QR codes : pratique mais risqué

Posté le par | Répondre

Selon la définition de Wikipédia, le code QR est un type de code-barres en deux dimensions (ou code matriciel datamatrix) constitué de modules noirs disposés dans un carré à fond blanc. En anglais, QR est l’abréviation de Quick Response, signifiant que le contenu du code peut être décodé rapidement. Il est destiné à être lu par un lecteur de code-barres, un téléphone mobile, un smartphone, ou encore une webcam et a l’avantage de pouvoir stocker plus d’informations qu’un code à barres que nous connaissons tous sur les étiquettes de prix lorsque l'on fait ses courses.

Ils ont fait une apparition discrète dans le secteur de la fabrication automobile, où ils permettaient d’assurer l’identification et le suivi de pièces détachées, la société japonaise Denso-Wave en 1994 pour la traçabilité des pièces de voiture dans les usines de Toyota. En 1999, Denso-Wave publie le QR code en licence libre ce qui a engendré sa rapide diffusion au Japon dans un premier temps puis dans le monde entier mais il reste dans le secteur industriel. La diffusion à grande échelle se fait avec l’avènement des téléphones portables modernes dotés d'un appareil photo et d'une application permettant de scanner ces codes : en les scannant tout simplement à l’aide de son smartphone, on peut accéder rapidement à des contenus numériques qui leur sont associés.

Le gros intérêt  de ces QR codes est que les données sont directement reconnues par des applications, permettant ainsi de déclencher facilement des actions comme :

  • naviguer vers un site internet (le QR code présenté à la une de cet article est le lien vers mon site) ou mettre l’adresse d’un site en marque-page,
  • faire un paiement direct via son cellulaire (Europe et Asie principalement),
  • ajouter une carte de visite virtuelle (vCard, par exemple sur téléphone mobile) dans les contacts, ou un événement dans un calendrier,
  • déclencher un appel vers un numéro de téléphone ou envoyer un SMS,
  • montrer un point géographique sur Google Maps ou Bing Maps,
  • coder un texte libre,
  • etc., etc...

Vous l'avez compris, ces codes sont vecteur de presque tous les contenus que l'on veut y introduire, les codes QR pouvant stocker jusqu’à 7 089 caractères numériques, 4 296 caractères alphanumériques.Ces puissants codes-barres en forme de blocs fleurissent partout, sur l’emballage des produits comme sur les affiches et les panneaux publicitaires ou encore dans les magazines et les journaux, et deviennent design.

Mais, depuis peu, ils sont également utilisés dans le cadre d’attaques par "social engineering" (ingénierie sociale), technique visant à obtenir frauduleusement les données personnelles d’une victime ciblée. Les codes QR, représentant un véritable tremplin pour passer du monde hors ligne au monde en ligne en permettant d’orienter facilement les utilisateurs vers des informations et des offres de services marketing, plaît aussi beaucoup aux pirates. Leur but est d’exploiter l’intérêt et la confiance de l’utilisateur pour le diriger vers des sites web ou des logiciels malveillants afin principalement à voler les données de l’utilisateur lorsqu’il surfe sur le web mais aussi détourner des données personnelles sensibles (code de carte bancaire, mots de passes, login d'utilisateur, ...).

Différentes techniques sont mises en œuvre pour ces pirates :

  • susciter l’intérêt de victimes potentielles,
  • hameçonner (phishing) diffusion par voie d'email, d'imprimé sur des documents papier semblant au-dessus de tout soupçon (comme des flyers, par exemple) pour détourner l'utilisateur vers un faux site ou boutique en ligne et/ou site de paiement.
  • orienter l’utilisateur vers des sites web qui "forceront" son mobile : ils auront ainsi un accès direct au système d’exploitation du terminal, qui leur permettra d’installer des logiciels malveillants tels que des enregistreurs de saisie  ou des outils de repérage par GPS, sans que l’utilisateur le sache ou donne son accord.

Le paiement via les smartphones représente probablement la source de risque la plus importante pour les utilisateurs car l'utilisation des services bancaires en ligne est de plus en plus répandue. Le e-portefeuille devient alors une cible de choix pour ces e-pick-pockets.

Les victimes n'étant pas seulement les utilisateurs, mais aussi les entreprises honnêtes qui communiquent de plus en plus via ces QR codes, il est bon de savoir comment faire pour restreindre les risques liés à cette utilisation :

  • Contrôler autant que possible le lien affiché par le Code QR par rapport à la source (affiche, flyer, etc.).
  • La plupart des scanners offrent la possibilité de visualiser l'action en cours et demande confirmation de l'action. Exemple : si vous scanner mon Code QR avec votre smartphone, il affichera le lien vers mon site et demandera si je veux l'ouvrir ou pas.
  • Pour les smartphones à usage professionnel, essayez de chiffrer vos données, c'est un peu lourd à mettre en place mais efficace.
  • Utiliser le bloc-note de votre smartphone pour noter "physiquement" l'adresse du site que vous convoitez, ou bien un papier/stylo (c'est une boutade, quoique..).

En guise de conclusion, nous vivons dans un monde où le temps a une valeur importante (peut-être trop) et nous utilisons de plus en plus ces petits moyens qui nous donnent l'impression d'aller plus vite, et, parfois nous manquons de vigilance parce que notre comportement repose encore aujourd’hui sur notre curiosité d’être humain, désireux de savoir ce qui pourrait bien se produire. Nous pouvons continuer à scanner ces fameux Codes QR mais vous avez compris que son utilisation dépend d'une question de confiance. Le QR code n'est pas par lui même malveillant, c'est le site ciblé par ce code qui peut l'être. Un internaute averti en vaut deux, soyons prudents.

Quelques exemples de QR codes (sans danger), qui font le lien à mon site, il en existe des plus colorés,  farfelus, attirants, tentant, à vous de voir :

route63.free.fr - QR Code simple

route63.free.fr/blog - QR Code avec logo

route63.free.fr/blog - QR Code coloré

Catégorie : Informatique | Tags : , , ,

Licence Creative Commons
Cet article, sauf mention contraire expresse, est publié sous licence Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported Licence.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :
Google Plus Twitter Facebook Linkedin Framasphere email Flattr !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.