Publié le 22 Février 2012
Les
codes QR ont été conçus pour permettre aux utilisateurs d’accéder
rapidement et simplement à des informations sur différents produits et
services. Mais, depuis peu, ils sont également utilisés dans le cadre
d’attaques par social engineering, technique visant à obtenir
frauduleusement les données personnelles d’une victime ciblée. Check
Point revient sur l’émergence des escroqueries s’appuyant sur ces codes
QR et sur l’inquiétude croissante des utilisateurs.
Aujourd’hui, plus besoin de chercher longtemps avant de tomber sur un code QR. S’ils ont fait une apparition discrète dans le secteur de la fabrication automobile, où ils permettaient d’assurer l’identification et le suivi de pièces détachées, ces petits codes-barres sous stéroïdes en forme de blocs fleurissent partout, sur l’emballage des produits comme sur les affiches et les panneaux publicitaires ou encore dans les magazines et les journaux.
Les codes QR représentent un véritable tremplin pour passer du monde hors ligne au monde en ligne. En effet, en les scannant tout simplement à l’aide de son smartphone, on peut accéder rapidement à des contenus numériques qui leur sont associés : de quoi faire rêver les professionnels du marketing, puisque cela permet d’orienter facilement les utilisateurs vers des informations et des offres de services. Qui plus est, les codes QR ont su garder un côté « cool » et suscitent toujours autant la curiosité, les utilisateurs appréciant le confort qu’ils offrent à travers leur aspect « prêt-à-surfer ».
Cependant, tout cela plaît aussi beaucoup aux pirates, qui les utilisent comme des outils de social engineering, afin d’exploiter l’intérêt et la confiance de l’utilisateur pour le diriger vers des sites web ou des logiciels malveillants. Alors que le concept du « drive-by downloads » (qui consiste à télécharger et exécuter, sur le terminal de l’utilisateur et à son insu, un contenu généralement néfaste) constitue désormais une tactique d’incursion bien connue pour voler les données de l’utilisateur lorsqu’il surfe sur le web, les codes QR ouvrent une nouvelle voie, permettant de manipuler les détenteurs de téléphones mobiles suivant une méthode similaire.
Une question de confiance
" Toute la problématique posée par les codes QR repose sur le fait que les utilisateurs n’ont pas d’autre choix que de se fier à l’intégrité de celui qui se cache derrière le code et de supposer que ce dernier les oriente vers une destination légitime, explique Philippe Rondel, Directeur Technique France Check Point Software. Et, pour les particuliers, il est quasiment impossible d’en avoir le cœur net, car les sites et contenus vers lesquels renvoient ces codes sont dissimulés. Depuis le début des années 2000 et les virus qui se propageaient par e-mail, les attaques par social engineering ont beaucoup évoluées. Cela étant, elles reposent aujourd’hui encore sur la curiosité de l’être humain, désireux de savoir ce qui pourrait bien se produire s’il clique sur une pièce jointe ou s’il scanne un code QR, ce qui génère parfois des problèmes en matière de sécurité ".
De plus, les applications utilisées par les smartphones pour scanner un code QR peuvent faire le lien avec d’autres fonctionnalités du téléphone, comme les e-mails, les SMS, les services basés sur la localisation et les différentes applications installées, augmentant ainsi le risque potentiellement encouru par les détenteurs de ce type de terminal mobile. Penchons-nous sur la façon dont une attaque peut être élaborée à partir d’un code QR, avant de voir comment s’en protéger.
La lecture du code
Première étape d’une telle attaque : diffuser le code en lui-même de manière à susciter l’intérêt de victimes potentielles. Pour ce faire, le code QR peut être intégré à un e-mail (ce qui en fait alors une attaque sophistiquée par hameçonnage), imprimé sur des documents papier semblant au-dessus de tout soupçon (comme des flyers distribués sur un salon professionnel, par exemple) ou encore apposés sous forme d’autocollants sur de vrais panneaux publicitaires.
Une fois le code QR diffusé, le pirate a alors le choix parmi de nombreuses méthodes d’escroquerie. L’une des plus basiques consiste à utiliser le code simplement pour renvoyer les utilisateurs vers de faux sites web, comme une boutique en ligne ou un site de paiement, et ce, à des fins d’hameçonnage.
Dans le cadre d’attaques plus complexes, les pirates peuvent utiliser les codes QR pour orienter l’utilisateur vers des sites web qui « forceront » son mobile : ils auront ainsi un accès direct au système d’exploitation du terminal, qui leur permettra d’installer un logiciel malveillant. S’apparentant au concept « drive-by download », ce type d’attaque donne la possibilité d’installer des logiciels ou applications, tels que des enregistreurs de saisie ou des outils de repérage par GPS, sans que l’utilisateur le sache ou donne son accord.
L’e-portefeuille pour cible
" L’utilisation de plus en plus répandue des services bancaires en ligne et du paiement via les smartphones représente probablement la source de risque la plus importante pour les utilisateurs, estime Thierry Karsenti, Directeur Technique Europe Check Point Software. En effet, tels de vrais pickpockets, les pirates peuvent avoir virtuellement accès à leurs e-portefeuilles, les codes QR étant capables de « forcer » les terminaux et de détourner des applications, d’autant que des solutions de paiement basées sur ce type de code sont déjà en circulation. Même si ce procédé est encore peu répandu, son ampleur pourrait bien croître à mesure que le grand public s’appropriera les codes QR ".
Alors, que peuvent faire les entreprises et les particuliers pour atténuer les risques liés aux codes QR ? S’il est une précaution à prendre, c’est bien celle de définir précisément quel lien ou ressource le code QR activera une fois qu’il aura été scanné. Certaines applications permettant de scanner les codes QR (mais pas toutes) offrent cette visibilité, en demandant à l’utilisateur (même si cela peut sembler poussif) de confirmer l’action engagée. Ainsi, il a la possibilité de vérifier la validité du lien avant que le code soit activé.
Pour ce qui est des smartphones à usage professionnel, les entreprises ne doivent pas hésiter à mettre en place un système de chiffrement des données : même si un code QR malveillant parvient à installer un cheval de Troie sur le terminal, les données sensibles sont tout de même protégées, empêchant les pirates d’y accéder et de les utiliser immédiatement.
En guise de conclusion, les codes QR et les risques qui leur sont associés offrent aux pirates un nouveau levier d’attaque et d’escroquerie. En matière de sécurité, les règles de base s’appliquent là aussi : faites attention à ce que vous scannez et utilisez le chiffrement des données si possible. Ou, pour faire simple : si vous sautez le pas, soyez prudents avec les codes QR !
Aujourd’hui, plus besoin de chercher longtemps avant de tomber sur un code QR. S’ils ont fait une apparition discrète dans le secteur de la fabrication automobile, où ils permettaient d’assurer l’identification et le suivi de pièces détachées, ces petits codes-barres sous stéroïdes en forme de blocs fleurissent partout, sur l’emballage des produits comme sur les affiches et les panneaux publicitaires ou encore dans les magazines et les journaux.
Les codes QR représentent un véritable tremplin pour passer du monde hors ligne au monde en ligne. En effet, en les scannant tout simplement à l’aide de son smartphone, on peut accéder rapidement à des contenus numériques qui leur sont associés : de quoi faire rêver les professionnels du marketing, puisque cela permet d’orienter facilement les utilisateurs vers des informations et des offres de services. Qui plus est, les codes QR ont su garder un côté « cool » et suscitent toujours autant la curiosité, les utilisateurs appréciant le confort qu’ils offrent à travers leur aspect « prêt-à-surfer ».
Cependant, tout cela plaît aussi beaucoup aux pirates, qui les utilisent comme des outils de social engineering, afin d’exploiter l’intérêt et la confiance de l’utilisateur pour le diriger vers des sites web ou des logiciels malveillants. Alors que le concept du « drive-by downloads » (qui consiste à télécharger et exécuter, sur le terminal de l’utilisateur et à son insu, un contenu généralement néfaste) constitue désormais une tactique d’incursion bien connue pour voler les données de l’utilisateur lorsqu’il surfe sur le web, les codes QR ouvrent une nouvelle voie, permettant de manipuler les détenteurs de téléphones mobiles suivant une méthode similaire.
Une question de confiance
" Toute la problématique posée par les codes QR repose sur le fait que les utilisateurs n’ont pas d’autre choix que de se fier à l’intégrité de celui qui se cache derrière le code et de supposer que ce dernier les oriente vers une destination légitime, explique Philippe Rondel, Directeur Technique France Check Point Software. Et, pour les particuliers, il est quasiment impossible d’en avoir le cœur net, car les sites et contenus vers lesquels renvoient ces codes sont dissimulés. Depuis le début des années 2000 et les virus qui se propageaient par e-mail, les attaques par social engineering ont beaucoup évoluées. Cela étant, elles reposent aujourd’hui encore sur la curiosité de l’être humain, désireux de savoir ce qui pourrait bien se produire s’il clique sur une pièce jointe ou s’il scanne un code QR, ce qui génère parfois des problèmes en matière de sécurité ".
De plus, les applications utilisées par les smartphones pour scanner un code QR peuvent faire le lien avec d’autres fonctionnalités du téléphone, comme les e-mails, les SMS, les services basés sur la localisation et les différentes applications installées, augmentant ainsi le risque potentiellement encouru par les détenteurs de ce type de terminal mobile. Penchons-nous sur la façon dont une attaque peut être élaborée à partir d’un code QR, avant de voir comment s’en protéger.
La lecture du code
Première étape d’une telle attaque : diffuser le code en lui-même de manière à susciter l’intérêt de victimes potentielles. Pour ce faire, le code QR peut être intégré à un e-mail (ce qui en fait alors une attaque sophistiquée par hameçonnage), imprimé sur des documents papier semblant au-dessus de tout soupçon (comme des flyers distribués sur un salon professionnel, par exemple) ou encore apposés sous forme d’autocollants sur de vrais panneaux publicitaires.
Une fois le code QR diffusé, le pirate a alors le choix parmi de nombreuses méthodes d’escroquerie. L’une des plus basiques consiste à utiliser le code simplement pour renvoyer les utilisateurs vers de faux sites web, comme une boutique en ligne ou un site de paiement, et ce, à des fins d’hameçonnage.
Dans le cadre d’attaques plus complexes, les pirates peuvent utiliser les codes QR pour orienter l’utilisateur vers des sites web qui « forceront » son mobile : ils auront ainsi un accès direct au système d’exploitation du terminal, qui leur permettra d’installer un logiciel malveillant. S’apparentant au concept « drive-by download », ce type d’attaque donne la possibilité d’installer des logiciels ou applications, tels que des enregistreurs de saisie ou des outils de repérage par GPS, sans que l’utilisateur le sache ou donne son accord.
L’e-portefeuille pour cible
" L’utilisation de plus en plus répandue des services bancaires en ligne et du paiement via les smartphones représente probablement la source de risque la plus importante pour les utilisateurs, estime Thierry Karsenti, Directeur Technique Europe Check Point Software. En effet, tels de vrais pickpockets, les pirates peuvent avoir virtuellement accès à leurs e-portefeuilles, les codes QR étant capables de « forcer » les terminaux et de détourner des applications, d’autant que des solutions de paiement basées sur ce type de code sont déjà en circulation. Même si ce procédé est encore peu répandu, son ampleur pourrait bien croître à mesure que le grand public s’appropriera les codes QR ".
Alors, que peuvent faire les entreprises et les particuliers pour atténuer les risques liés aux codes QR ? S’il est une précaution à prendre, c’est bien celle de définir précisément quel lien ou ressource le code QR activera une fois qu’il aura été scanné. Certaines applications permettant de scanner les codes QR (mais pas toutes) offrent cette visibilité, en demandant à l’utilisateur (même si cela peut sembler poussif) de confirmer l’action engagée. Ainsi, il a la possibilité de vérifier la validité du lien avant que le code soit activé.
Pour ce qui est des smartphones à usage professionnel, les entreprises ne doivent pas hésiter à mettre en place un système de chiffrement des données : même si un code QR malveillant parvient à installer un cheval de Troie sur le terminal, les données sensibles sont tout de même protégées, empêchant les pirates d’y accéder et de les utiliser immédiatement.
En guise de conclusion, les codes QR et les risques qui leur sont associés offrent aux pirates un nouveau levier d’attaque et d’escroquerie. En matière de sécurité, les règles de base s’appliquent là aussi : faites attention à ce que vous scannez et utilisez le chiffrement des données si possible. Ou, pour faire simple : si vous sautez le pas, soyez prudents avec les codes QR !
http://www.itrnews.com/articles/129373/codes-qr-sont-risques.html?key=862d53eea2c1d2fe
Aucun commentaire:
Enregistrer un commentaire