Méfiez-vous des codes QR, qui deviennent un vecteur de propagation pour les malwares
Depuis quelques années maintenant, les codes QR (Quick Response) investissent de plus en plus l'espace public. En effet, ils permettent un accès rapide à diverses fonctions, et ils sont bien intégrés dans les appareils mobiles, avec un fonctionnement simple et bien compris. Mais pour de nombreuses raisons, ils posent aussi des soucis de sécurité.
Le principal problème, le plus évident, c'est que le code QR peut être considéré comme cryptique : les URL trafiquées pour ressembler vaguement à celle attendue par une personne suffisent déjà parfois pour mystifier un utilisateur peu attentif, alors qu'un code QR qui n'affiche pas directement l'adresse est évidemment très efficace. De nombreux malandrins l'ont bien compris : ils insèrent des codes QR dans des e-mails pour tenter d'arnaquer d'autres personnes et la FTC américaine a même récemment lancé une alerte à ce sujet, comme le rapporte Ars Technica.
Dans la même veine, comme expliqué par La République du Centre, il est finalement assez simple de pirater des codes QR. L'exemple cité est éloquent : le code QR d'une borne de recharge pour des voitures électriques a été remplacé par un autre code QR qui renvoyait vers un faux site, dont le but était de subtiliser les informations des clients. C'est un cas compliqué : le code renvoie vers une URL que l'utilisateur ne connaît pas nécessairement, dans un contexte où l'idée d'un piratage n'est pas la première qui vient en tête. De façon assez logique, vous serez probablement nettement moins prudents sur votre smartphone à l'extérieur et devant une borne (et potentiellement dans un lieu inconnu) que bien au chaud dans le canapé.
Dans la pratique, il y a évidemment quelques recommandations basiques. La première, la plus évidente, est de ne pas scanner au hasard des codes QR dans la rue. La seconde est de prendre la même précaution dans les e-mails : les spams à base de code QR deviennent populaires. Votre banque ou un transporteur ne vous enverront pas de code QR pour communiquer et si un message vous indique que vous avez reçu de l'argent pour une raison x ou y, votre réflexe doit être de vous rendre par vous-même sur le service lié, sans cliquer sur un lien ou scanner un code QR.
Il faut vérifier les URL
Bien évidemment, une fois un code scanné, nous vous conseillons de vérifier l'URL avant d'effectuer la moindre tâche. Certains outils permettent d'ailleurs de le faire avant d'ouvrir le lien. C'est le cas de l'appareil photo d'iOS, qui affiche l'URL au moment de la détection, mais pas de l'outil Scanner de code qui peut être ajouté dans le centre de contrôle : il ouvre directement les liens.
Je sens qu’on va vite avoir des amalgames simplifiés QRCode = Danger, c’est dommage car c’est une super technologie.
Un bon point d’attention, est aussi effectivement de se méfier, lorsque que l’on scan un QRCode dans l’espace publique de vérifier que le code ne semble pas avoir été modifié / avec un sticker collé dessus (en plus des autres conseils de cet excellent article, évidement)
@Tiroly
QRCode = Danger
@Derw
?
@Tiroly
Je réalise votre prophétie.
Et en même temps, j’énonce une vérité.
@Derw
Merci cher prophète annonciateur de vérité 🙂
Dans tous les cas non, QRCode ≠ Danger.
Ou dans ce cas, smartphone = danger, internet = dangers.
Tel que l’auteur l’écrit les termes “méfiez-vous” ou “prudence” me semblent adapté. Il ne faudrait pas renier l’utilisation de se support, ou en venir à refuser catégoriquement ce format sous prétexte que c’est forcément dangereux / mis en place à des fins malhonnêtes.
@Tiroly
« Merci cher prophète annonciateur de vérité 🙂 »
De rien, mais c’était vous le prophète ! Moi je n’ai été que l’instrument ! 😉
« Dans tous les cas non, QRCode ≠ Danger.
Ou dans ce cas, smartphone = danger, internet = dangers. »
QRCode = Danger, comme Internet = Danger, voiture = Danger, conjoint(e) = Danger, cacahuète = Danger, couteau à beurre = Danger… quasiment tout est dangereux ! Même la vie, personne n’en sort vivant !
Par contre, tout n’a pas le même niveau de dangerosité, et un QRCode est plus dangereux qu’une URL, qui a elle-même une capacité de nuisance assez importante. Le problème n’est pas de savoir si une chose est dangereuse, mais quels sont les dangers liés à cette chose et comment s’en prémunir. Par exemple, moi, les cacahuètes je m’arrange pour bien les mâcher avant de les avaler…
« Il ne faudrait pas renier l’utilisation de se support, ou en venir à refuser catégoriquement ce format sous prétexte que c’est forcément dangereux / mis en place à des fins malhonnêtes. »
La voiture est une arme de destruction massive et elle est toujours utilisée. Je doute donc que le QRCode disparaisse si son utilité est supérieure à son potentiel de nuisance. Par contre, énoncer sa dangerosité et les règles de sécurité nécessaires pour s’en protéger fait partie des actions nécessaires…
@Tiroly
Dans le cas de l'exemple ci-dessus, c'est beaucoup plus compliqué.
En fait, la société gestionnaire de ses bornes change assez régulièrement les étiquettes justement pour des raisons de sécurité. Il y a donc déjà empilement d'étiquettes "officielles"
Très difficile dans ce cas de distinguer des vraies des fausses
« De nombreux malandrins l'ont bien compris : ils insèrent des codes QR dans des e-mails … »
Comment lit-on un QR code dans un email ? 🧐🤔
@Pierre Dandumont
Ok, donc c’est pas plus dangereux qu’un lien hypertexte 🤗
Le problème, c’est que la plupart des gens ne vont pas se méfier. On a vendu cette technologie sans indiquer les risques. Je ne m’inquiète pas pour les lecteurs de macG. De plus, les URL affichées par les lecteurs renvoient souvent sur une adresse intermédiaire qui ne parle pas à celui qui va la scanner. Ce n’est donc pas à ce niveau là que l’on pourra faire un contrôle.
À la lecture de cet article, je dévie quelque peu le sujet pour interroger à propos des sites générateurs de QR Code ?
Peut-on leur faire complètement confiance ou peuvent-ils insérer un code malveillant dans le QRcode généré et si généreusement offert ?
@prisme71
Ça dépend des générateurs, ce qui compte c’est de bien vérifier que lien généré dans le QRcode est bien le même que le lien initialement fourni.
@prisme71
Personnellement, je préfère encore utiliser l’app raccourcis qui permet de générer très aisément le code qr.
Ainsi, tout se passe en local sur mon iPad.
@Marcos Ickx
Oooh pas bête 😛 🙏 merci!
c'est cadeau : https://goqr.me/
Et attention au sites qui génèrent des QR code gratuit ! J’en ai utilisé (pour un concours où il fait voter en ligne,) que j’ai imprimé pour les distribuer, plus d’une semaine, c’est devenu payant, et les gens qui le scannaient croyait qu’il fallait payer pour utiliser le QR code, n’importe quoi !
@ absolut piano , le site gorq est gratuit , tu peux les aider en achetez-nous un café . :-)
@Absolut Piano
Comme dit plus haut ya bêtement une commande dans raccourci pour faire un QR code, ya même des raccourcis pour ca dans la galerie de raccourci et tout est fait en local
J'ai eu une formation à la sécurité, il y a quelques semaines dans l'entreprise où je travaille, et j'ai été surpris d'entendre cette histoire toute bête :
lors d'une conférence ou un évènement, les pirates s'étaient simplement amusés à imprimer des feuilles avec un QR code et le nom de l'évènement au-dessus, et les avaient disposes tout autour des bâtiments principaux où les gens allaient se rendre. ça n'a pas raté. Ils ont eu des tonnes d'entrée et Ils ont récupéré des tonnes d'informations clients jusqu'à ce que les organisateurs s'en rendent compte.
Quel monde merveilleux que celui vers lequel nous nous dirigeons et où le moindre geste avec un ordinateur ou un smartphone doit s’accompagner de suspicion ! Et on s’étonne que ce monde engendre de plus en plus de tarés paranoïaques!
Merci pour l’article.
Où on s’aperçoit que là où on est le plus vulnérable, c’est quand on croit pouvoir faire confiance à l’emetteur du message
Un QR Code seul veut dire : on va vous emmener quelque part mais on ne vous dit pas où ! Pas confiance.
Depuis que les QR Codes existent, je refuse d'en scanner un si l'adresse complète de la page n'est pas imprimée en dessous.