Méfiez-vous de ce petit carré magique : comment détecter les codes QR malveillants ?

Mobilité

Les codes QR peuvent vous aider à acheter des billets ou encore faciliter vos connexions et l’installation de logiciels. Mais lorsque vous en scannez un, comment pouvez-vous être sûr qu’il vous dirigera vers un site web légitime ?

codes qr

Vous êtes-vous déjà posé des questions au sujet de ces petits carrés numériques qui vous observent, codes qrprésents notamment sur des affiches, dans des articles de magazine, sur des boîtes de céréales et d’innombrables autres produits ?

On les appelle codes QR, raccourci pour “Quick Response” (Réponse Rapide), et ils ont été développés au milieu des années 90 pour être utilisés dans l’industrie automobile japonaise en tant que moyen rapide, interprétable par des machines, de stocker des informations sur un article en particulier, que ce soit au niveau de la production, du stockage ou de la vente éventuelle. Considérez-les comme une version plus efficace, offrant plus de possibilités en matière de stockage de données, que des codes-barres de type UPC, qui sont scannés à la caisse chaque fois que vous achetez un produit.

Eh bien, comme toutes ces choses pratiques, apparemment inoffensives et utiles, les spécialistes du marketing ont utilisé ces codes QR pour vendre des produits à de potentiels clients. Ils sont également utilisés comme tickets virtuels pour des événements, pour faciliter les paiements, pour accélérer l’authentification de la connexion et l’installation de logiciels, autant d’utilisations qui semblent vraiment simplifier la vie.

Ils ont doublement simplifié la vie des utilisateurs lorsque la popularité des smartphones a explosé au cours des dix dernières années. Tout à coup, les consommateurs ont eu accès à des applications capables de scanner des codes QR et ils se sont donc laissés guider gentiment là où des marketeurs, des générateurs de tickets ou des services de paiement souhaitaient les emmener.

Alors que vous deviez auparavant télécharger des applications spécifiques capables de scanner les codes QR afin de pouvoir accéder à toutes les informations programmées dans ces minuscules petits carrés, de nombreuses applications pour appareils photo Android et iOS récentes peuvent désormais lire les codes QR de manière native. En bref, les codes QR ont largement inondé le grand public.

Cependant, comme nous l’avons souligné récemment, le créateur des codes QR n’avait pas envisagé l’utilisation de ce système au-delà de la simple gestion de la fabrication de pièces automobiles et s’inquiète donc des éventuelles implications pour la sécurité :

Il a le droit de s’inquiéter. Les attaquants peuvent effectivement compromettre des personnes de différentes manières en utilisant des codes QR.  

Un exemple est le QRLjacking. Répertorié comme un vecteur d’attaque par le projet OWASP (Open Web Application Security), cette attaque est possible lorsqu’un individu utilise un code QR comme mot de passe à usage unique, et en l’affichant sur un écran. L’organisation avertit alors qu’un attaquant pourrait cloner le code QR d’un site légitime pour pointer vers un site de phishing, avant de l’envoyer à la victime.  

Les codes QR contrefaits sont une autre source d’inquiétude. Les cybercriminels peuvent placer leurs propres codes QR sur d’autres, quant à eux, légitimes. Au lieu de diriger le smartphone de l’utilisateur vers la page marketing ou d’offres spéciales attendue, le faux code pourrait diriger les utilisateurs vers des sites web de phishing ou vers d’autres qui diffusent des malwares de type JavaScript.  

Ils pourraient également exploiter l’utilisation croissante des codes QR pour les paiements. En effet, Un fraudeur pourrait remplacer un code QR conduisant, en théorie, des utilisateurs vers une adresse de paiement légitime par leur propre fausse URL de paiement.  

Examinons de plus près l’exemple du code QR contrefait mentionné ci-dessus.

Si vous scannez un code QR censé pointer vers un site web légitime, comment pouvez-vous être sûr qu’il vous dirigera réellement vers un endroit sécurisé ? Eh bien, si vous utilisez la fonctionnalité qui scanne les codes QR intégrée à votre application d’appareil photo par défaut ou à de nombreuses autres applications de numérisation classiques, la triste réalité est que vous ne pouvez pas en être sûr à 100%. L’unique objectif de ces fonctionnalités est simplement de déchiffrer le code QR et de faire apparaître un lien sur lequel cliquer.

Heureusement, nous avons créé une application gratuite qui scanne les codes QR et vous indique si le site vers lequel ils vous envoient est sécurisé ou non. Il s’appelle Sophos Mobile Security et est disponible pour Android et pour iPhone.

Voici une courte vidéo qui vous montre ce qu’il se passe lorsque vous scannez un code QR malveillant avec un scanner standard, et ce qu’il se passe lorsque vous le scannez avec Sophos Mobile Security :

Vous remarquerez que l’application d’appareil photo Android standard ne fait apparaître que le lien sur lequel vous souhaitez cliquer, tandis que le lecteur de code QR de Sophos Mobile Security avertit d’abord l’utilisateur.

Notez également que Sophos Mobile Security fait beaucoup plus que scanner des codes QR. C’est l’un des nombreux outils gratuits que nous proposons sur notre page dédiée aux Outils gratuits, qui porte d’ailleurs bien son nom. N’attendez plus pour visiter notre site !

Veuillez noter que le site “malveillant” utilisé dans la vidéo ci-dessus est un site de test que nous utilisons pour évaluer la réaction de nos différents produits de sécurité face aux malwares. Il ne s’agit pas d’un malware à proprement parlé, mais il vous donnera une idée de la manière avec laquelle le scanner de codes QR de Sophos Mobile Security traitera un code QR malveillant dans le monde réel. À des fins de comparaison, le code QR en haut de cet article vous enverra sur Example.com, à savoir un site sécurisé.


Billet inspiré de Beware the square: how to spot malicious QR codes, sur le Blog Sophos.

Leave a Reply

Your email address will not be published.