Gérer les risques
Aujourd'hui et demain

Risques industriels et environnementaux

Codes QR | Quels sont les risques ?

Les codes QR ont été conçus pour permettre aux utilisateurs d’accéder rapidement et simplement à des informations sur différents produits et services. Mais, depuis peu, ils sont également utilisés dans le cadre d’attaques par social engineering, technique visant à obtenir frauduleusement les données personnelles d’une victime ciblée. Check Point revient sur l’émergence des escroqueries s’appuyant sur ces codes QR et sur l’inquiétude croissante des utilisateurs.

Aujourd’hui, plus besoin de chercher longtemps avant de tomber sur un code QR. S’ils ont fait une apparition discrète dans le secteur de la fabrication automobile, où ils permettaient d’assurer l’identification et le suivi de pièces détachées, ces petits codes-barres sous stéroïdes en forme de blocs fleurissent partout, sur l’emballage des produits comme sur les affiches et les panneaux publicitaires ou encore dans les magazines et les journaux.
 
Les codes QR représentent un véritable tremplin pour passer du monde hors ligne au monde en ligne. En effet, en les scannant tout simplement à l’aide de son smartphone, on peut accéder rapidement à des contenus numériques qui leur sont associés : de quoi faire rêver les professionnels du marketing, puisque cela permet d’orienter facilement les utilisateurs vers des informations et des offres de services. Qui plus est, les codes QR ont su garder un côté « cool » et suscitent toujours autant la curiosité, les utilisateurs appréciant le confort qu’ils offrent à travers leur aspect « prêt-à-surfer ».
 
Cependant, tout cela plaît aussi beaucoup aux pirates, qui les utilisent comme des outils de Social Engineering, afin d’exploiter l’intérêt et la confiance de l’utilisateur pour le diriger vers des sites Web ou des logiciels malveillants.
Alors que le concept du « drive-by downloads » (qui consiste à télécharger et exécuter, sur le terminal de l’utilisateur et à son insu, un contenu généralement néfaste) constitue désormais une tactique d’incursion bien connue pour voler les données de l’utilisateur lorsqu’il surfe sur le Web, les codes QR ouvrent une nouvelle voie, permettant de manipuler les détenteurs de téléphones mobiles suivant une méthode similaire.

Une question de confiance

Toute la problématique posée par les codes QR repose sur le fait que les utilisateurs n’ont pas d’autres choix que de se fier à l’intégrité de celui qui se cache derrière le code et de supposer que ce dernier les oriente vers une destination légitime. Et, pour les particuliers, il est quasiment impossible d’en avoir le cœur net, car les sites et contenus vers lesquels renvoient ces codes sont dissimulés. Depuis le début des années 2000 et les virus qui se propageaient par e-mail, les attaques par Social Engineering ont beaucoup évolué. Cela étant, elles reposent aujourd’hui encore sur la curiosité de l’être humain, désireux de savoir ce qui pourrait bien se produire s’il clique sur une pièce jointe ou s’il scanne un code QR, ce qui génère parfois des problèmes en matière de sécurité.
 
De plus, les applications utilisées par les smartphones pour scanner un code QR peuvent faire le lien avec d’autres fonctionnalités du téléphone, comme les e-mails, les SMS, les services basés sur la localisation et les différentes applications installées, augmentant ainsi le risque potentiellement encouru par les détenteurs de ce type de terminal mobile. Penchons-nous sur la façon dont une attaque peut être élaborée à partir d’un code QR, avant de voir comment s’en protéger.

La lecture du code

Première étape d’une telle attaque : diffuser le code en lui-même de manière à susciter l’intérêt de victimes potentielles. Pour ce faire, le code QR peut être intégré à un e-mail (ce qui en fait alors une attaque sophistiquée par hameçonnage), imprimé sur des documents papier semblant au-dessus de tout soupçon (comme des flyers distribués sur un salon professionnel, par exemple) ou encore apposés sous forme d’autocollants sur de vrais panneaux publicitaires.
 
Une fois le code QR diffusé, le pirate a alors le choix parmi de nombreuses méthodes d’escroquerie. L’une des plus basiques consiste à utiliser le code simplement pour renvoyer les utilisateurs vers de faux sites Web, comme une boutique en ligne ou un site de paiement, et ce, à des fins d’hameçonnage.
 
Dans le cadre d’attaques plus complexes, les pirates peuvent utiliser les codes QR pour orienter l’utilisateur vers des sites Web qui « forceront » son mobile : ils auront ainsi un accès direct au système d’exploitation du terminal, qui leur permettra d’installer un logiciel malveillant. S’apparentant au concept « drive-by download », ce type d’attaque donne la possibilité d’installer des logiciels ou applications, tels que des enregistreurs de saisie ou des outils de repérage par GPS, sans que l’utilisateur le sache ou donne son accord.

L’e-portefeuille pour cible

L’utilisation de plus en plus répandue des services bancaires en ligne et du paiement via les smartphones représente probablement la source de risque la plus importante pour les utilisateurs. En effet, tels de vrais pickpockets, les pirates peuvent avoir virtuellement accès à leurs e-portefeuilles, les codes QR étant capables de « forcer » les terminaux et de détourner des applications, d’autant que des solutions de paiement basées sur ce type de code sont déjà en circulation. Même si ce procédé est encore peu répandu, son ampleur pourrait bien croître à mesure que le grand public s’appropriera les codes QR.
 
Alors, que peuvent faire les entreprises et les particuliers pour atténuer les risques liés aux codes QR ? S’il est une précaution à prendre, c’est bien celle de définir précisément quel lien ou ressource le code QR activera une fois qu’il aura été scanné. Certaines applications permettant de scanner les codes QR (mais pas toutes) offrent cette visibilité, en demandant à l’utilisateur (même si cela peut sembler poussif) de confirmer l’action engagée. Ainsi, il a la possibilité de vérifier la validité du lien avant que le code soit activé.
 
Pour ce qui est des smartphones à usage professionnel, les entreprises ne doivent pas hésiter à mettre en place un système de chiffrement des données : même si un code QR malveillant parvient à installer un cheval de Troie sur le terminal, les données sensibles sont tout de même protégées, empêchant les pirates d’y accéder et de les utiliser immédiatement.
 
En guise de conclusion, les codes QR et les risques qui leur sont associés offrent aux pirates un nouveau levier d’attaque et d’escroquerie. En matière de sécurité, les règles de base s’appliquent là aussi : faire attention à ce que l’on scanne et utiliser le chiffrement des données si possible.

Commentez

Participez à la discussion


La période de vérification reCAPTCHA a expiré. Veuillez recharger la page.