codes qr
Produits et Services PRODUITS & SERVICES

Selon son créateur, les codes QR ont besoin d’être mieux sécurisés

Les codes QR existent depuis 1994, mais son créateur est inquiet. Selon lui, ils ont besoin d'une mise à jour au niveau sécurité.

En effet, ils sont de plus en plus utilisés. Les musées les utilisent pour donner vie à leurs peintures. Les restaurants les mettent sur des tables pour aider les clients à régler leurs factures rapidement. Tesco les a même déployés dans des stations de métro pour aider à la création de magasins virtuels.

L’ingénieur Masahiro Hara a imaginé ce code-barres matriciel pour une utilisation dans l’industrie automobile japonaise, mais, comme c’est le cas pour de nombreuses technologies, il a pris son essor lorsque les gens ont commencé à l’utiliser d’une manière qu’il n’avait pas imaginée. Son employeur, Denso, a mis le design à disposition gratuitement. Maintenant, les gens utilisent des codes QR partout, sur des affiches mais aussi au niveau des écrans de confirmation de connexion.

Si vous pensiez que les codes QR n’étaient qu’un gadget marketing passager, détrompez-vous. Ils sont extrêmement populaires en Chine, où ils ont été utilisés pour effectuer plus de 1 650 milliards de dollars (environ 1500 milliards d’euros) de paiements en 2016 seulement, et Hong Kong vient également de mettre en place un système de paiement plus rapide, basé sur les codes QR.

Les codes QR ont suscité suffisamment d’intérêt pour qu’Apple ait même commencé à les prendre en charge de manière native dans l’application pour appareil photo d’IOS 11, supprimant ainsi le besoin d’applications tierces de lecture de codes QR.

Hara est un peu effrayé par toutes les nouvelles utilisations de ce code qui, à l’origine, devait uniquement aider au contrôle de la production dans les usines de fabrication. Lors d’une interview à Tokyo début août, il aurait déclaré :

Maintenant qu’il est utilisé pour les paiements, je me sens la responsabilité de le rendre plus sûr.  

Il a raison de s’inquiéter. Des attaquants peuvent compromettre les personnes qui l’utilisent, et ce de différentes manières.

Le QRLjacking en est un bon exemple. Répertorié comme un vecteur d’attaque par le projet OWASP (Open Web Application Security), cette attaque est possible lorsqu’une personne utilise un code QR comme mot de passe à usage unique, en l’affichant sur un écran. L’organisation avertit qu’un attaquant pourrait cloner le code QR à partir d’un site officiel sur un site de phishing, puis l’envoyer à la victime.

Les codes QR contrefaits sont une autre source d’inquiétude. Les cybercriminels peuvent placer leurs propres codes QR sur d’autres qui sont, quant à eux, authentiques. Au lieu de diriger le smartphone de l’utilisateur vers la page marketing ou de l’offre spéciale en question, le code factice pourrait amener les utilisateurs vers des sites web de phishing ou vers des sites diffusant des malwares JavaScript.

Ils pourraient également exploiter l’utilisation croissante des codes QR pour les paiements. Un fraudeur pourrait remplacer un code QR qui dirige des personnes vers une adresse de paiement authentique par leur propre fausse URL de paiement.

Certaines mesures de sécurité à intégrer dans les codes QR ont déjà été proposées, telles que celles décrites dans un document de cours du MIT par des chercheurs y travaillant. Une suggestion utilise le chiffrement pour empêcher un tiers d’espionner et de cloner des codes QR utilisés par des utilisateurs pour se connecter. Pour ce faire, l’application en ligne envoie un code QR chiffré à un appareil mobile déjà connecté (et donc authentifié). Seul le périphérique connecté peut déchiffrer le code QR qu’il affiche ensuite pour que le second périphérique puisse le lire. Le code QR contient une URL qui les connecte à l’application. Plusieurs systèmes d’identification par codes QR chiffrés sont également en cours de développement.

Une autre proposition intègre des informations de signature numérique dans le code pour confirmer son authenticité, mais utilise davantage d’espace mémoire au niveau du code pour les données supplémentaires.

Il s’agit de bonnes idées et Hara en a peut-être d’autres. Mais il ferait mieux d’agir vite. À mesure que les codes QR sont de plus en plus utilisés, la conception même du code ainsi déployée sera de plus en plus difficile à modifier.


Billet inspiré de QR codes need security revamp, says creator, sur Sophos nakedsecurity.