Qu'est-ce qu'un QR code ?
Ces informations peuvent être :
- du texte, une adresse de messagerie, un numéro de téléphone, etc … .
- une adresse URL.
- une carte de visite (vCard, meCard par exemple).
Exemples d'utilisation du QR code par les marques en cliquant ici
Le QR code véhicule une information étant lisible uniquement par une machine et en cela, un humain ne peut distinguer un code valable d’un code malicieux car il n’est pas capable de l’interpréter. Il n’y a aucun moyen pour un client, d’authentifier le contenu d’un QR code sans l’avoir préalablement scanné.
Attaques
Le code QR est un vecteur d’attaque très puissant. La manipulation du code peut aboutir à plusieurs formes d’attaques, différents scénarios sont possibles en fonction de la cible, l’humain ou directement le lecteur de code. La liste suivante est non-exhaustive mais permet de se faire une idée sur la dangerosité du produit :
- Les applications utilisées par les Smartphones ne sont généralement pas cloisonnées et « discutent » entre-elles. Un attaquant ayant malicieusement agi sur le lecteur de code QR (buffer overflow, command injection) peut se voir révéler d’autres fonctionnalités du téléphone, comme les e-mails, les SMS, les services basés sur la localisation par exemple.
- Un attaquant peut utiliser le code QR pour renvoyer les utilisateurs vers de faux sites web conçus par ses soins et permettant de récupérer des informations confidentielles (Phishing, Pharming).
- Un attaquant peut utiliser le code QR afin d’orienter un utilisateur vers un site malicieux qui va chercher à installer un virus du type rootkit, keylogger sur le smartphone sans que l’utilisateur en soit conscient (drive-by download).
Risques
Les risques associés aux différents types d’attaques sont multiples.
- Le vol d’informations personnelles et/ou professionnelles comme le carnet d’adresses ou l’accès aux comptes de réseaux sociaux peuvent conduire à une usurpation d’identité, le défacement de sites web.
- La compromission du calendrier personnel et/ou professionnel peut conduire à la divulgation de données métiers sensibles, tout comme l’accès frauduleux aux emails professionnels. Un attaquant ayant les informations de géo-localisation peut conduire à de l’espionnage, la perte de protection de la vie privée.
- Les utilisations de différents médias de connexion comme le WiFi, la 3G, permettent un déroulement de l'attaque à distance.
En clair, les principaux risques d’utilisation de la technologie code QR sont donc :
- L’usurpation d’identité ;
- Le défacement ;
- La divulgation de données ;
- L’espionnage ;
- La perte de protection de la vie privée ; Etc …
Recommandations
Quelques bonnes pratiques sont indispensables afin de maîtriser au mieux ces risques :
- Utilisez un lecteur de code QR qui ne fait pas de redirection automatique vers l'adresse url, ou qui possède un paramètre permettant de la désactiver. Une confirmation doit être demandée à l’utilisateur avant la redirection vers le site web ;
- Evitez les URL shortener, le lecteur doit pouvoir montrer l’URL dans sa forme entière. Utiliser un nom de domaine assez court afin que l’utilisateur puisse voir l’adresse entière dans le champ URL.
- Installer une application anti-malware sur le smartphone ;
- Mettre en place un système de chiffrement des données : même si un QR code malveillant parvient à installer un cheval de Troie sur le terminal, les données sensibles sont protégées ;
- Ne pas utiliser les sites générateurs de QR code ;Il est préférable de générer soi-même son QR code.
- Lorsque l’on génère un QR code, il faut décrire l’action que réalise le code. Par exemple, dans le cas d’un pointeur d’URL, imprimer cet URL à côté du dessein de telle sorte à savoir si le code QR redirige bien vers cet URL imprimée, même chose pour un numéro de téléphone, etc …
- Evoluer le plus possible via du https.
- Ne pas scanner un QR code dont l’origine est inconnue.