Agence web » Actualités du digital » Pourquoi les menaces des codes QR sont en plein essor –

Pourquoi les menaces des codes QR sont en plein essor –

Utilisation d'un téléphone pour accéder aux codes QR.
Shutterstock / shisu_ka

Les codes QR facilitent l’accès aux ressources Web sans avoir à vous soucier du petit clavier de votre smartphone. Mais savez-vous vraiment ce que vous obtiendrez en numérisant un?

Le QR Code

Les codes de réponse rapide (QR) sont soudainement à nouveau partout. Inventé en 1994 par une équipe primée de Denso Wave, une filiale de Toyota, le code QR a trouvé son chemin dans presque tous les secteurs. Ils sont comme un code-barres sur les stéroïdes. Ils peuvent ressembler à des échiquiers ivres, mais les carrés noirs et blancs extrêmement racés contiennent beaucoup plus d’informations que les rayures d’un code à barres. Et les codes QR peuvent déclencher l’un d’une sélection de Actions à l’intérieur du périphérique de numérisation, généralement un smartphone.

Les codes QR se trouvent sur l’emballage du produit, les arrêts de bus et les panneaux d’affichage. Ils sont sur du matériel promotionnel imprimé comme des billets, des dépliants et des tapis de bar. Vous pouvez les voir sur les véhicules de société, les promotions en magasin et les stands éphémères lors des expositions. Vous voulez en savoir plus sur le produit, l’événement ou tout ce qui est promu? Scannez le code avec votre smartphone.

Vous pouvez trouver des codes QR cachés à l’intérieur des serveurs et d’autres matériels. Si le technicien en visite a besoin de consulter le manuel mais n’en a pas une copie sous la main, il peut scanner le code QR et accéder au manuel en ligne.

Si vous utilisez l’application mobile LinkedIn, touchez le groupe de carrés dans la barre de recherche, puis touchez «Mon code». Vous verrez votre propre code QR personnel. Cela amène les gens directement à votre profil LinkedIn. De plus en plus, les gens les ajoutent à leur CV. Vous pouvez même voir les codes QR dans les cimetières.

La pandémie COVID-19 a contribué à alimenter la renaissance du code QR. La gloire des codes QR est que vous n’avez pas besoin de toucher à autre chose que votre propre smartphone pour les utiliser. C’est un système sans contact simple et rapide – et tout le monde a déjà un scanner adapté. Et cela en fait le mécanisme idéal pour accéder ou collecter des informations en cas de pandémie.

C’est pourquoi l’avènement du COVID-19 a vu le code QR prendre une position centrale dans de nombreuses entreprises qui traitent régulièrement avec le public. Les restaurants, par exemple, utilisent des codes QR pour afficher le menu sur les smartphones des clients. Plus besoin de manipuler un menu imprimé qui fait le tour du restaurant depuis qui sait quand.

Au Royaume-Uni, l’application Track and Trace du National Health Service est basée sur des codes QR. Les sites affichent une affiche personnalisée avec un code QR spécifique à l’emplacement. Les visiteurs scannent le code et l’application enregistre où vous étiez et quand. Si quelqu’un signale des symptômes de COVID-19, les serveurs NHS peuvent analyser les données et déterminer qui d’autre est entré en contact avec cette personne.

Le problème avec les codes QR

L’utilisation la plus courante d’un code QR destiné aux consommateurs consiste à lancer une page Web sur votre smartphone. Mais ils peuvent faire bien plus que cela. Les codes QR peuvent invoquer différentes actions sur un smartphone en fonction des informations contenues dans le code QR.

Avant de cliquer sur un lien Web, vous vérifiez probablement visuellement les incohérences. Il est logique de vérifier que la page Web qui vous mènera a un nom raisonnable et plausible. Cela va-t-il vraiment vous emmener sur le site qu’il dit vouloir, ou sur un site de copie qui volera vos identifiants de connexion? Avec un code QR, vous ne pouvez pas le dire. À l’œil nu, ils sont complètement impénétrables – leur contenu ne peut pas être lu par les humains. Scanner un code QR est un acte de foi.

Nos smartphones sont un avatar de notre identité réelle. Ils détiennent toutes sortes de données personnelles qui sont inestimables pour les acteurs de la menace ainsi que l’accès à des applications telles que la banque en ligne, PayPal et les portefeuilles de crypto-monnaie. Un smartphone compromis est tout aussi mauvais qu’un ordinateur compromis.

Les smartphones brouillent les frontières entre la vie numérique privée des gens et leur vie numérique en entreprise ou au travail. Certaines personnes qui reçoivent un smartphone d’entreprise ont également un smartphone privé. Pour la majorité, il est plus facile et moins coûteux d’avoir un seul smartphone – leur smartphone d’entreprise – et de l’utiliser à des fins professionnelles et personnelles.

Les gens ont tendance à être moins soucieux de la sécurité dans leur utilisation personnelle du Web que dans le cadre de leur utilisation en entreprise. Mais si leur smartphone est compromis, cela met en danger le réseau de l’entreprise car les détails de connexion aux VPN et à d’autres comptes peuvent être récupérés par le malware. Les e-mails professionnels peuvent également être siphonnés depuis l’appareil.

Bien sûr, les travailleurs sans smartphone professionnel disposeront d’un smartphone privé et le connecteront probablement au Wi-Fi de l’entreprise. Les smartphones privés sont moins susceptibles d’être protégés par un VPN ou des suites de protection des terminaux.

Qu’il s’agisse d’un smartphone d’entreprise ou d’un appareil personnel, un smartphone compromis est un risque s’il se connecte au réseau de l’entreprise.

Et les smartphones peuvent être compromis sur le lieu de travail. Il est de plus en plus courant d’inclure un code QR sur un CV ou un curriculum vitae. Cela peut vous mener vers le blog personnel du candidat, ou vers son profil LinkedIn, ou cela peut être malveillant. Envoyer un faux CV avec un QR code est un moyen discret de compromettre un smartphone, avec une attaque papier.

Code QR LinkedIn pour Dave McKay
Un code QR personnel LinkedIn.

Que peut faire un code QR?

Les codes QR peuvent déclencher un certain nombre d’actions différentes dans un smartphone.

  • Lancement d’un site Web. S’il est malveillant, il peut s’agir d’un site de collecte d’informations d’identification de copie-cat ou il peut infecter votre smartphone avec un cheval de Troie. Le malware se connectera ensuite aux serveurs des acteurs de la menace. Les données peuvent être transférées de votre smartphone vers les serveurs, ou d’autres logiciels malveillants peuvent être téléchargés sur votre smartphone.
  • Ajoutez une entrée malveillante à vos contacts. Une entrée de contact spécialement conçue contenant des informations malveillantes peut déclencher des exploits sur votre smartphone.
  • Ajouter et vous connecter à un réseau Wi-Fi, qui peut être un réseau malveillant ou compromis.
  • Effectuer un paiement. Souvent sous prétexte qu’il s’agit d’un moyen de faire un don à un organisme de bienfaisance, des codes QR malveillants peuvent accepter des paiements et permettre aux acteurs de la menace de capturer vos informations personnelles et de compte.
  • Faites un appel vocal. Si cet appel est destiné aux acteurs menaçants, ils disposent désormais de votre numéro et de votre identification de l’appelant. Ils peuvent essayer de créer socialement d’autres informations hors de vous.
  • Créez un message texte SMS. Le code QR peut créer un message texte adressé aux acteurs de la menace (ou à toute personne de leur choix). Cela vous laisse ouvert aux attaques de phishing basées sur du texte, appelées attaques de smishing.
  • Rédiger un e-mail avec des destinataires et des sujets pré-remplis, vous laissant ouvert aux attaques de phishing par e-mail.
  • Inscrivez-vous pour suivre les comptes de réseaux sociaux. Les publications sur le compte de réseau social contiendront des liens sur lesquels les victimes vont toucher, téléchargeant des logiciels malveillants sur leur téléphone.

Les codes QR peuvent également créer des entrées dans votre calendrier ou obtenir votre position à partir du GPS de votre smartphone, mais ceux-ci sont moins susceptibles d’entraîner un compromis.

Pensez d’abord, scannez plus tard

Avec les codes QR, le contexte est primordial. Où est le code? Qui est le propriétaire ou le fournisseur du code? S’il s’agit d’un dépliant fait maison agrafé sur un poteau télégraphique, vous ne pouvez pas garantir sa véracité. Vous n’avez aucune provenance pour ce code. Si le QR est sur une affiche imprimée par des professionnels dans la zone de réception d’un cabinet médical ou d’un hôpital, vous pouvez être plus sûr que le code est authentique.

Mais même ainsi, vérifiez qu’un autre code QR n’a pas été imprimé sur une étiquette en papier et collé sur le code authentique. Vous ne pouvez pas dire en le regardant si le code QR est bénin ou malveillant, mais vous pouvez rechercher des signes de falsification ou de modification. S’il semble avoir été manipulé, ne le scannez pas.

Parcourez les paramètres de votre application de numérisation de code QR et configurez-la pour afficher les adresses Web avant de lancer le site Web ou, en fait, d’effectuer toute autre action. Il est dommage que vous ayez besoin d’introduire un examen humain dans l’utilisation des codes QR, qui sont conçus pour un flux de travail «scan and done» sans douleur, mais la lutte contre la cybercriminalité nécessite une diligence constante.

★★★★★