Technologies

Les codes QR : un nouveau levier d’attaques et d’escroqueries

Écrit par © Filactu le . Rubrique: Technologies

QR-web-CRLes codes QR ont été conçus pour permettre aux utilisateurs d’accéder rapidement et simplement à des informations sur différents produits et services. Mais, depuis peu, ils sont utilisés dans le cadre d’attaques visant à obtenir frauduleusement les données personnelles de victimes ciblées.

Après avoir fait une apparition discrète dans le secteur de l’automobile, notamment pour assurer l’identification et le suivi de pièces détachées, ces petits codes-barres 2D fleurissent partout, sur l’emballage des produits comme sur les affiches et les panneaux publicitaires ou encore dans les magazines et les journaux. Certaines grandes marques ont même confié la conception de leur code QR à de grands designers pour les rendre plus attrayants.

Les codes QR représentent un tremplin pour passer du monde physique au monde en ligne. Il suffit de les scannant à l’aide d’un smartphone, pour accéder rapidement aux contenus numériques associés. Ils sont même parfois utilisés pour authentifier les emballages. Les possibilités de détournement ou de fraude peuvent donc nuire à cette technique.

En pratique, les pirates utilisent les codes QR, comme des outils de « social engineering », afin d’exploiter l’intérêt et la confiance de l’utilisateur pour le diriger vers des sites web ou des logiciels malveillants. Alors que le concept du « drive-by downloads » (qui consiste à télécharger et exécuter, sur le terminal de l’utilisateur et à son insu, un contenu généralement néfaste) constitue une tactique d’incursion bien connue pour voler les données de l’utilisateur lorsqu’il surfe sur le web, les codes QR ouvrent une nouvelle voie, permettant de manipuler les détenteurs de téléphones mobiles suivant une méthode similaire.

Une question de confiance

« Toute la problématique posée par les codes QR repose sur le fait que les utilisateurs n’ont pas d’autre choix que de se fier à l’intégrité de celui qui se cache derrière le code et de supposer que ce dernier les oriente vers une destination légitime, explique Philippe Rondel, directeur technique France Check Point Software. Et, pour les particuliers, il est quasiment impossible d’en avoir le cœur net, car les sites et contenus vers lesquels renvoient ces codes sont dissimulés. »

De plus, les applications utilisées par les smartphones pour scanner un code QR peuvent faire le lien avec d’autres fonctionnalités du téléphone, comme les e-mails, les SMS, les services basés sur la localisation et les différentes applications installées, augmentant ainsi le risque potentiellement encouru par les détenteurs de ce type de terminal mobile. Penchons-nous sur la façon dont une attaque peut être élaborée à partir d’un code QR, avant de voir comment s’en protéger.

La lecture du code

Première étape : diffuser le code en lui-même de manière à susciter l’intérêt de victimes potentielles. Une fois le code QR diffusé, le pirate a alors le choix parmi de nombreuses méthodes d’escroquerie. L’une des plus basiques consiste à utiliser le code simplement pour renvoyer les utilisateurs vers de faux sites web, comme une boutique en ligne ou un site de paiement, et ce, à des fins d’hameçonnage.

Dans le cadre d’attaques plus complexes, les pirates peuvent utiliser les codes QR pour orienter l’utilisateur vers des sites web qui « forceront » son mobile : ils auront ainsi un accès direct au système d’exploitation du terminal, qui leur permettra d’installer un logiciel malveillant. S’apparentant au concept « drive-by download », ce type d’attaque donne la possibilité d’installer des logiciels ou applications, tels que des enregistreurs de saisie ou des outils de repérage par GPS, sans que l’utilisateur le sache ou donne son accord.

L’e-portefeuille pour cible

« L’utilisation de plus en plus répandue des services bancaires en ligne et du paiement via les smartphones représente probablement la source de risque la plus importante pour les utilisateurs, estime Thierry Karsenti, directeur technique Europe Check Point Software. En effet, tels de vrais pickpockets, les pirates peuvent avoir virtuellement accès à leurs e-portefeuilles, les codes QR étant capables de « forcer » les terminaux et de détourner des applications, d’autant que des solutions de paiement basées sur ce type de code sont déjà en circulation. Même si ce procédé est encore peu répandu, son ampleur pourrait bien croître à mesure que le grand public s’appropriera les codes QR. »

Alors, que peuvent faire les entreprises et les particuliers pour atténuer les risques liés aux codes QR ? S’il est une précaution à prendre, c’est bien celle de définir précisément quel lien ou ressource le code QR activera une fois qu’il aura été scanné. Certaines applications permettant de scanner les codes QR (mais pas toutes) offrent cette visibilité, en demandant à l’utilisateur (même si cela peut sembler poussif) de confirmer l’action engagée. Ainsi, il a la possibilité de vérifier la validité du lien avant que le code soit activé.

Pour ce qui est des smartphones à usage professionnel, les entreprises ne doivent pas hésiter à mettre en place un système de chiffrement des données : même si un code QR malveillant parvient à installer un cheval de Troie sur le terminal, les données sensibles sont tout de même protégées, empêchant les pirates d’y accéder et de les utiliser.

En guise de conclusion, les codes QR sont porteurs de risques et offrent aux pirates un nouveau levier d’attaques et d’escroqueries. Alors soyons prudents avec les codes QR !