L’utilisation des QR codes (codes matriciels) est en pleine expansion. Devenu monnaie courante sur les supports marketing, ce nouveau vecteur de communication est-il sans risque ?
Qu’est qu’un QR code ?
Le QR code c’est avant tout… un simple code-barres 2D (bidimensionnel). « QR » signifie Quick Response, en référence à la rapidité de décodage de ce carré le plus souvent noir et blanc. À la différence d’un code-barres classique (10 à 13 caractères), le QR code peut contenir énormément d’informations (jusqu’à 7000 caractères). Pour décoder l’information, il suffit d’un Smartphone équipé d’une caméra et d’un lecteur de QR code.
La lecture d’un QR code permet d’être redirigé vers un site internet, faire un paiement direct via son smartphone, déclencher un appel vers un numéro de téléphone, envoyer un SMS, ou encore télécharger une application mobile.
Les QR codes créent ainsi un lien entre monde physique et monde virtuel. Ce lien est alors une nouvelle porte d’entrée vers les données personnelles voire les SI d’entreprises et, ainsi, une nouvelle fenêtre d’attaque…
Quels sont les risques ?
L’idée est d’utiliser les QR codes comme vecteur d’attaque des smartphones et de leurs utilisateurs en particulier pour les diriger automatiquement vers un site malveillant afin de voler des informations.
L’attaque la plus répandue est le défacement de support. Du simple ajout d’un faux QR code sur un support qui n’en contenait pas, à la superposition d’un QR code illégitime par-dessus le QR code initialement intégré au support, le but est de renvoyer vers un contenu maîtrisé par l’auteur du défacement. On a ainsi vu, sur une affiche publicitaire en Argentine, un concurrent mettre un QR code qui renvoyait vers son propre site de vente de réfrigérateur, ou, aux États-Unis, un défacement qui redirigeait vers un site qui lançait le jailbreak de l’IPhone et installait en même temps keyloggers et autres logiciels malveillants.
Le cas le plus connu d’attaque via les codes-barres 2D nous vient de Russie où une affiche invitait à scanner un QR code pour télécharger une application, application, qui, une fois installée, envoyait à l’insu du propriétaire du smartphone des SMS à un numéro surtaxé (6$ par envoi)…
Dans ces attaques, le risque est principalement porté par les utilisateurs. Cependant, le QR code peut également être utilisé comme moyen d’identification. L’utilisation de QR code à de telles fins, notamment pour le m-paiement présente plus de risques. Le principe est de générer un QR code unique sur le smartphone que l’on présente au commerçant pour s’authentifier et payer. Ceci nécessite à la fois une application spécifique pour la génération du QR code et une connexion du système du commerçant au back office de l’applicatif installé sur le smartphone. Les risques de compromission du système de paiement et d’usurpation d’identité sont réels et doivent faire l’objet de mesures de sécurité avancées telles que des codes d’authentification régénérés à chaque utilisation, la validation et la notification du paiement après l’authentification….
Comment se protège-t-on ?
Le risque de défacement est difficile à maîtriser. Si un haut degré de personnification du code, ou le choix de supports compliqués à défacer (publicité dans la presse, écran plutôt que affiche publicitaire, …), peuvent l’atténuer, ce risque doit globalement être accepté.
La principale vulnérabilité des tags vient du fait que l’utilisateur n’a pas de vision sur l’action déclenchée lors de la lecture du code. Cette faille peut être palliée par l’utilisation de lecteurs de QR code qui présentent l’action demandée « à priori » pour validation. Les sociétés utilisant des QR codes peuvent dans un premier temps conseiller l’utilisation de lecteur proposant de telles fonctionnalités et dans un second temps choisir des adresses parlantes pour les utilisateurs (par exemple www.solucom.fr et non www.xds2.to) afin d’indiquer clairement la page internet pointée.
Notons tout de même que malgré des millions de scans quotidiens, très peu d’attaques sont aujourd’hui recensées. Toutefois, les nouveaux modes d’usage, tels que le m-paiement doivent faire l’objet d’attentions particulières, les risques devenant partagés entre utilisateurs, éditeurs de solutions et le commanditaire.