Le danger des QR Codes - Un vecteur d'attaque

Si un jour tu as envie d'énerver un type qui bosse dans la sécu, scan devant lui un QR Code et regarde le s'énerver comme si tu venais de commettre la pire des conneries.

Alors, c'est de bonne guerre, car je dois dire que moi même, je m'arrache les cheveux lorsque je vois que tous les menus des restaurants sont en QR Code maintenant, mais pourquoi ces QR Codes sont en réalité dangereux ?

Un exemple pour mieux comprendre

Scanner un QR Code, c'est un peu l'équivalent de manger quelques chose que tu viens de trouver par terre. Si à première vue, ce magnifique croissant à l'air complétement délicieux, malgrès le fait qu'il traine par terre, je doute que tu le manges sans hésiter, voir même que tu le touche tout court.

Pourquoi ? Très probablement car tu vas te demander pourquoi un croissant traine par terre, qui a bien plus le laisser la, est-ce que ce croissant n'est pas vecteur de maladie ou carrément empoisonné, bref en gros, le risque est trop grand.

Et bien en réalité, scanner un QR Code, c'est exactement pareil. Tu ne sais pas ce que fait ce QR Code là, qui a bien pu rééllement le laisser la, à quoi il sert et ou ce QR Code veut t'emmener au final.

Car oui, si à première vue ce QR code sur cette table de restaurant semble avoir été mis là par le propriétaire, rien n'empêche quelqu'un de le remplacer par un QR code malicieux, par exemple.

De même, un QR code, par définition, ne ressemble pas à grand-chose pour nous, pauvres mortels incapables de le lire d’un coup d’œil.

Du coup, un QR code, c'est un peu comme un saut dans l'inconnu.

À vous de choisir votre camp ou de changer d’équipe comme bon vous semble au fil des labs.

Est-ce que ce QR code renvoie vers le bon site ? Vers un site malicieux imitant à la perfection la charte de celui qu'il essaye d'usurper ? Ou même un lien pour télécharger directement un fichier malveillant sur ton appareil ? Par définition, tu ne peux pas le savoir avant de l'avoir scanné.

Faut-il arreter de scanner ces QR Codes ?

Alors évidemment, le but n'est pas de te faire craindre chaque QR code au point de ne plus jamais en scanner, mais avant de faire quoi que ce soit, prends quelques instants pour vérifier :

• Que c'est cohérent de scanner un QR code à ce moment-là. Scanner un QR code pour consulter le menu d'un restaurant sur une table, c'est cohérent ; par contre, un QR code sur un poteau au feu rouge, c'est peut-être moins justifié.
• Vérifie que le QR code que tu scannes ne semble pas être recouvert par un autre QR code.
• Privilégie les applications, comme sur iPhone, qui te montrent l'adresse vers laquelle le QR code veut te rediriger avant d'y accéder, et vérifie que l'adresse semble cohérente.
• N'hésite pas à demander aux propriétaires des lieux si c'est bien leur QR code et si le site est le bon. Il n'y a jamais de mal à se renseigner, surtout si cela peut t'éviter une fuite de données.

Maintenant, tu comprends pourquoi les professionnels de la sécurité voient les QR codes avec méfiance, mais, plus important, tu connais désormais les bonnes pratiques pour réagir face à un QR code !