Les risques de sécurité cachés des codes QR
Dans cette société sans contact actuelle que nous avons construite à la suite de la pandémie de coronavirus, les codes QR font désormais partie de notre habitude. Nous avons dû apprendre à scanner les codes QR sur Android et iOS pour pouvoir effectuer des paiements, rechercher des informations, etc. Et, généralement, nous le faisons calmement car nous le considérons comme un mécanisme sûr. Au moins plus sûr que les autres. Mais même si cela est vrai, nous ne pouvons pas perdre de vue qu’il ya des certains risques cachés sécurité des codes QR .
Comme nous l’avons déjà dit, un bon pourcentage des restaurants où nous allons aujourd’hui nous permettent de payer avec ce genre de codes ou, directement, de visualiser le menu de cette manière. Certains de ses propriétaires affirment même qu’ils continueront de fournir ce système même lorsque la pandémie aura disparu. Mais cette adoption quasi définitive, devinée pour l’avenir des codes QR, nécessite également des utilisateurs plus informés sur les risques que cela implique. Nous ne voulions donc pas arrêter de faire cet examen.
L’histoire et l’avenir des codes QR
Tout d’abord, il faut savoir que les codes QR existent depuis 1994. Cette technologie a d’abord été développée par une filiale de Toyota, dans le but de suivre les stocks, tout comme les codes-barres de type 1D. Bien sûr, les QR sont quelque chose comme une évolution de ceux-ci, étant donné qu’ils peuvent contenir jusqu’à 100 fois plus d’informations. Mais, comme toujours, plus l’utilité est grande, plus les risques sont également assumés.
En pratique, nous constatons que des commandes d’exécution Windows jusqu’à la fin peuvent être intégrées dans un code QR. Si nous les utilisons depuis le smartphone, nous pouvons lancer des appels téléphoniques, envoyer des SMS et même activer les actions de n’importe quelle application. Apple Pay a même confirmé que, bientôt, nous pourrons effectuer des paiements partout dans le monde en lisant les données du magasin à partir d’un code QR.
Mais qu’en est-il des risques de sécurité cachés des codes QR?
Déjà l’année dernière, le spécialiste du piratage informatique Null Byte a publié une vidéo dans laquelle il montrait certaines des manières dont les pirates pouvaient intégrer des charges utiles malveillantes dans un code QR. Si vous souhaitez découvrir certains des moyens les plus techniques que les pirates peuvent utiliser pour exploiter les codes QR, vous devriez jeter un œil à cette vidéo, que nous vous laissons ci-dessous:
L’une des premières conclusions que nous pouvons alors tirer est que la nature fluide des codes QR permet de prendre plus facilement les utilisateurs au dépourvu, sans même avoir à recourir à des éléments sophistiqués. Pour quelqu’un qui a suffisamment de connaissances, remplacer le code QR d’origine par un code malveillant sur une table de restaurant est un travail relativement simple, pas trop d’effort.
Dans ce cas, un hacker pourrait diriger les utilisateurs vers un site Web en leur demandant de se connecter avec Facebook ou Gmail. De plus, de nombreuses autres escroqueries de phishing et de détournement de clics, pas nécessairement très avancées techniquement, sont possibles si quelqu’un avait accès pour modifier le code QR.
Dans tous les cas, la plupart des risques présents dans les codes QR résultent du fait de ne pas être sûr de l’origine du code QR lui-même. Il ne s’agit pas de l’insécurité du système lui-même, mais de la facilité avec laquelle il est possible de remplacer des informations correctes par de fausses informations. Et combien il sera difficile pour l’utilisateur de le réaliser et de l’empêcher.
Et que pouvons-nous faire?
À ce stade, bien sûr, de nombreux lecteurs se demanderont probablement ce qu’ils peuvent faire pour éviter d’être trompés ou trompés. L’un des moyens les plus efficaces de rester à l’écoute est d’activer la révision du code QR. Ce paramètre particulier nous permet de faire une inspection approfondie du texte décodé avant d’exécuter un code ou d’ouvrir des applications spécifiques. Et cela vous évitera davantage de maux de tête.
D’autre part, les entreprises utilisant des codes QR peuvent protéger leurs clients en utilisant un générateur de code QR personnalisé. Grâce à ce design personnalisé qui établit un lien entre l’entreprise et le client, tant les employés que les consommateurs subiront des manipulations et des remplacements.
En fait, il existe de nombreux cas exemplaires comme celui du restaurant Green Truck Cafe, qui utilise un QR code avec son logo pour éviter les manipulations. Grâce à QRCode Monkey , n’importe quelle marque peut facilement créer un design personnalisé. Et bien que cela ne nous empêche pas à 100%, c’est une méthode pour compliquer les choses pour les hackers. Après tout, c’est de cela qu’il s’agit, d’avoir des outils pour découvrir les contrefaçons.