S'inscrire Se connecter

«

»

mar
21


Quand les QRcodes passent du Côté Obscur

Les QRcodes sont parfois des pièges, méfiez-vous !Les QRcodes permettent de se connecter rapidement à un site web à l'aide d'un smartphone. Un outil indispensable pour les professionnels de la communication ! Mais ils peuvent aussi cacher de nombreux dangers, que l'on commence à peine à découvrir aujourd'hui…

Les QRcodes sont ces codes-barres modernes, composés de carrés blancs et noirs, et que l'on aperçoit sur les affiches de concert, les bouteilles d'eau, les sites web, les magazines, etc. On peut les scanner avec la caméra de son smartphone (tablette, console de jeu portable, etc.) pour accéder directement à un espace web, sans avoir à taper son adresse URL. Et donc sans que l'utilisateur ne sache vraiment à quoi il se connecte, ce qui peut être dangereux : prudence aux EvilQR, ou codes QR malicieux.

Mais ces flashcodes peuvent s'avérer encore plus risqués, en déclenchant sur l'appareil mobile de l'utilisateur des actions de plus en plus variées. Si dès leur origine les QRcodes permettent de naviguer vers un site web, d'afficher un message texte ou d'ajouter une carte de visite virtuelle, ils peuvent aussi déclencher des processus cachés inquiétants, comme l'a récemment prouvé le "chercheur underground" que zataz.com surnomme DBTJ : "Avec mes collègues, nous avons testés plusieurs cas, qui, hélas, se sont avérés efficaces".

Utilisés à mauvais escient, les QRcodes permettent notamment de :

  • Diriger l'utilisateur vers un code racketteur (ransomware)
  • Ajouter automatiquement un marque-page, un évènement dans l'agenda ou une carte de visite dans le répertoire, qui collecteront par la suite des données personnelles
  • Déclencher un appel téléphonique ou l'envoi d'un SMS (vers un numéro surtaxé par exemple)
  • Faire participer l'utilisateur à une attaque DDoS/DoS, à son insu
  • Propager des chevaux de Troie comme par exemple Zeus et SpyEye

Reste ensuite aux cybercriminels la charge de définir des moyens de diffusion de leurs QRcodes. Le plus simple est de remplacer un QRcode courant par le leur, ou même carrément de créer ses propres supports :  "Dans le cadre de la démonstration, nous avons infecté exactement 1.341 personnes d'une banlieue de Saint-Denis, et cela en seulement 14 heures. Avec une technique de SE (Social Engineering) d'une simplicité redoutable, nous avons fait des publicités contenant notre QRcode d'un jeu mobile gratuit que nous avons ensuite imprimé en plusieurs exemplaires et diffuser dans les lieux publics (gare/train – centre-ville)".

Comment se protéger des QRcodes malicieux ?

Sauf à ne jamais scanner un QRcode, le risque zéro n'existe pas. Certaines précautions peuvent toutefois aider à la limiter la casse éventuelle :

  • N'attribuer sa confiance qu'à des QRcodes proposés par des émetteurs connus et attestés
  • Utiliser une application de scan qui décrit à l'utilisateur l'action du QRcode, avant que celle-ci ne soit acceptée (ou refusée en cas de doute)
  • Se protéger avec des solutions du style Norton Snap QR Code Reader (disponible sous iOS et Android)

Le scan des QRcodes est vécu comme une activité ludique par les utilisateurs. Nul doute que les variantes malicieuses vont se développer à l'avenir. Alors veillez à scanner en connaissance de cause !

 

Source : zataz.com

Cet article vous a intéressé ? Partagez-le :
Tweet

Laisser un commentaire

Votre adresse ne sera pas publiée.

Vous pouvez utiliser les balises HTML suivantes : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>