L\u2019utilisation des QR codes (codes matriciels) est en pleine expansion. Devenu monnaie courante sur les supports marketing, ce nouveau vecteur de communication est-il sans risque ?<\/p>\n
Le QR code c\u2019est avant tout\u2026 un simple code-barres 2D (bidimensionnel). “QR” signifie Quick Response, en r\u00e9f\u00e9rence \u00e0 la rapidit\u00e9 de d\u00e9codage de ce carr\u00e9 le plus souvent noir et blanc. \u00c0 la diff\u00e9rence d’un code-barres classique (10 \u00e0 13 caract\u00e8res), le QR code peut contenir \u00e9norm\u00e9ment d\u2019informations (jusqu\u2019\u00e0 7000 caract\u00e8res). Pour d\u00e9coder l\u2019information, il suffit d\u2019un Smartphone \u00e9quip\u00e9 d’une cam\u00e9ra et\u00a0 d\u2019un lecteur de QR code.<\/p>\n
La lecture d\u2019un QR code permet d\u2019\u00eatre redirig\u00e9 vers un site internet, faire un paiement direct via son smartphone, d\u00e9clencher un appel vers un num\u00e9ro de t\u00e9l\u00e9phone, envoyer un SMS, ou encore t\u00e9l\u00e9charger une application mobile.<\/p>\n
Les QR codes cr\u00e9ent ainsi un lien entre monde physique et monde virtuel. Ce lien est alors une nouvelle porte d\u2019entr\u00e9e vers les donn\u00e9es personnelles voire les SI d\u2019entreprises et, ainsi, une nouvelle fen\u00eatre d\u2019attaque…<\/p>\n
L\u2019id\u00e9e est d\u2019utiliser les QR codes comme vecteur d\u2019attaque des smartphones et de leurs utilisateurs en particulier pour les diriger automatiquement vers un site malveillant afin de voler des informations.<\/p>\n
L\u2019attaque la plus r\u00e9pandue est le d\u00e9facement de support. Du simple ajout d\u2019un faux QR code sur un support qui n\u2019en contenait pas, \u00e0 la superposition d\u2019un QR code ill\u00e9gitime par-dessus le QR code initialement int\u00e9gr\u00e9 au support, le but est de renvoyer vers un contenu ma\u00eetris\u00e9 par l\u2019auteur du d\u00e9facement. On a ainsi vu, sur une affiche publicitaire en Argentine, un concurrent mettre un QR code qui renvoyait vers son propre site de vente de r\u00e9frig\u00e9rateur, ou, aux \u00c9tats-Unis, un d\u00e9facement qui redirigeait vers un site qui lan\u00e7ait le jailbreak de l\u2019IPhone et installait en m\u00eame temps keyloggers et autres logiciels malveillants.<\/p>\n
Le cas le plus connu d\u2019attaque via les codes-barres 2D nous vient de Russie o\u00f9 une affiche invitait \u00e0 scanner un QR code pour t\u00e9l\u00e9charger une application, application, qui, une fois install\u00e9e, envoyait \u00e0 l\u2019insu du propri\u00e9taire du smartphone des SMS \u00e0 un num\u00e9ro surtax\u00e9 (6$ par envoi)\u2026<\/p>\n
Dans ces attaques, le risque est principalement port\u00e9 par les utilisateurs. Cependant, le QR code peut \u00e9galement \u00eatre utilis\u00e9 comme moyen d\u2019identification. L\u2019utilisation de QR code \u00e0 de telles fins, notamment pour le m-paiement pr\u00e9sente plus de risques. Le principe est de g\u00e9n\u00e9rer un QR code unique sur le smartphone que l\u2019on pr\u00e9sente au commer\u00e7ant pour s\u2019authentifier et payer. Ceci n\u00e9cessite \u00e0 la fois une application sp\u00e9cifique pour la g\u00e9n\u00e9ration du QR code et une connexion du syst\u00e8me du commer\u00e7ant au back office de l\u2019applicatif install\u00e9 sur le smartphone. Les risques de compromission du syst\u00e8me de paiement et d\u2019usurpation d\u2019identit\u00e9 sont r\u00e9els et doivent faire l\u2019objet de mesures de s\u00e9curit\u00e9 avanc\u00e9es telles que des codes d\u2019authentification r\u00e9g\u00e9n\u00e9r\u00e9s \u00e0 chaque utilisation, la validation et la notification du paiement apr\u00e8s l\u2019authentification\u2026.<\/p>\n
Le risque de d\u00e9facement est difficile \u00e0 ma\u00eetriser. Si un haut degr\u00e9 de personnification du code, ou le choix de supports compliqu\u00e9s \u00e0 d\u00e9facer (publicit\u00e9 dans la presse, \u00e9cran plut\u00f4t que affiche publicitaire, \u2026), peuvent l\u2019att\u00e9nuer, ce risque doit globalement \u00eatre accept\u00e9.<\/p>\n
La principale vuln\u00e9rabilit\u00e9 des tags vient du fait que l\u2019utilisateur n\u2019a pas de vision sur l\u2019action d\u00e9clench\u00e9e lors de la lecture du code. Cette faille peut \u00eatre palli\u00e9e par l\u2019utilisation de lecteurs de QR code qui pr\u00e9sentent l\u2019action demand\u00e9e \u00ab\u00a0\u00e0 priori\u00a0\u00bb pour validation. Les soci\u00e9t\u00e9s utilisant des QR codes peuvent dans un premier temps conseiller l\u2019utilisation de lecteur proposant de telles fonctionnalit\u00e9s et dans un second temps choisir des adresses parlantes pour les utilisateurs (par exemple www.solucom.fr<\/a> et non \u00a0www.xds2.to<\/a>) afin d\u2019indiquer clairement la page internet point\u00e9e.<\/p>\n Notons tout de m\u00eame que malgr\u00e9 des millions de scans quotidiens, tr\u00e8s peu d\u2019attaques sont aujourd\u2019hui recens\u00e9es. Toutefois, les nouveaux modes d\u2019usage, tels que le m-paiement doivent faire l\u2019objet d\u2019attentions particuli\u00e8res, les risques devenant partag\u00e9s entre utilisateurs, \u00e9diteurs de solutions et le commanditaire.<\/p>\n L\u2019utilisation des QR codes (codes matriciels) est en pleine expansion. Devenu monnaie courante sur les supports marketing, ce nouveau vecteur de communication est-il sans risque ? Qu’est qu’un QR code ? Le QR code c\u2019est avant tout\u2026 un simple code-barres…<\/p>\n","protected":false},"author":21,"featured_media":6344,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"page-templates\/tmpl-one.php","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3223,36,43],"tags":[],"coauthors":[807],"class_list":["post-2375","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cloud-next-gen-it-security","category-cybersecurity-digital-trust","category-telcos"],"acf":[],"yoast_head":"\n