Ne vous fiez jamais aux codes QR, ils pourraient vous trahir

Le code QR n’est en réalité que le premier né de la grande famille des objets interconnectés en constante expansion. Maintenant que la grande majorité d’entre nous possèdent un smartphone, la popularité des codes QR va croissant. En tant que consommateurs intéressés par un produit, rien de plus simple pour en savoir davantage sur ce dernier que de scanner le code QR qui l’accompagne.

Mais, si tout un chacun est désormais en mesure de créer ses propres codes QR par le biais de sites tels que http://go.qr.me, les cybercriminels sont capables d’en faire autant. Dans l’un de mes derniers articles, j’expliquais ainsi que certains criminels n’hésitaient pas à intégrer des codes QR afin de faciliter le paiement de la rançon à leurs victimes.

Je vais maintenant procéder à une petite démonstration très simple, si vous en avez le courage. Je ne dévoilerai rien du contenu de ce code QR. À vous de le scanner pour découvrir ce qu’il cache ! Je ne dirai qu’une seule chose : ça en vaut le détour. Fiez-vous à moi. ?

qr_00

Microsoft, un leader en matière de systèmes d’exploitation, a également reconnu les possibilités offertes par les codes QR et planifie l’intégration d’une nouvelle fonction dans la prochaine mise à jour « Redstone ». Ils prévoient d’équiper leurs écrans d’erreur (mieux connus sous l’appellation écran bleu de la mort) de codes QR afin de permettre aux utilisateurs de mieux comprendre le type d’erreur auquel ils font face :

qr_01

En tant qu’expert en sécurité, je suis convaincu que les cybercriminels ont déjà commencé à réfléchir à l’utilité de cette fonction dans le cadre de leurs opérations nuisibles. Par exemple, vous vous souvenez du très récent rançongiciel Petya dans le cadre duquel les cybercriminels simulaient une vérification CheckDisk après le redémarrage du système afin de chiffrer l’intégralité du contenu de l’ordinateur. Avec l’avènement des codes QR, ils seront désormais en mesure de forcer l’apparition de messages d’erreur au cours du processus d’installation des logiciels malveillants et de simuler ces mêmes messages d’erreur par la suite. Et l’utilisateur n’aura aucun moyen de se rendre compte de la supercherie. Les cybercriminels agiront en parfaits imitateurs jusqu’au bout. Nous voilà donc au point de rupture : vous ne saurez en fin de compte jamais ce que cache réellement le code QR. Rien ? Du spam ? Des photos rigolotes de chats ? Ou bien vous redirigera-t-il vers un site Internet malveillant au sein duquel un cheval de Troie attend patiemment d’être téléchargé sur votre smartphone ? Impossible de savoir…

C’est pourquoi nous vous incitons à rester vraiment méfiants face à ces codes QR dans Redstone comme n’importe où ailleurs ! Tout particulièrement si vous avez pris part à ma petite expérience un peu plus haut et scanné ce code QR en toute confiance alors que vous ne me connaissez même pas. Je n’ai jamais précisé s’il s’agissait d’un contenu sain ou malveillant, n’est-ce pas ? ? (Ne vous en faites pas, celui-ci ne cache rien de méchant.) C’est tout à fait le type de piratage psychologique auquel ont recours les pirates malintentionnés.

Avira a reconnu cette faille de sécurité de nombreuses fois déjà. Pour y remédier, nous avons développé une application capable de vérifier les URL encodés dans les codes QR au sein d’Avira URL Cloud. Venez plutôt la tester dans notre Beta Center : https://betacenter.avira.com/callout/?callid=1F9FD61D6EB843EA8BE09773EE61069B

Ainsi, vous resterez toujours protégé dans cet univers hyperconnecté qui est le nôtre !

Cet article est également disponible en: AnglaisAllemandItalien

Team Leader Virus Lab Disinfection Service