• Perspective
Publié le 28 janvier 2022

Couvrez ce code que je ne saurais voir !

Introduction

Longtemps boudés par le grand public, les codes QR (quick response) sont aujourd'hui devenus incontournables et ont bouleversé les habitudes de chacun. Ils jouent un rôle primordial dans la lutte contre le Covid 19, mais sont également très utilisés dans le marketing et l'industrie.

La semaine dernière, le FBI a diffusé un avertissement aux Américains indiquant que les cybercriminels utilisent de plus en plus des codes QR malveillants pour voler leurs informations d'identification et leurs informations financières.

Petit tour d'horizon sur ce qu'est un QR code, son fonctionnement et les éventuelles problématiques de sécurités liées à leur utilisation.

Origine des codes QR

Le premier système de code QR a été inventé en 1994 par la société japonaise Denso Wave, une filiale de Toyota. L'entreprise avait besoin d'un moyen plus précis de suivre les véhicules et les pièces pendant le processus de fabrication. Pour y parvenir, elle a mis au point un type de code-barres capable de coder les caractères japonais (kanji et kana) et les caractères alphanumériques.

Contrairement aux codes à barres classiques qui ne peuvent être lus que dans un seul sens et ne peuvent stocker qu'une petite quantité d'informations, un code QR est lu dans deux directions - de haut en bas et de droite à gauche. Cela lui permet de contenir beaucoup plus de données.

Les données stockées dans un code QR peuvent inclure des URL de sites web, des numéros de téléphone ou jusqu'à 4 000 caractères de texte. Les codes QR peuvent également être utilisés pour :

  • Créer un lien direct pour télécharger une application sur l'App Store d'Apple ou Google Play.
  • Déclencher un appel vers un numéro de téléphone ou envoyer un SMS
  • Authentifier des comptes en ligne et vérifier les détails de connexion.
  • Accéder ou partager un Wi-Fi en stockant des informations telles que le SSID, le mot de passe et le type de chiffrement utilisé.
  • Envoyer et recevoir des informations de paiement.
  • Stocker un certificat numérique (ex. : ceux utilisés dans l’application TousAntiCovid)

Un code QR n’est donc ni plus ni moins qu’une représentation normalisée (ISO/IEC 18004:2015) d’une petite quantité d’information. Cette représentation a la capacité de corriger les erreurs, car l’image contient jusqu'à 30 % de redondance.

Un code QR peut se lire en utilisant l’application native d’un téléphone iOS ou Android récent ou en utilisant une application tierce.

Conseils relatifs aux codes QR

Avec le déploiement massif de codes QR dans notre quotidien, les pirates utilisent de plus en plus ces codes QR comme vecteur d’attaque. Si l’utilisation de codes QR a déjà été repérée pour contourner des filtres antispam ou antivirus, la majorité des attaques utilisant ces codes QR est regroupée sous le nom de « Qishing ». Il s’agit pour les attaquants d’inciter leurs victimes à scanner des codes QR malicieux afin de les rediriger sur un site malveillant ou de provoquer l’envoi de SMS vers des numéros surtaxés.

Le FBI a conseillé aux Américains de faire attention à l'URL qu'ils reçoivent après avoir scanné des codes QR, de toujours être prudents lorsqu'ils saisissent leurs données après avoir scanné un code QR et de s'assurer que les codes QR physiques n'ont pas été recouverts de codes malveillants.

Il est préférable d’éviter d'installer des applications via des codes QR ou d'installer des scanneurs de codes QR (utilisez plutôt celui qui est fourni avec le système d'exploitation de votre téléphone).

Il est également possible d’utiliser un lecteur de code QR fourni par un éditeur d’antivirus qui se chargera d’analyser le code QR.

De façon générale, saisissez toujours les URL à la main lorsque vous effectuez des paiements, au lieu de scanner un code QR qui pourrait être configuré pour vous rediriger vers un site malveillant.

Enfin, de la même façon que vous n’ouvririez pas une pièce jointe d’un email dont vous ne connaissez pas l’expéditeur, ne scannez que les codes QR qui vous semblent légitimes et lorsque vous n’avez pas d’autre solution.

Auteur : Benoît Arcache

Références

https://www.bleepingcomputer.com/news/security/fbi-warns-of-malicious-qr-codes-used-to-steal-your-money/

https://www.bullguard.com/fr/bullguard-security-center/mobile-security/mobile-threats/malicious-qr-codes.aspx

https://tekdeeps.com/toyota-and-denso-created-the-qr-code-because-the-classic-barcode-of-the-parts-did-not-fit-all-the-information-in-japanese/

 

Article rédigé par
La Minute Cyber