il y a 20 hour
1
Vendus entre 50 et 200 €, ces boîtiers IPTV pirates EVPAD transforment votre streaming illégal en réseau P2P vulnérable aux cyberattaques
Publié le 05/12/25 à 08h30
Nos réseaux :
Suivez-nous
6
Des chercheurs sud-coréens viennent de décortiquer les entrailles d'EVPAD, des boîtiers IPTV vendus sur AliExpress et autres plateformes avec un abonnement "à vie". Leur constat est sans appel : derrière la promesse d'un streaming intraçable se cache un système P2P qui transforme chaque salon en nœud d'un réseau vulnérable.
EVPAD 10P : un packaging séduisant pour un appareil qui transforme ses acheteurs en distributeurs involontaires de contenus pirates et cibles potentielles de cyberattaques. © Les Numériques / EVPAD
Depuis qu'Amazon a durci le ton sur les Firestick détournés, certains se tournent vers des alternatives manufacturées directement en Chine. Parmi elles, les boîtiers EVPAD font figure de référence. Pour quelques dizaines d'euros et un abonnement "à vie", ces appareils sous Android 7.0 promettent films, séries et sport en direct, le tout échappant prétendument aux dispositifs de blocage déployés par les ayants droit.
Publicité, votre contenu continue ci-dessous
Publicité
La Premier League, la Motion Picture Association et d'autres ayants droit les ont d'ailleurs classés comme menaces prioritaires dans leurs rapports annuels au Représentant américain au commerce.
Une équipe de la Korea University a donc décidé d'ausculter deux modèles spécifiques, les EVPAD 3p et EVPAD 10p, pour comprendre comment fonctionnait réellement leur écosystème fermé. Leurs découvertes, publiées dans une étude académique accessible en source, révèlent une architecture bien plus retorse que le simple streaming client-serveur vanté par les revendeurs.
Un hybride P2P qui trahit ses acheteurs
Ces boîtiers IPTV ne se contentent pas de diffuser passivement du contenu. Après une authentification initiale auprès de serveurs centralisés qui fournissent les listes de contenus et les mises à jour, les appareils rejoignent un réseau pair-à-pair fonctionnant sur les mêmes principes que BitTorrent. Concrètement, celui qui regarde un film télécharge et uploade simultanément des fragments vers d'autres membres du réseau. L'idée reçue selon laquelle "le streaming protège mieux que le torrent" s'effondre instantanément.
Publicité, votre contenu continue ci-dessous
Publicité
Le boîtier EVPAD 10P, vendu 150 € sur AliExpress avec son abonnement "lifetime", cache des vulnérabilités critiques identifiées par les chercheurs. © Aliexpress
Pour le direct via l'application StarLive, la bibliothèque libtvcore établit des connexions entre boîtiers pour distribuer les flux TV en temps réel. Côté vidéo à la demande avec StarVod, le système récupère des fichiers torrent chiffrés en XOR, les déchiffre, puis interroge un tracker pour obtenir la liste des pairs disponibles. En parallèle, des serveurs HTTP servent de CDN de secours. Les chercheurs ont pu manipuler les identifiants de catégories pour extraire l'intégralité du catalogue : 24 934 contenus vidéo, dont 1 052 films et séries rien que dans la catégorie "Nflix".
Cette architecture hybride complique certes le blocage, mais elle anéantit toute prétention à l'anonymat. Chaque propriétaire d'EVPAD devient de facto un distributeur non autorisé de contenus protégés, avec toutes les implications juridiques que cela comporte. Contrairement au streaming classique où seul le téléchargement peut être documenté, ici on partage activement, ce qui constitue une infraction autrement plus grave aux yeux de la loi.
EVPAD 3Plus 6K : derrière les promesses marketing (8 cœurs, WiFi, 6K), un boîtier Android livré avec des failles de sécurité dès la sortie d'usine. © Capture d'écran Amazon UK
Publicité, votre contenu continue ci-dessous
Publicité
Des brèches béantes dans un château de cartes
Même un seul paquet TCP soigneusement conçu suffit à un individu pour déclencher l'arrêt du service sur un appareil pair distant. Cela abaisse drastiquement le seuil d'abus potentiel, puisqu'aucune bande passante significative ni effort coordonné n'est requis.
Les chercheurs ont identifié deux vulnérabilités majeures. La première permet de contourner l'authentification en émulant un boîtier légitime via NoxPlayer, ouvrant la voie à une réplication infinie des accès payants. La seconde glace le sang : un unique paquet TCP suffit à provoquer la déconnexion instantanée d'un appareil distant. L'étude le formule sans détour : "Même un seul paquet TCP soigneusement conçu suffit à un individu pour déclencher l'arrêt du service sur un appareil pair distant. Cela abaisse drastiquement le seuil d'abus potentiel, puisqu'aucune bande passante significative ni effort coordonné n'est requis."
Derrière cette interface Android épurée se cache un système qui transforme chaque spectateur en distributeur involontaire de contenus pirates. © Capture d'écran YouTube
Au-delà des risques liés au partage de contenus protégés, les implications sécuritaires dépassent largement le cadre du piratage audiovisuel. Les EVPAD arrivent préinstallés avec les autorisations root activées, sans restriction sur l'installation de paquets depuis des sources tierces. Pendant le processus d'installation des applications StarLive et StarVod depuis un site tiers, tout se déroule sans interaction ni permission explicite. Les chercheurs ont constaté que le paramètre système autorisant l'installation depuis des sources non-Market était activé en usine, permettant le sideloading universel.
Un botnet en puissance livré clé en main
Plus grave encore : SELinux tourne en mode permissif, où les violations de politique surviennent sans être appliquées, et aucun mécanisme ne vérifie l'intégrité ou l'authenticité des mises à jour système. Les chercheurs évoquent explicitement le spectre du botnet Mirai qui, à son apogée, avait généré environ un téraoctet de trafic malveillant avec 145 000 appareils compromis.
Comment transformer 131 000 boîtiers IPTV en armée de zombies numériques : le schéma d'attaque identifié par les chercheurs sud-coréens montre qu'une simple URL falsifiée suffit à compromettre l'ensemble du réseau EVPAD. © USENIX, étude Korea University, 2025
Avec seulement 17 000 EVPAD infectés, ils estiment qu'on pourrait atteindre 0,12 téraoctet de trafic hostile. L'étude recense 131 175 appareils actifs répartis dans 116 pays et 78 serveurs opérationnels aux États-Unis, au Japon, à Singapour et Hong Kong.
Le verdict tombe sans ambages : "Même si l'intention malveillante n'est pas le motif principal, le manque d'engagement envers la sécurité de la part de ces opérateurs illégaux place les gens dans une position vulnérable, les rendant susceptibles d'attaques.” Autrement dit, ceux qui pensaient contourner astucieusement les blocages géographiques se retrouvent avec un cheval de Troie potentiel branché directement sur leur réseau domestique, exploitable à distance par n'importe quel cybercriminel doté d'un minimum de compétences techniques.
Publicité, votre contenu continue ci-dessous
Publicité
Suivez toute l'actualité des Numériques sur Google Actualités et sur la chaîne WhatsApp des Numériques
Envie de faire encore plus d'économies ? Découvrez nos codes promo sélectionnés pour vous.
English (US) ·