QR Code: Une menace sournoise pour la sécurité de nos smartphones

La crise sanitaire liée à la COVID-19 a donné un vrai coup d’accélérateur sur les projets de transformation numérique en Afrique et au Gabon en particulier. Certaines entreprises au Gabon ont capitalisé sur les avantages des QR codes. 

Un QR code est un code barre qui se présente sous forme d’une matrice pixélisée et qui, une fois scanné, en présentant simplement l’appareil photo de notre smartphone devant le QR code, permet de renvoyer vers un site Internet, d’ouvrir une image, de télécharger une application, une musique, de renvoyer vers des campagnes promotionnelles, des réductions en magasin, des dossiers médicaux, etc. Par exemple, le QR code pourrait renvoyer vers le résultat de son test COVID.

Pourtant, ces raccourcies mobiles peuvent représenter une véritable menace pour les utilisateurs et par voie de conséquence, les entreprises qui n’en ont pas toujours conscience. Le QR code s’avère essentiel car les transactions sans contact sont devenues indispensables avec la pandémie de COVID-19. Une simplicité favorisée par le très fort taux de pénétration des smartphones, presque 80% des utilisateurs en possèdent un aujourd’hui et presque tous ces appareils peuvent lire les QR codes en natifs c’est-à-dire sans qu’une application tierce soit nécessaire.

Malgré une simplicité d’utilisation, certaines tendances alarmantes sont mises en évidence : les utilisateurs de smartphones ne saisissent pas vraiment les risques potentiels des QR codes. Même pour les utilisateurs avertis, il reste difficile, voir impossible de différencier un QR code légitime d’un autre malveillant.

Les appareils mobiles nous ont conditionnés à agir vite – glisser, cliquer, taper, payer – tout en étant distraits par d’autres actions : travailler, faire des courses, manger, etc. Ce type de confiance machinale et implicite nourrit les pirates informatiques qui se servent notamment des QR codes pour déployer des attaques.

Quels sont donc les risques des QR codes ?

Si le piratage d’un QR code nécessite de sérieuses compétences pour contourner les points pixélisés dans la matrice du code, il n’en demeure pas moins que des astuces existent pour se jouer de la vigilance des utilisateurs. Les pirates ont trouvé une méthode bien plus simple. Il s’agit d’intégrer des logiciels malveillants dans les QR codes (qui peuvent être générés très facilement via des outils gratuits disponibles sur Internet). Pour un utilisateur moyen, ces codes se ressemblent tous, mais un QR code malveillant peut diriger vers un faux site web. Il peut également saisir des données personnelles ou installer un logiciel malveillant sur le smartphone pouvant déclencher différents types d’actions :

Ajouter une liste de contacts, les pirates peuvent ajouter une nouvelle liste de contacts sur le téléphone de l’utilisateur et s’en servir pour lancer des campagnes de phishing (des SMS piégés avec pour émetteur, le téléphone infecté), lancer des appels téléphoniques vers des services payants, envoyer des SMS aux personnes avec une mauvaise réputation ou recherchées par les forces de l’ordre par exemple, écrire des e-mails (comme pour les SMS), effectuer des payements, accéder à vos comptes bancaires, etc.

Ces risques sont d’autant plus impactants que certains utilisent leurs équipements professionnels pour des actions personnelles.

Bien qu’effrayants, ces risques ne sont pas inévitables, voici quelques actions simples pour minimiser les risques. L’utilisateur doit s’assurer de la légitimité du QR code avant de le scanner, en particulier les codes imprimés, ils peuvent être collés avec un code différent et potentiellement malveillant. Ne scanner que les codes provenant d’entités de confiance. Il faut être attentif aux signaux d’alerte comme une adresse web différente de l’URL (le lien qui commence souvent par http://www….)

De leurs côtés, les entreprises doivent renforcer la sensibilisation aux risques liés aux QR codes. De plus, pour les entreprises qui équipent leurs salariés d’un téléphone professionnel, elles doivent renforcer leur sécurité mobile en empêchant par exemple l’installation automatique d’application, se protéger des menaces telles que le phishing et la prise de contrôle d’appareils.

Les entreprises doivent utiliser une solution de défense contre les menaces mobiles pour protéger leurs salariés contre les attaques de type « man-in-the-middle » (interception des communications). Il est préconisé de favoriser une authentification multi-facteur pour accéder aux applications professionnelles et aux applications dans le cloud, qui est l’une des principales causes des violations des données aujourd’hui. En passant à l’authentification multi-facteur sans mot de passe, on élimine la menace des mots de passe volés, mais aussi les tracas liés à leur maintenance, ce qui rend tout le monde (sauf les pirates informatiques) beaucoup plus heureux et plus productif.

Didier Simba Responsable de Sécurité des Systèmes d’Information
Président et fondateur du CLUB D’EXPERTS DE LA SÉCURITÉ EN AFRIQUE (CESIA)