QR Code® et sécurité en 2021.

22 avril 2021

Le QR Code® et la sécurité en 2021


Robert Zemeckis offrait à Tom Hanks, dans son film Forrest Gump, la réplique suivante : « La vie c’est comme une boite de chocolat, on ne sait jamais sur quoi on va tomber ». C’est également vrai pour l’usage du QR Code®. Qu’est-ce qui ressemble le plus à un QR Code® qu’un autre QR Code®. Que se cache-t-il derrière ces petits carrés noirs et blancs ?

De prestigieux cabinets conseil en sécurité, la presse en ligne ou papier et bien d’autres canaux de diffusion nous alertent sur la dangerosité de l’utilisation des QR Codes® ;

  • Journal du Net, Novembre 2020 « QR codes : une menace sournoise pour la sécurité des mobiles »

  • Forbes, Octobre 2020 « Les QR Codes Présentent Plus de Risques Que Vous Ne Le Croyez »

  • Le Monde Informatique , septembre 2020 « Les QR codes, nids à soucis de vie privée et de sécurité »


Pourquoi de telles affirmations ???

Le QR Code®, ne représente pas plus de danger que n’importe quel lien ou autre bouton aguicheur sur un courriel, un site internet, un appel ou un SMS.

Il n’est qu’un accès rapide et efficace pour obtenir ou transmettre de l’information. Le QR Code® nous évite avant tout les saisies fastidieuses des liens internet, des fiches de contact, des connexions WiFi… sur le clavier rikiki de nos smartphones.

Mais alors, comment un QR Code® peut-il être plus « dangereux » ?

Il ne l’est pas !

On nous ressasse, à raison, de toujours vérifier les URLs internet (répudier les URLs ne commençant pas par https:// ou n’ayant pas un petit cadenas devant l’adresse est un bon premier pas). Pour les courriels reçus, toujours vérifier l’adresse d’origine afin d’éviter tout hameçonnage (ou phishing : faux emails qui redirigent vers des sites malveillants afin d’obtenir des informations personnelles : login/mot de passe, autres informations personnelles…). Les éditeurs d’applications et des différents systèmes d’exploitation, Android, IOS, …, envoient de très fréquentes invitations dans le but de mettre à jour nos appareils mobiles pour mieux être protéger. Ainsi, la vérification et la mise à niveau des appareils mobiles (ou ordinateurs) sont les toutes premières actions à mettre en application en urgence pour la sécurité de nos appareils (intégrité et disponibilité) et de notre vie privée (confidentialité). Par conséquent, que ce soient des actions tactiles ou après le scan d'un QR Code®, il n’y a aucune différence en termes de risques. À un détail près… Depuis quelques années, la lecture des QR Codes® est devenu possible par l’utilisation des applications intégrées « appareil photo » des smartphones, il n’est plus possible de consulter le contenu d’un QR Code® avant de déclencher l’action. Quel dommage ! Toutes les applications tierces offraient par défaut cette fonctionnalité simple et sécure. Les éditeurs ont privilégié la rapidité d’exécution au détriment de la sécurité. Le scan & go sans réfléchir. Il serait de bon ton que les éditeurs revoient leur roadmap pour offrir cette amélioration aux utilisateurs. La bonne nouvelle que je recommande chaudement avant les potentielles prochaines mises à jour de nos éditeurs préférés est d’installer et d’utiliser une application tierce pour la lecture des QR Codes®. Il en existe une multitude qui par défaut, laisse voir le contenu des codes avant toute action.


Pour plus de sécurité...

Pour ajouter de la sécurité supplémentaire, ce qui n’est aucunement propre à l’usage des QR Codes®, il est essentiel de sensibiliser les sociétés et les particuliers.

  • Pour les sociétés, une flotte de mobile doit être protégée suivant les mêmes critères de sécurité que la flotte globale informatique. VPN, anti-malware et, pour les smartphones, tablettes ou autres terminaux, une gestion rigoureuse par l’adoption d’une « gestion unifiée des terminaux » (de l’anglais Unified Endpoints Management). Ces suites applicatives permettent aux responsables SI et aux entreprises dans leur ensemble de gérer les mises à jour, les droits sur l’installation des applications autorisées, les configurations, les certificats, l’encryptions, la sauvegarde, les écrasements de données en cas de perte ou de vol… Ce, pour toute la mobilité dont ils sont propriétaires mais également en forçant l’adhésion aux mêmes principes de sécurité pour tous les collaborateurs qui utiliseraient leur propre équipement mobile (BYOD).

  • Pour les particuliers, il est important de ne pas configurer sa dernière acquisition mobile à la légère. Mots de passe, configuration des sauvegardes en ligne, mises à jour en continue et encore une fois, ne pas penser que ça n’arrive qu’aux autres. Vérifier toujours la provenance des courriels et vérifier également les liens internet. Ça n’est pas si compliqué, juste une bonne habitude à prendre. Dès lors, scannez tout ce qui vous fera plaisir ! Les QR Codes® sont vos amis, ils vont vous faciliter la vie de tous les jours. En chine, en Inde, ils font partie de la vie de tous les jours. Juniper Research estime que le paiement via QR Code® sera multiplié par 3 dans les toutes prochaines années. En chine, ces paiements atteindraient 5.5 trillions de dollars uniquement à travers les plateformes WeChat et Aliplay.

Exemples de mass provisionning d’un QR Code® graphique (crédit IneoScan)

Tous ces codes sont différents et pourtant il garde le même esprit graphique. La sécurité repose sur le design initial qui lui doit être protégé pour éviter toute compromission.

En ajoutant un cran de sécurité ultime, un QR Code® sécure peut intégrer du contenu encrypté. Ainsi, pour un utilisateur lambda, le code va contenir, par exemple, de la publicité, la redirection vers un site... Pour l’annonceur et ce, en utilisant un lecteur spécifique intégrant la notion de certificats privé et publique (PKI), le même code va donner accès à de l’information confidentielle, un accès à une base de données... Le secteur médical, la gestion des identités et des accès… sont des secteurs qui pourraient s’intéresser de près à ce « nouveau » modèle et y voir un intérêt économique certain puisque l’impression d’un QR Code® est sommes toutes beaucoup moins cher qu’une Smartcard ou qu’un badge.



On nous demande de faire attention à tout, mais qu’en est-il des annonceurs de QR Code® ?

L’utilisateur est finalement la principale victime des malveillances. Il est important que la responsabilité soit définie clairement. Que les attentions particulières demandées à tous les utilisateurs qui balayent un QR Code® soient également des attentions particulières prises en considération par les enseignes qui affichent ces codes. Il faut savoir que la seule et unique façon de pirater un QR Code® est d’apposer un faux QR Code® sur l’original. Et oui !

Ainsi, par exemple, sur la vitrine du restaurant, un QR Code® nous invite à passer une commande : Le click & Collect. Dans la nuit, un petit malin appose un QR Code® sur l’original. Ce nouveau QR Code® redirige vers la carte d’un site restaurant fantoche ayant la même apparence que son original. Vous passer la commande, vous payer en ligne avec votre carte visa, Paypal ou tout ce qui vous sera proposer comme moyen de paiement. Et puis, après trois heures, aucune commande ne vous a été livrée. Bienvenue dans le monde des hackers ! Ça coupe l’appétit non ?


À qui la faute ? Aux hackers bien entendu mais n’est-il pas de la responsabilité des gérants de vérifier la cohérence et la véracité de ce qu’il montre. Ne pas apposer directement sur une vitrine les annonces Click & Collect et préférer les mettre en retrait. Vérifier avant chaque début de service que les chevalets de table contiennent bien le QR Code® original… Toutes ces petites vérifications devraient, au même titre que les états de stock, faire partie de la checklist journalière…

Réinventer le QR Code®

Une autre méthode pour ralentir considérablement ces malveillances. Opter pour les QR Codes® graphiques, riches en couleur. Ces QR Codes® peuvent intégrer jusqu’à l’identité visuelle d’une enseigne et bien plus encore. Ainsi, il sera très décourageant pour un hacker de reproduire de tels codes à l’identique. En un coup d’œil, il est aisé de savoir si le QR Code® est un original ou pas. Il est fort à parier que dans les années à venir, les enseignes, les annonceurs se tournent vers de telles solutions esthétiques et beaucoup, beaucoup plus sécures. Nous pourrions assister à une nouvelle aire révolutionnaire de l’usage des QR Codes® et ne scanner que les codes identitaires et sophistiqués. Ne laissant plus la place aux codes basiques noirs et blancs. Une nouvelle aire également où tous les QR Codes® « officiels » seraient répertoriés dans une base anonymisée unique tout comme les code-barres des produits que nous achetons tous les jours. Ces QR Codes® graphiques existent déjà. Un moteur graphique très sophistiqué permet la création multiple (mass provisionning) tout en gardant le même esprit graphique. Rien à voir avec tous les générateurs de QR code® en ligne qui ne permettent que de maigres intégrations de logos ou d’image. Avec des formats très basiques que n’importe quel hacker en herbe pourrait reproduire et détourner pour ces méfaits.



Le QR Code® est-il mort ?

Toutes considérations confondues, il est aisé de dire que NON et ça n’est pas pour demain.

Rappelons qu’il a été inventé en 1994 par le Japonais Masahiro Hara, ingénieur de la société Denso-wave. Il est initialement utilisé sur les chaines logistiques des pièces détachées pour les usines Toyota. Le QR Code® a la particularité de pouvoir contenir énormément d’information par rapport à son lointain cousin le code-barre. En 1999, il est rendu public sous licence libre. En 2000, il s’offre la normalisation ISO/CEI 18004. Il faudra attendre l’apparition des premiers smartphones pour qu’il prenne son envol dans ce monde que nous connaissons tous.


Le QR Code® et moi

Depuis de nombreuses années, plus de 10 au moins, le QR Code® me fascine. Obsession peut-être. Je me souviens l’avoir trouvé tellement laid de prime abord. J’ai vu en lui une utilité sans pareille. J’ai entrepris la compréhension de sa norme, de ses contraintes et de ses possibilités illimitées. Je me suis arrêté longtemps sur ses modes de corrections d’erreur qui m’ont permis de lui refaire des beautés inégalées et de lui ajouter des fonctionnalités supplémentaires.


J’ai commencé alors a créer des QR Codes® Art pour de prestigieuses enseignes telles qu’Air France, LVMH, BNP Paribas et bien d’autres encore.

Consultant pour la sécurité des systèmes d’information, je m’intéresse (aussi) à lui garder sa place dans ce monde vulnérable face aux hackers en mal d’inspiration parce qu’il le vaut bien.