QR Code même pas peur !

Je vais me permettre un article court pour vous sensibiliser sur l'usage des QR Code et plus précisément du "scanning" de QR Code. En effet l'usage du QR Code en France a explosé depuis la crise du Covid-19. On va donc voir rapidement ce que pourrait cacher un QR Code et des cas concrets de malveillance via cet outil.

Je scanne, tu exécutes.

La grande majorité des scanners de QRCode ont un comportement identique dès que le code est scanné il est interprété et exécuté. Par exemple l'application de vérification de pass sanitaire vaccinale, va interpréter le code pour savoir s'il est valide. Donc la valeur textuelle contenue dans le QRCode est utilisé et communiqué à l'application sans contrôle préalable de l'utilisateur. Ici peu de problème car c'est justement l'usage que l'on attend.

Il en va de même si vous scanner une carte de visite pour ajouter un contact l'ajout sera quasi automatique idem pour l'ouverture d'un lien vers un site Internet, votre application de QR Code va comprendre que c'est un lien et l'ouvrir avec votre navigateur favori. Ou encore dernier exemple les codes d'accès Wifis que vous pouvez trouver dans des hôtels sous forme de QR Code.

Par contre si vous faisiez la même chose avec un QR Code inconnu ? Que risquez-vous en scannant et en exécutant l'action transmise par le QR Code ? En effet sans pouvoir de contrôle avant exécution votre mobile va probablement ouvrir une page Internet, vous envoyer sur une page de votre store d'application (Google Play, AppStore, ou Huawei truc, etc.) ou que sais-je encore.

Le risque est fort si vous êtes redirigé de force vers un site Internet, en effet ce dernier pourrait contenir un code malveillant et vous infecter sans que vous n'ayez pu faire quoi que ce soit. Alors que si vous aviez pu prendre connaissance de l'adresse ou vous alliez arriver vous n'auriez surement pas accepté.

Sur une page de Play Store vous avez encore une chance de contrôler avant de télécharger l'application, ce que je vous invite à faire avant tout téléchargement d'application et sur Android toujours vérifier les permissions demandées par l'application, pour rappel une "lampe de poche" n'a aucune raison d'avoir accès à vos contacts, SMS ou autres informations.

QR Code tu es partout !

En effet le problème c'est que le QR Code c'est largement développé dans l'hexagone. Vous allez le retrouver dans les restaurants, les bars, etc. pour remplacer tout un tas d'usage. Mais c'est sans compter sur nos chers criminelles/cybercriminelles qui ont vu ici une occasion en or de vous piéger. En effet il se développe beaucoup en ce moment la falsification de QR Code de restaurant ou autre usage notamment aux USA, le temps que cela devienne un gros problème en France n'est qu'une question de temps.

Le but étant de faire passer un QR Code malveillant pour un QR Code par exemple d'une carte des vins. Si vous ne contrôlez pas ou va vous envoyer le QR Code ça risque de tourner à la piquette.

C'est aussi valable pour les QR Code sur des véhicules en location, voiture, trottinette etc. On pourrait tout à fait réaliser des phishings très précis pour voler vos accès, vos moyens de paiement et rouler gratuitement sur votre compte.

Comment faire, sans virer dans la paranoïa ?

Dans un premier temps vous pouvez utiliser des scanners qui vont vous afficher l'information avant de la faire traiter par votre smartphone chéri. Par exemple le très bon "Barcode Scanner édité par ZXing Team" disponible sur Android. Exemple du scan d'une carte de visite avant d'ajouter le contact à votre liste.

Mais même avec ce genre d'option vous devrez rester attentif aux URL et en cas de doute ne pas les ouvrir, dès lors que vous ne savez pas précisément ou vous arrivez il vaut mieux s'abstenir. Un lien raccourci peut lui aussi cacher tout autre chose. Vous devrez appliquer la même vigilance qu'un lien trouvé dans un e-mail que vous auriez reçu (cf : Différence entre le phishing et le spear-phishing).

Cas "amusant"

L'année dernière un hacker du nom de Ricard Henderson c'est amusé à créer des QR Code avec la chaîne EICAR (cf: https://www.eicar.org/) qui n'est rien autre qu'une chaine très particulière utilisé en sécurité pour tester les anti-virus. Il c'est avéré qu'en faisant scanné ce QR Code particulier il pouvait faire planter des systèmes de scan, comme des scanners de bagage dans les aéroports, des caisses automatiques etc.

Voici la vidéo de la présentation sur Youtube : https://www.youtube.com/watch?v=cIcbAMO6sxo&feature=emb_logo

Ne le faite pas, en effet ce genre d'usage vous expose logiquement à des poursuites judiciaires, même si en effet c'est très drôle sur le papier.

Conclusion

On a vu rapidement que cette belle technologie qui nous vient d'Asie, et qui ne date pas d'hier, permet beaucoup de chose et forcément comme toute technologies peut être détourné pour se jouer de nous et nous nuire.

Sans tomber dans une paranoïa totale un peu de bon sens, de vigilance et de bons outils vous permettrons de continuer de profiter des avantages des QR Code un peu partout.

Autres article sur le sujet : https://www.eset.com/fr/about/newsroom/conseils/conseils/scanner-qr-codes-en-securite/

Crédit photo : Affaires vecteur créé par pikisuperstar - fr.freepik.com