Utiliser des codes QR en toute sécurité

Danger des infections par drive-by download

Ouvrir des sites web malveillants

Lorsque nous ouvrons des sites malveillants, le principal danger qui nous guette est le drive-by download ou téléchargement à la dérobée. Il s’agit d’exploiter des failles pour installer un maliciel sans aucune action de notre part.

Dans plusieurs cas ci-après, cette technique pourrait être utilisée. En effet, les codes QR manquent de transparence et peuvent contenir des liens vers des sites malveillants.

Services d’URL courtes

Le problème avec les services d’URL courte

Les réducteurs d’URL tels que kaywa.me, outil utilisé chez nous, permettent de générer des codes QR dynamiques. C’est très pratique pour l’impression. Le réducteur d’URL renvoie automatiquement à une adresse qui n’est pas visible au moment de scanner le code.

Ce processus opaque est problématique, car les adresses kaywa nous inspirent confiance, mais elles sont facilement reproductibles et donc trompeuses. Elles peuvent en effet mener vers un site potentiellement frauduleux sans éveiller aucun soupçon lors du scannage du code (voir les deux codes QR ci-dessous).

Générer des SMS

Générer des SMS déjà rédigés

Les codes QR malveillants peuvent générer un SMS prêt à être envoyé à un numéro surtaxé (090x). Regardez l’exemple simulé ci-dessous.

Ce que vous voyez avec l’appareil photo de l’iPhone

Générer des courriels

Générer des courriels déjà rédigés

Les codes QR peuvent générer un courriel rédigé qui est trompeur. Regardez l’exemple simulé ci-dessous.

Connexion hotspot WLAN

Login

Les codes QR trompeurs peuvent nous connecter à un WLAN malveillant. Le code contient le nom du réseau (SSID), le type de chiffrement et le mot de passe WLAN.

Les WLAN malveillants permettent de surveiller le flux de données et de le manipuler.

Regardez l’exemple simulé ci-dessous

Importer des coordonnées via vCard

Importer des coordonnées via vCard

Les codes QR permettent de générer et d’importer toute une série d’entrées dans le carnet d’adresses.

Le danger qui plane est latent. Dans l’exemple qui suit, un lien vers un site potentiellement malveillant a été ajouté. La personne dont vous avez inscrit les coordonnées dans le carnet d’adresses et qui jouit donc d’une certaine légitimité pourrait vous inviter plus tard à cliquer sur le lien.

Regardez l’exemple simulé ci-dessous.

Importer des entrées dans le calendrier

Importer des entrées dans le calendrier

Les codes QR permettent de générer et d’importer des rendez-vous.

Le danger qui plane est latent. Dans l’exemple qui suit, un lien vers un site potentiellement malveillant a été ajouté. Un rendez-vous lointain peut nous pousser à cliquer sur le lien à un moment donné pour obtenir davantage d’informations à ce sujet.

Regardez l’exemple simulé ci-dessous.

Code QR avec rendez-vous dans le calendrier

Skype-Call

Réunion Skype

Les codes QR permettent de transmettre des liens vers des réunions Skype. Leur opacité peut également été exploitée dans ce même but. Un domaine falsifié (les lettres sont par exemple déformées dans l’URL) peut tromper un interlocuteur ou une interlocutrice légitime.

Regardez l’exemple simulé ci-dessous.

Code QR avec lien vers une réunion Skype

Ce que vous voyez avec l’appareil photo de l’iPhonen

Lien pour l’installation d’une application (Android)

Lien pour l’installation d’une application (Android)

Les codes QR malveillants peuvent créer un lien vers un App Store non autorisé. Les appareils Android sont plus exposés à ce risque que les iPhone. Pour autant que les attaques ne soient pas trop sophistiquées, il faut généralement encore suivre d’autres étapes pour installer l’application.

Regardez l’exemple simulé ci-dessous. Le lien vers l’App Store va expirer.