Des chercheurs ont rétro-ingénié le SDK que Bright Data intègre dans des applis gratuites pour transformer vos appareils connectés en relais de scraping web. Leur trouvaille la plus alarmante : sur iOS, le trafic de relais contourne activement les VPN configurés.
Pour scraper les données d'entraînement dont ils ont besoin, les acteurs de l'IA se heurtent à un obstacle structurel : les grands services web (Cloudflare, DataDome, HUMAN) bloquent systématiquement les requêtes provenant d'adresses IP de datacenters. La solution qui s'est imposée, c'est le proxy résidentiel : router le trafic de scraping via des connexions d'abonnés particuliers, dont l'adresse IP franchit sans encombre les filtres de protection. C'est précisément le modèle de Bright Data, qui se présente comme le plus grand réseau de proxys résidentiels du monde avec plus de 400 millions d'adresses. Après que Clubic avait documenté l'existence du mécanisme dès mars, l'équipe d'Include Security en a publié le 5 juin la preuve technique détaillée, issue de trente jours de capture de trafic et d'une rétro-ingénierie complète du SDK iOS.
Offre partenaire
Des couleurs plus réalistes, des mouvements plus fluides, une meilleure lisibilité en pleine journée et un son plus immersif. Avec les TV RGB MiniLED, Hisense, partenaire officiel, vous fait vivre la Coupe du Monde comme si vous y étiez !
Offre partenaire
200 Go par mois et VPN court-circuité : le SDK de Bright Data mis à nu
Dès l'ouverture de l'application, le SDK établit une connexion WebSocket persistante vers les serveurs de Bright Data, assignant un identifiant de session au terminal et attendant des instructions de relais. C'est à ce niveau que les chercheurs ont identifié la découverte la plus préoccupante : sur iOS, le tunnel de relais est configuré pour utiliser directement l'interface physique du réseau (Wi-Fi ou cellulaire), court-circuitant l'interface VPN du système. En pratique, si votre iPhone dispose d'un VPN actif, le trafic de relais Bright Data ne le traversera pas, restant invisible à tout outil d'inspection basé sur le VPN.
La configuration du SDK, accessible sur un endpoint public non authentifié que n'importe qui peut interroger en connaissant le bundle ID d'une application partenaire, fixe la consommation de bande passante mensuelle par défaut à 200 gigaoctets en Wi-Fi. Ce chiffre contraste avec le discours des applis partenaires, qui présentent généralement l'opt-in comme un usage « occasionnel » des ressources de l'appareil. La définition du seuil d'« inactivité » retenu par le SDK est elle aussi instructive : les drapeaux de configuration ignore_screen_on et ignore_on_call sont activés, ce qui signifie qu'un terminal est considéré éligible au relais même lorsque son utilisateur regarde l'écran ou est en cours d'appel.
Le même endpoint expose un manifeste de partenaires identifiant les applications ayant intégré le SDK. Parmi les entités identifiables avec un haut degré de certitude figurent PlayWorks Digital (plus de 400 titres de jeux pour TV connectée distribués chez des opérateurs comme Comcast, Sky, Cox et des fabricants comme LG, Samsung ou Vizio, avec une couverture revendiquée de 250 millions de foyers), CloudTV (présent sur plus de 125 marques de TV) et Viber Media (entre 250 et 820 millions d'utilisateurs actifs selon les sources). Les chercheurs précisent que la présence dans ce manifeste atteste d'une intégration ayant existé à un moment donné, pas nécessairement d'une présence active dans les versions actuellement distribuées.
De Hola à Bright Data : même mécanique, nouvelle adresse
Fondée en 2014 sous le nom de Luminati Networks comme une division commerciale de Hola VPN, la société monétisait alors la connexion de ses utilisateurs VPN à la demande de clients entreprises, à raison de vingt dollars le gigaoctet. En 2015, une attaque par déni de service contre le site 8chan, lancée via le réseau Hola sans le consentement de ses utilisateurs, avait exposé les risques concrets d'un modèle fondé sur la revente de bande passante résidentielle. Rebaptisée Bright Data en 2018, la société a opéré un pivot vers un modèle reposant sur un consentement explicite via SDK, mais la mécanique fondamentale reste identique : router le trafic d'un client tiers via la connexion internet d'un abonné particulier, avec son accord ou sans qu'il en mesure l'impact réel.
La question du consentement est précisément au cœur de ce que l'enquête met en lumière, et elle prend une dimension particulière au regard du Règlement Général sur la Protection des Données. Pour être valide au sens du RGPD, un consentement doit être libre, éclairé et spécifique : l'utilisateur doit comprendre précisément à quoi il consent. Naviguer un écran de politique de confidentialité à l'aide d'une télécommande TV, sur une interface qui n'a pas été conçue pour les textes longs, répond difficilement à ces critères, d'autant que le mot « occasionnel » ne prépare pas à l'idée d'un quota mensuel de 200 gigaoctets alloués au trafic de quelqu'un d'autre. La CNIL, qui a produit des recommandations spécifiques sur les données collectées par les TV connectées via les systèmes ACR (Automatic Content Recognition), n'a pas encore prononcé de position publique sur ce type de SDK de relais résidentiel.
L'enquête distingue rigoureusement le modèle Bright Data (un réseau légal, fondé sur un opt-in contractuel avec ses partenaires éditeurs) des botnets illégaux comme Aisuru ou Kimwolf, qui agrègent la bande passante d'appareils compromis à l'insu de leurs propriétaires. Ce que les chercheurs font remarquer en creux, c'est que le modèle légal partage avec le modèle illégal l'essentiel de ce qui inquiète du point de vue de l'utilisateur : sa connexion internet acheminant le trafic d'un tiers, à un volume qu'il n'avait pas vraiment anticipé, et via un tunnel que les chercheurs qualifient de moins robuste en matière d'authentification que certains protocoles de commande et contrôle (C2) de malwares courants.
Bloquer le relais depuis votre domicile
Les chercheurs d'Include Security ont documenté trois approches de détection et de blocage, ordonnées par facilité de déploiement. La plus accessible pour un particulier consiste à bloquer au niveau DNS de son routeur les domaines du tunnel de relais : proxyjs.brdtnet.com, proxyjs.luminatinet.com, proxyjs.bright-sdk.com et clientsdk.bright-sdk.com. Un service comme Pi-hole, NextDNS ou la fonctionnalité de filtrage DNS intégrée à la plupart des box FAI récentes suffit à couper le tunnel de données sans affecter les usages légitimes de Bright Data côté client professionnel. Une clé de détection complémentaire : le SDK utilise encore un certificat TLS au nom de *.luminatinet.com (l'ancienne dénomination de la société avant 2018), ce qui en fait un marqueur identifiable sur une passerelle réseau même sans déchiffrement du trafic.
Pour les déploiements en réseau d'entreprise, le filtrage par Server Name Indication à la passerelle réseau permet de détecter les connexions vers les domaines concernés sans inspection TLS complète, grâce au nom de domaine transmis en clair lors du handshake. Les chercheurs signalent également que les binaires des applications intégrant le SDK contiennent des symboles Swift identifiables (BrdWebSocketFacade, BrdNetwork.DNSResolver), ce qui permet une détection par analyse statique des applications installées sur des parcs gérés par un outil MDM.
Bright Data n'a pas répondu à l'e-mail envoyé par les chercheurs le 11 mai 2026 avant la publication de l'étude. Au fond, la viabilité de ce modèle repose sur un postulat généreux : que l'utilisateur moyen lise attentivement la politique de confidentialité d'une appli gratuite avant d'accepter, comprenne ce qu'est un réseau de proxys résidentiels, et fasse le lien entre cet écran et les 200 gigaoctets que quelqu'un d'autre fera potentiellement passer par sa box internet. On n'en est pas encore là.
