleure rentabilité possible se sont laissés tenter par diverses sources de revenus et d’économie. Quand différents acteurs se sont présentés avec des systèmes prêts à l’emploi, particulièrement travaillés pour l’usage d’une TV-Box et totalement gratuits, ils se sont évidemment laissez faire.
Un contact m’expliquait en 2017 que certaines images d’Android étaient injectées en masse sur les appareils en se basant juste sur des composants standard : SoC embarqué et puces réseau.Le contenu de l’image n’était pas vraiment au cœur des préoccupation du fabricant. Certains constructeurs recevaient de l’argent pour chaque installation logicielle de ce type. Un phénomène classique issu des applications publicitaires. Quand vous découvrez que votre ordinateur à un système qui pointe vers un jeu vidéo ou un service de streaming par exemple. Des éléments qui ne sont pas présents dans l’image d’origine du système. Le constructeur a perçu quelque chose de l’éditeur du service pour ajouter un lien vers son produit. Pour une usine qui vend des machines proposées à 20 à 25€ au public, qui ne lui rapportent que quelques euros pièce, il y a beaucoup de marge à gagner en récupérant quelques centimes liés à la pub. Ajouter des applications sur son image système n’est pas bien compliqué. Si en plus on n’est pas responsable de la création et du développement dudit système, c’est encore plus intéressant financièrement parlant. Si enfin on n’est pas le nom qui apparait sur la TV-Box à la fin… On ne risque rien.
Et c’est comme cela que Triada a fini par devenir un véritable fléau pour cette industrie. Les TV-Box ont reçu de plus en plus de systèmes basés sur « Android Open Source Project », une version Open Source d’Android, non certifiée par Google et totalement gratuite. Si AOSP est « propre » par défaut, c’est un excellent terrain de jeu pour des pirates en herbe qui peuvent le détourner pour y glisser les infections de leur choix. D’autant que le tatouage logiciel exécuté par Google pour vérifier le système lorsqu’il se connecte au Google Store n’est pas activé. « Play Protect », qui assure cette traçabilité de l’image du système, n’est pas pris en charge. Il suffit donc au pirate de proposer un accès alternatif au magasin d’applications de Google pour que la validation des applications téléchargées ne soit plus active.
C’est ainsi que des tablettes, des smartphones, des télé connectées et des TV-Box sont non seulement livrées au public avec des logiciels malveillants mais que rien ne les empêche ensuite d’en télécharger de nouveaux, volontairement ou involontairement. Human Security, aux manettes de ce rapport concernant Badbox, indique que si au moins 74 000 appareils Android sont infectés par Triada dans le monde. Ils n’ont testé réellement que 7 TV-Box et peuvent avoir laissé passé des milliers d’autres engins sous leur radar.
Un design qui annonce la présence d’une porte dérobée
Badbox : pour quoi faire ?
Une fois que vous connectez un appareil infecté à un réseau, les malwares embarqués s’activent. Sans que l’utilisateur ne s’en aperçoive, l’appareil se connectait à un serveur piloté par les pirates quelque part en Chine. Commençait alors la collecte de données assez intrusives. Si l’appareil est connecté à votre compte Google pour profiter de Youtube ou à d’autres services, des données liées peuvent être rapatriées. Mais d’autres outils peuvent être exploités pour récupérer mot de passe et informations sur des comptes payants. Des accès à des services de streaming, des comptes vers des plateforme de eCommerce et autres peuvent ainsi être piratés.
Le réseau Badbox aurait ainsi accès a des millions d’adresses IP sédentaires et mobiles. De quoi récupérer des données importantes mais aussi donner des idées supplémentaires aux pirates. Un réseau de publicité invisible a ainsi été mené sur ces appareils. Les pirates pouvant facilement « distribuer » des millions et des millions de bannières publicitaires à travers le monde, avec des rapports complets et détaillés de leurs campagnes pour satisfaire les donneurs d’ordre. Aucune de ces publicité n’étant en réalité visible par les utilisateurs finaux puisqu’elles s’exécutaient en arrière plan des usages réels des machines. On peu générer une fausse attention, un temps de consultation des pubs et même des clics sur les différents éléments sans aucun problème. Les utilisateurs ne se lassent jamais de ces pubs, ne choisissent pas de els fermer ou des les ignorer…
Pas un souci pour l’utilisateur ? On peut se dire que le fait de ne pas avoir de pub intrusive sur la TV-Box n’est pas gênant. Mais c’est sans compter le coût de ce type d’opération pour les marques. Si un fabricant de chaussures propose une publicité en ligne, il en répercutera le coût d’affichage dans les produits qu’il vendra ensuite. Le fait que la pub se soit affichée ou non ne change rien à ce problème, elle affectera le prix des produits commercialisés. L’étude parle d’un total de diffusion de 4 milliards de publicités par jour. Toutes invisibles. Mais qui ont évidemment un impact conséquent pour les marques.
Enfin, Badbox se servait de son réseau pour créer des robots logiciels. Ces programmes peuvent intervenir en masse pour différents usages malveillants. Du matraquage de sites par des milliers de faux utilisateurs en même temps pour les faire tomber – un service exécuté comme un point de pression pour un chantage ou comme commande de la part d’un concurrent. Faire tomber un site en quelques clics est un pouvoir assez énorme aux mains d’une entité malveillante.
La création de serveurs proxy est une autre possibilité offert par Triada. On peut facilement se servir de la machine d’un particulier qui, pendant que ce dernier regarde un film, va chercher à se connecter à un service en ligne. Plutôt que de se baser sur l’IP d’un serveur d’un pays différent pour accéder au même service. On peut ainsi se connecter comme si on était un véritable particulier avec une adresse IP locale. Cela sert à tester des sites sans se faire griller au bout de trois essais. De changer facilement d’IP et de rester discret. Cela peut également servir à utiliser un réseau social à des fins de propagande en trompant les algorithmes avec des adresses IP toujours différentes. Créer de faux comptes, les remplir de messages et avoir une armée de robots prête à soutenir telle ou telle cause ou relayer telle ou telle opération marketing…
Que faire si on a une TV-Box Noname?
Que faire si on a une TV-Box Android noname dont on n’est pas sûr ? Il existe trois solutions efficaces pour éviter tout problème avec sa Box. La première est la plus simple. Ne plus l’utiliser en mode connecté. On peut très bien la garder en mode déconnecté en l’utilisant comme lecteur de vidéo sur une clé USB par exemple. Cela empêche évidemment l’exploitation des services de streaming comme Youtube ou Netflix mais c’est plus sûr.
L’autre solution est de surveiller – et bloquer – les usages louches de la box. Ce qui nécessite des compétences spécifiques. Il faut identifier les entrées et sorties réseau de la box et bloquer celles dont le comportement est anormal. Ou, plus facile, n’autoriser que des comportements spécifiques comme l’accès à un service de streaming par exemple. Mais le risque est de devoir maintenir cette surveillance dans le temps, les logiciels employés pouvant muter et changer de comportement.
La dernière et la plus radicale des solutions est de ne plus employer son appareil… Ce qui est évidemment un sacrifice. Surtout si il s’agit d’une tablette ou d’un téléviseur. Mais c’est peut être moins cher que de se rendre compte qu’on a perdu l’accès à ses réseaux sociaux ou que son compte en banque a été piraté…
La fin de Badbox ?
Des contre mesures ont été mise en place par différents acteurs afin de lutter contre ce réseau. La fraude publicitaire a été révélée et le nombre de requêtes a drastiquement diminué. Les développeurs de Triada ont tenté de modifier leur approche en mettant à jour les appareils connectés infectés. Tentative repérée par les chercheurs en sécurité et qui a finalement conduit à la disparition de certains serveurs en Chine. Est-ce la fin de Badbox pour autant ? Je n’en suis pas si sûr. Tant que le public sera prêt à craquer pour un appareil à 20-25€ qui ne donnera aucune information sur son constructeur et son système d’exploitation, ce type d’opération perdurera. Tant que la presse en ligne relaiera ce genre de machines, elles continueront à être vendues. Tant que des places de marché continueront de proposer ces engins en masse, la mafia à l’origine de ces réseaux pourra continuer à prospérer.
Source : Human Security et Wired. Merci à Sam pour sa veille.
| 2,5€ par mois | 5€ par mois | 10€ par mois | Le montant de votre choix |
Le sujet commence à émerger dans les médias généralistes, c’est une bonne chose.
Au risque de passer pour un grand paranoïaque, je pense que ce problème peut toucher tout objet connecté/domotique.
Aujourd’hui les box TV, demain les caméras IP ou les ampoules/interupteurs connectés.
Les constructeurs reconnus peinent à suivre le rythme pour maintenir des firmwares sécurisés, alors un truc produit à la va vite pour un prix dérisoire, je me gausse…
Hi, depuis ma première Tv Box Flexview Fv-1 Hd, je n’est jamais mis aucune données me concernant, rien, je me suis toujours méfier autant de PC et android.
Pour tout achat et payement et autres papier administratif, j’ai toujours utiliser LINUX.
merci pour l’article, j’avais vu une video de linustips à l’époque qui en parlait déjà, c’est assez incroyable…
mais pas si étonnant, comme tu le dis dans la conclusion de ton article.
Salut Pierre, j’ai une question que tu as peut-être déjà couvert mais bon, sans parler des CarPlay AI Box Android, pourquoi il n’y a pas de box tv android sous Snapdragon ?
C’est dommage de jeter le bébé avec l’eau du bain. Quid des box des OEM de premier plan (Xiaomi, Amazon, Nokia), voire de second plan (Minix, Ugoos) ? Une box Android est toujours le meilleur moyen d’avoir
1- une vraie smartTV (avec des updates, des petits jeux pour les petits enfants, une interface raisonnablement moderne et rapide, du stackage et du bon réseau)
2- un faux PC avec Skype, Office, écranwebcamclaviersourisimprimante pour vieux ou tout jeune.
Plutot que de condamner tout en bloc en sur-généralisant (au passage, il faut dans ce cas condamner aussi tous les smartphones Android et les tablettes, vu qu’il y en a aussi des infectés ?), plutot que de faire un effort de recherche, recommendation, et éducation.
@Iron_Momo:
D’où l’intérêt évident, au delà de l’aspect consommation pas vraiment optimal d’un réseau wifi, de n’acheter que de des bidules domotique utilisant des radio basse conso (idéalement maillés, type zwave/zigbee). On gère ainsi la partie contrôleur seule connectée au réseau plus simplement.
Autre possibilité pour les bidouilleurs, installer armbian sur ces box.
Pour moins de 20€ on a souvent l’équivalent d’un pi3, mais dans un boitier, une alimentation et une mémoire de stockage (pas toujours évidente a utiliser certes).
En plus on peut se tourner vers les box d’occasion.
La seul choses qui m’étonne c’est que les distribution android (ex : lineagos) ne propose pas d’images pour ces box qui malgré des nom différent, on souvent le même hardware.
@Olivier Barthelemy:
Il se vend qd même plus de TV-Box noname que de smartphones noname, car Mme Michu achète son smartphone plutôt chez Darty et consort que chez Aliexpress chez qui son panier n’excèdent pas qlq dizaine d’euro, soit pile poil le prix de ces gadgets vérolés.
Après le vrai pb, c’est surtout d’avoir perdu notre souveraineté numérique et d’être inféodé aux américains pour le soft/cloud (GAFAM) et aux chinois pour le hardware (production). Bref, pauvre Europe… :/
@Olivier Barthelemy:
Ici c’est vérolé dès la sortie d’usine ce qui change un peu.la nature du problème quand même !
Puis le distingo est fait à travers l’exemplarité de nvidia. Entre les deux, bin y’a les autres!
Dans tous les cas vu l’évolution rapide des encodages vidéo il vaut mieux avoir un matériel ayant un suivi logiciel et non limité par un décodage purement matériel.
Si Google facilitait aussi l’usage d’Android TV pour les constructeurs de boîtes android au lieu d’appliquer des tas de restrictions, on en serait peut-être pas là.
Mon habitude de systématiquement tester un nouvel équipement sur un réseau isolé (merci mon bon vieux firewall) et de regarder ce qui transite sur l’extérieur m’a des fois réservé quelques surprises, notamment sur des box tv noname.
Mais pourquoi il sort des données vers des serveurs chinois, russes, … alors que j’ai encore rien lancé comme application ?
déjà que sur bon nombre d’appareil de marque connues et reconnues je blacklist pas mal de chose en sortie…
Coucou le collegue qui vend des box iptv du bled à tour de bras :) Allez on en connait tous un !
A l’occasion de la mise en place d’un SIEM (cumul de logs), et d’une session de ‘transfert de compétence’, le formateur nous a posé la question, à titre d’exercice, de trouver les machines accédant (ou non) à des sites américains, russes ou chinois.
Est apparue une machine qui effectuait, chaque minute, une connexion https avec un site chinois. Après identification, il s’agissait d’une ‘Smart TV’ chinoise, avec un Android (5.1) intégré, qui était connectée au réseau.
Et, cela à partir d’une question anodine …
@Olivier Barthelemy: Bah je parles bien de noname : Les « T95 » et autres appellations génériques qui n’ont de différence que le format du boitier ou 2touches de la télécommande. Il y a un monde entre une Minix, une Xiaomi et une des T95 qui servent a illustrer le billet.
Reste que j’ai vu de fausses Xiaomi sur le marché… Et que cela reste compliqué.
Rien ne vaut un system ferme malheureusement … en box android la meilleur c est Nvidia … et pour moi les meilleurs Tv sont les apple Tv … et oui cela a un prix !
@bambou: Trop cher les Snapdragon.
Faut bien comprendre que une TV Box noname a 30€ en France, si on enlève les frais de port, la TVA et autres d’un côté et la marge plus l’assemblage et l’emballage il reste vraiment pas grand chose en materiel dedans. 8-10€ a tout casser. Tu peux intégrer un SoC a 1 ou 2€, pas plus.
Apres tu peux aussi faire une TV Box a 100€ avec un Snapdragon mais c’est dur de lutter question tarif face aux solutions a 25€ pare que dans l’absolu tu ne fais rien de mieux avec. Quand Nvidia a lancé la Shield 10 fois plus chère que les TV Box noname, c’était jugé par tout le monde comme une solution hors de prix… Invendable. Il a fallu pas mal de temps pour que le regard sur le produit évolue.
@ben: Oui mais c’est pas grand public. Pour LineageOS c’est lié aux problèmes de ces solutions.
Tu peux avoir la production qui va changer de composants au cours du même mois. La TV Box du 1er sera avec une puce audio et une puce Wi-Fi. Le 15 cela aura changé. Le 30 cela encore changé.
Ce qui fait que tu ne peux pas faire facilement la proposition d’une version « globale » de LineageOS. Il faut 50 versions. Et si en plus le constructeur change d’autres composants comme le PMIC, le contrôleur USB ou autre, cela peut être un vrai casse tête. D’autant que les constructeurs ne documentent pas ces changements et ne font pas des MAJ de versions sur le PCB pour « si peu ».
Et les mini-PC made in China sont ils beaucoup plus sur que les Box TV? Les derniers mini-pc avec des n100 par exemple.
@Jacques44: Ca m’étonnes pas.
@Koa: La première fois ça surprend. Avec une bonne fibre le pirate peut récupérer des Go de données en un tournemain.
@Emma: Je recommande toujours de faire une installation « fraiche » du système avec une image téléchargée sur le serveur de l’éditeur (Linux ou Windows). La grosse différence c’est qu’on peut formater totalement le stockage et qu’il y a peu de risque d’avoir une backdoor physique sur la carte mère, c’est trop cher et pas rentable…
@Pierre Lecourt:
Même si ce serait théoriquement possible de taper au niveau de la multitude de firmwares présents ou au niveau BIOS/UEFI, en pratique c’est compliqué: Le marché des BIOS, que ce soit HP ou un obscur chinois est tenu par 3 acteurs très liés à Intel/AMD et faire sans serait très compliqué. Ne serait-ce que parce que Intel ne fourni les firmwares non signés qu’a ces acteurs et qu’il n’est pas possible de s’en passer: Sans cela, impossible d’industrialiser quoi que ce soit qui puisse ne serait-ce que simplement démarrer.
Et pourquoi s’emmerder à taper si bas à grands frais quand aucun acheteur ou presque ne va remplacer l’image préinstallée qu’il est si facile de pervertir?
@yann: Oui, pas rentable. Bien plus simple de dév une app ou de racheter une app à succès et de proposer une maj vérolée…
Qu’est-ce que je suis content d’avoir acheté la Nvidia Shield en 2015 … allez encore 2 ans et on pourra souffler les 10 bougies ;-)
@calvin: La mienne est toujours en fonction sur le projecteur.
Et j’ai une nouvelle sur la télé.
Avant j’avais un WD TV Live, bien vieux, mais ca vallait deja dans les 150€. La shield ne m’a pas choqué niveau prix surtout vu la durée de vie !
Encore une billet d’utilité publique, merci.
L’issue plus ou moins rapide est quand même la disparition de ces machines faute de support, faute d’être trop vérolées, faute du condo qui grille ou du disque qui est corrompu … pour 20/30 € d’achat +ou- amorti, un utilisateur de ce type de produit n’hésitera pas à s’en débarrasser pour autre chose qui marche.
Avec cette expérience et des prix qui ne sont plus les mêmes, peut être que les acheteurs seront plus regardant à l’avenir et que le marché en est sorti assaini/assagi, je ne sais pas trop on peut rêver quoui !
@Luc: Je pense que des trucs comme les FireTV ont raflé le marché
@calvin: De toute façon, quand la Switch ne sera plus produite (d’ici l’année prochaine si la novuelle console sort en 2024), Nvidia arrêtera de produire le Tegra X1 et inévitablement, une nouvelle Shield sortira.
J’utilise une box xiaomi depuis plus de 3 ans, sans aller jusqu’au vol de comptes google, ou autres, niveau pub c’était au delà de ce que j’étais prêt à accepter (pour moi, et pour mon jeune fils), suite à une mise à jour j’avais des recommandations en page d’accueil, sur des services que je n’utilise pas, pour des produits qui ne me concernaient pas.
Finalement, j’ai désactivé tout ce que je pouvais via adb, y compris le launcher.
J’ai remplacé les applis présentes par des applications opensource équivalentes (via adb toujours).
Depuis c’est nickel, la box n’a même pas mon compte google de renseigné, elle ne plante plus.
On y gagne bien souvent au change (services de replay sans pub, qualité réglable, youtube sans pub, etc).
Je n’utilise pas de netflix/disney/services drmisés donc pas de problème pour moi.
Je fais la même chose sur mon téléphone.
Et sur mon PC même principe, pas de windows mais une archlinux.
Certes il faut des compétences. Mais la liberté à mon sens, la confiance, le contrôle de nos appareils méritent de faire l’effort d’apprendre pour ceux qui le peuvent.
Justement, un FireTV ne fait-il pas la même chose ?
20-25€ c’est le prix d’un stick, ou des machins espions de Google Amazon Lenovo quand ils les soldent. Qui affichent 2/3 de pubs sur l’écran d’accueil (bien plus qu’à leurs débuts). Qui ont des micros qui sont sensés se désactiver logiciellement hors sollicitation.
Mais si tu as un majordome à qui tu cries des ordres à l’envie, il doit bien scruter toute ton activité pour réagir à la prochaine injonction. Donc être attentif en continu.
J’écris depuis un Redmi 7a qui m’affiche des pubs sur l’écran de verrouillage si je change le fond d’écran.
Jancovici dénonçait l’inutilité de Netflix et du porno, mais le plus gros gaspillage de ressources au monde c’est bien la pub. Qui découle du monde où tout est argent : le temps, l’attention, les interactions…
Je remarque que tu fais de plus en plus d’articles sur la « sécurité » ou les dérives de nos appareils intelligents, mais les smartphones, les tablettes ? Quels sont les volumes de données échangés lors de l’inactivité apparente ? Même d’un Windows, depuis le 8. Enfin non. Depuis Xp, Athena.
Les stockages rapides, les rams démesurées, et les connexions fibrées, sont les pré requis aux service en tâches de fond qui se font oublier, au point de ne plus nous demander notre avis.
Et que dire d’Ios, ou IpadOS, qui depuis la v17 me dis si je tiens ma tablette trop proche du visage. Théoriquement pour me suggérer un rdv ophtalmo. Ça signifie bien que la caméra m’observe en tâche de fond en permanence. Sans option pour le désactiver.
C’est autrement plus pregnant que des faux clics sur pubs invisibles, non ?
Merci Pierre pour cet article une nouvelle fois très utile. Je partage ton point de vue mais en juin 2020 (il y a donc 3 ans), j’ai « craqué » pour une petite box Android (A95X R3 Android 9 4Go/32Go pour 35€. Merci Ali) afin de ne plus utiliser la box de mon opérateur téléphonique.
Aujourd’hui, cette box Android fonctionne toujours et elle ne m’affiche pas de pub. Cela étant dit, je n’ai pas regarder si elle servait de relay pour des serveurs. Je reconnais que parfois, elle lague un peu sour Netflix mais une mise à jour de Netflix corrige le pb.
J’ai donc un avis mitigé sur ces box Android, qui n’est pas pire qu’une tablette, un smartphone, un Mac ou Windows.
@Arpenteur: et tout ça, c’est depuis « culture pub » ;-)
Mais sinon, je suis bien d’accord avec toi. La pub, les bannières qui s’affichent (et , miracle (!), cela rapporte des sous à quelqu’un), les applis/systèmes vérolés pour créer du flux, des clics&like, ou pour te profiler … c’est assez délirant au vu de l’énergie dépensée et de « l’intelligence » mise en œuvre pour que tout cela finisse finalement dans les oubliettes/poubelles de l’histoire. (la pub ou ces trucs pourris(*)).
Par contre je pense qu’avec discernement il y a moyen de s’en sortir comme le laisse entendre @rimaille. Tandis que d’autres prendrons une FireTv et l’abonnement Amazon qui va bien avec et ça juste marchera …
(*) pas comme le matériel Apple qui est super costaud et qui à la prochaine version d’iOs saura ce qu’il y a dans ton frigo ;-)
@Arpenteur: Il y a un monde entre les pratiques d’un Amazon (ou de tout GAFAM) et celles de la Mafia. On ne se sert pas de ta TV-Box pour paralyser un site avec une attaque DDOs ou relayer de la propagande pour influer sur des opinions publics avec de faux comptes Twitter ou Facebook avec une Fire TV.
On pense bien ce que l’on veut d’Amazon et du CLUF des Fire TV (tu remarqueras que je ne met jamais les Alexa en avant sur le site) mais il y a quand même une sacrée différence entre Amazon et la Mafia.
4ème solution, qui se rapproche de ta 2ème, mais est a priori beaucoup plus simple : installer sur la TV Box une appli qui permet de bloquer assez facilement tout ce qui passe par le réseau. Par exemple https://trackercontrol.org/
Ce type d’appli utilise un VPN local pour afficher tout ce qui tente d’accéder à l’extérieur du réseau et permet de bloquer facilement tout accès à n’importe quelle appli.
Je connaissais pas tiens !
Il n’y aurait pas déjà un OS qui passe de la publicité de merde et qui envoie des niouzes de pétasses dans la barre des tâches ? Qui sort de la télémétrie de ouf ? Qui ne s’installe que sur les machines les plus récentes et qui rend artificiellement obsolètes des machines pourtant compétentes ? Qui se contorsionne dans tous les sens pour forcer l’utilisateur à utiliser son navigateur plutôt que celui de la concurrence ? Entre autres choses.
@Marco: TOP NIVEAU @Pierre pour son article et son site & @tous ceux qui commentent les articles et me permettent de découvrir des choses que je ne connais pas… MERCI (& continue Pierre, que la force soit avec toi..!)
Trackercontrol est un must have ! Dispo sur le store opensource fdroid :
https://f-droid.org/fr/packages/net.kollnig.missioncontrol.fdroid/
@Arpenteur: « la distance d’affichage de l’œil n’a qu’une seule et une unique mission : réduire le risque que vous ou votre enfant ne développe une pathologie oculaire ». Elle n’est pas active par défaut. Pour activer la fonction, rien de plus simple. Dirigez-vous dans les réglages, puis dans le menu Temps d’écran. Vous trouverez, en seconde case, la nouvelle fonction Distance de l’écran.
iOS 17 : fonction « L’iPhone est trop proche » : Une fois activer, la fonction est très simple. Grâce au capteur TrueDepth de votre iPhone, celui-ci va être en mesure de calculer à quelle distance votre visage se situe de l’écran. S’il est à moins de 30 cm, alors l’iPhone se “bloquera” avec une fenêtre pop-up vous invitant, ou plutôt vous obligeant, à reculer.
@Pierre Lecourt: Y’a pas no-name dans le titre juste une condamnation globale et sans détail. Et la différence est peu discutée dans l’article, a part la nVidia qui est overkill pour a peu près tout le monde. Il y a des TV-box midrange qui ne sont pas vérolées, a peine plus chères, et qui sont très utiles.
La Mi Box S est a 50€
Bref, je suis pas mécontent d’avoir investit dans une apple tv il y a 7 ans, laquelle fonctionne toujours à merveille (et au moins je sais que c’est Apple qui m’espionne et pas la mafia russe de Honk Kong).
@Arpenteur : le Jancovici ferait bien de regarder du porno ça le déconstiperait ^^
Perso après une expérience très malheureuse avec un TV box (Beelink en plus), je me suis offert une XBox One S en promo à 99 balles.
Tous les services de VOD sont inclus, Molotov et VLC aussi… C’est rapide, fiable et relativement sûr.
Et soyons honnête, ceux qui achètent ces TV box s’en servent principalement à des fins de piratage. Ce qui est raconté dans l’article les laisse froid du moment qu’ils peuvent regarder leurs matchs gratos.
Parmi toute la constellation de box android, je pense que Ugoos sort de très bon produits (pas les plus économiques) qui ne devraient pas être trop vérolés et qui auraient toute leur place si il étaient en Widevine L1 au lieu de L3, dommage…
Personne pour parler de Librelec ou de Corelec? On retire la carte microSD avec l’OS Andoid vérolé, on insère la carte microSD avec Librelec ou Corelec, et voilà le homecinema retrouvé avec un certain suivi et une sécurité quasiment guarantie. Bien sûr, ce n’est pas pour tout le monde.
Liens https://coreelec.org/ et https://libreelec.tv/
@Olivier Barthelemy: Tu sais, ceux qui s’informent en ne lisant que les titres doivent avoir une vision du monde assez étrange. Si quelqu’un se contente du titre et pense qu’on a construit quelque part un énorme cercueil et qu’on a mis dedans toutes les TV-Box Android avant de le clouer, c’est triste pour eux. En tout cas moi je n’écris pas que des titres. Si la personne ne veut pas faire l’effort de comprendre mieux, ben elle restera comme elle est, mal informée. Mais dire que ce billet est une condamnation totale et sans détails alors qu’il explicite clairement le fonctionnement et la problématique soulevée par ces box, c’est être de mauvaise foi. Si j’étais un acteur de ce marché particulier, je créerais un label pour mes Box indiquant la présence d’un système garanti sans virus et j’en ferais un argument de vente majeur. Avec un partenariat auprès d’une équipe de développement indépendant pour améliorer cet OS. C’est juste de la flemme et une mauvaise habitude du marché qui fait que les TV-Box continuent de sortir sans cesse avec les mêmes erreurs.
Ensuite, dire que la Xiaomi Mi Box S peut se confondre avec un produit noname, c’est compliqué. Xiaomi c’est entre 12% et 30% du marché de la téléphonie en France. Des dizaines de milliards de CA… C’est pas vraiment ce que l’on peut appeller une marque « noname ». Ils font de la pub partout, sont présents sur tous les secteurs et font de l’ombre à des marques d’envergure. Très différent d’une boite de 2 personnes dans un bureau qui achète un lot de 500 TV-Box à une usine, colle éventuellement son logo dessus et font livrer les palettes dans les entrepôts de place de marché en Europe. Sans jamais voir le produit et en faisant une confiance aveugle dans l’usine qui les fabrique. Car la capture d’écran du billet reflète exactement ça. Les Tv-Box sont vendues comme des kilos de pommes de terre par un intermédiaire qui va faire la liaison entre le producteur et le supermarché.
Quand aux TV-Box MidRange non vérolées, oui, elles existent. C’est 20% du marché environ. MAis a tu une liste ? Un guide ? Une info a partager pour les trouver ? Le papier mentionné explique que certains acteurs de ce marché ne savent même pas que leur système est, ou a été, vérolé. Qu’ils ont distribué des Box avec Triada sans même le savoir. Alors imagine que je dise « cette marque et cette marque ça va » mais qu’en fait ce ne soit pas le cas. Qui va en assumer les conséquences ? Toi ? Moi ? Le lecteur ? En disant que les Box « No-name » premier prix sont plus susceptibles d’être infectées j’évite de lister des choses sans les maitriser. Parce que d’abord si je citait explicitement une marque elle pourrait m’attaquer en justice. ensuite parce que je pourrais bien avoir tord ou en oublier d’autres… L’exhaustivité ça a un certain charme, mais c’est également beaucoup de risques.
Parce que rien ne garanti qu’une TV-Box « noname » ou de marque ne soit exempte de ce problème et surtout pas son positionnement prix. Il est arrivé que de grandes marques de PC proposent des PC vérolés en usine. En 2015 par exemple, il y a eu l’affaire Superfish chez Lenovo. Des machines vendues neuves, avec une infection dangereuse pour les données utilisateurs installée en usine. Si être une grande marque ne garanti pas la propreté de son systeme tu avoueras qu’au vu des stats soulevées par l’analyse de sécurité, le marché des TV-Box noname rend plus que probable une infection.
Et je pense que personne n’a compris en lisant ce papier que des sociétés comme Xiaomi, Beelink, Khadas ou Ugoos étaient des marques noname… Justement parce que ces marques ont quelque chose a perdre en refilant une box vérolée… leur réputation. Soit tout l’inverse de ce que propose une marque « noname ».
Regarde ici : https://amzn.to/3rSDEaA
Tu as des dizaines de références de TV Box sans aucune marque. Les vendeurs se réfèrent à un modèle « T95 » mais quand tu regardes ce qu’ils vendent d’autres, ils font aussi bien des coupe ongle que des tire-bouchon. Ils vendent ce qui se vend. Sans se poser de questions. Leur nom de marque ressemble à ce que laisse mon chat quand il passe sur mon clavier. Demain, en cas de pépin, ils disparaitront dan les limbes électroniques. Ouvriront ue autre boutique au nom évocateur de rien du tout. C’est ça le noname.
Regarde là : https://amzn.to/46srpAF
Voilà une marque qui a tout a perdre a vendre une TV-Box vérolée. Une réputation, une image patiemment construite. Si demain une TV-Box Beelink était identifiée comme vérolée, ça serait un problème grave pour eux. Tout comme pour Xiaomi (https://amzn.to/3S2Tr18) ou Dune HD ( https://amzn.to/45AU0Tm ).
C’est ça la différence entre noname et marque.
@Daniel: C’est bien la XBox mais… c’est gros et ça consomme pas mal. 36 watts en diffusion UltraHD. Contre quelques watts pour les TV-Box ARM classique :/
@Nicolas: Le gros du marché de Ugoos est Asiatique et le Widevine ne les concerne pas. Ils faudrait qu’ils s’intéresse au marché Eu ou US pour qu’ils passent ce cap. Mais ils se frotteraient à des gens comme Amazon, Xiaomi, Apple… Et surtout aux Box multimédia des fournisseurs d’accès.
Alors, par rapport a certains commentaires, je suis entierement d’accord que les GAFAM peuvent s’apparenter a des « virus » mais il y a une grosse différence avec ce qui traine dans ces box tv, avec les GAFAM, on connaît les « risques », ils sont dans les CGU et CGV que l’on peut lire et que l’on clique » oui, j’accepte « .
Ce n’est pas le cas de Triada ;)
Pour ceux qui voudraient mettre une ROM » propre » sur leur box TV, une petite appli a installer pour commencer:https://f-droid.org/fr/packages/tk.hack5.treblecheck/ pour voir si elle compatible « treble project », ensuite, il faudra télécharger une ROM gsi et extraire (ou télécharger) le firmware d’origine, installer tout ça et finir par un launcher TV ou autre.
Évidemment, ce n’est pas simple et demande quelques recherches.
Par rapport au prix, on peut aussi revenir sur la pertinence de petit sbc ( https://www.minimachines.net/actu/orange-pi-zero-2w-121463 ) et bien, ça l’est finalement, ce sera moins contraignant de faire une petite instal toute propre que de se prendre la tête avec une ROM sur box TV noname.
Il faudrait être torDU pour penser que Pierre puisse avoir torT…
@Pierre Lecourt:
Il semble que je me soit mal exprimé.
Oui on est d’accord que c’est pas un usage grand publique. (pour armbian)
Et dans tout ce que je vais dire, je suis parfaitement conscient que ça demande un peut de compétence technique.
Et que ce n’est pas une solution parfaite, est fonctionnelle sur toute les box du marché.
Mais si déjà on peut rendre fiable et utilisable certain appareille je trouve que ça vaux le coup.
Alors certes c’est impossible de faire une image universelle android.
Mais les soc d’une même famille (ex : les rockchip RK32XX) fonctionne avec les même binaires. Et au moins la dessus les constructeur des ces box sont fiable quand il nous donne la ref SoC.
Typiquement pour l’ensemble des puces Rockchip ça ne fait que trois images pour gérer les soc sortie entre aujourd’hui et il y a 10 ans. (si on veux faire plus ancien c’est ajouter plus du double de binaire a construire, pour un résulta qui le semble douteux)
Si je cite rockchip, c’est pas innocent car ils ont un très bon support Linux. (et qu’on ne peut pas brické ces box)
Donc déjà pour du android il faut un soc très bien supporté. (pour faire un petit serveur sur armbian, que la partie gpu ne soit pas exploitable c’est pas génant, pour un usage box tv je pense que ça vas pas le faire)
Pour l’histoire des composant qui change, c’est pas si catastrophique.
Comme le soc intègre beaucoup de fonctionnalité, il reste que peut de composant externe, et encore moins qui ont un impacte au niveaux de l’OS :
– Le stockage, plus problématique c’est d’avoir de la NAND et pas une EMMC (mais l’os détecte ça tout seul)
– Le wifi(/BT), au pire ça n’empêche la box de fonctionner, c’est pas optimal j’en conviens. Les contrôleur wifi non fonctionne semble plus être une exception que la norme (de que j’en ai compris)
Comme dit ça vas pas ressusciter toute les box, ça demande d’être alaise avec l’outil informatique (pourquoi ne pas faire des installe partie).
Après si de tel image ne sont pas proposé c’est qu’il y a surement des raisons.
@Kriss: L’os sur ces box n’est pas sur une carte SD.