Faut dire que c’est assez simple de coller un faux code sur l’existant.
Merde, c’est vraiment TRÈS simple en fait !!
Comment ça se fait que personne n’a pensé à ça lors de la conception ?!
Si comme LHV vous vous étonner de la facilité déconcertante d'exploiter la faille de sécurité que sont les QR codes.
Sachez que le QR code est une invention de toyota pour un usage interne de suivi de pièces détachées dans leurs usines... en 1994.
Ça n'a pas du tout été ni pensé, ni conçu pour un usage public à grande échelle, et encore moins pour être sécurisé.
C'est avec la multiplication des ordinateurs de poche qui ont remplacé les téléphones mobiles, et le coté peu pratique de saisir du texte dessus, que le marketing et les publicitaire partant du constat que c'est compliqué de taper une url sur ce type d'appareil ont eu l'idée d'avoir recours au QR code pour augmenter les taux de conversion. Le QR code permettant de faire faire à l'ordinateur ce que l'humain avait du mal à faire, et par la magie de la tyrannique convénience le QR code est devenu central dans les stratégies publicitaires et de marketing poussant à son adoption.
Or le marketing n'en a clairement rien à battre des questions de sécurité et des problèmes que ça peut poser, ça ne fait pas partie de leurs considérations.
wikipedia résume ça ainsi:
QR code has become a focus of advertising strategy, since it provides a way to access a brand's website more quickly than by manually entering a URL. Beyond mere convenience to the consumer, the importance of this capability is that it increases the conversion rate: the chance that contact with the advertisement will convert to a sale. It coaxes interested prospects further down the conversion funnel with little delay or effort, bringing the viewer to the advertiser's website immediately, whereas a longer and more targeted sales pitch may lose the viewer's interest.
Et voila comment aujourd'hui il y a des QR codes partout pour faire tout et n'importe quoi (partage de mot de passe, paiement, authentification, connexion à un réseau, conslutation d'un menu, carte de fidélité, message funéraire sur une pierre tombale, téléchargement et installation d'un logiciel, certificat de vaccination,... ) , alors que c'est d'une facilité enfantine de monter une attaque à base de QR code malveillant.
Et voila comment on a aussi des attaques de toutes sortes basées sur des QR codes, allant de l'éxécution de code arbitraire à la collecte des données présente sur l'appareil en passant à des atteintes à la vie comme par exemple la prise de contrôle de fonctionnalité comme le micro et la caméra. Mais ça ne s'arrête pas aux failles logicielles, ça permets aussi d'envoyer des SMS surtaxés, d'utiliser l'appareil pour une attaques DDOS ou un botnet, etc.
ça peut même être aussi simple que d'imprimer un QR code sur autocollant et de le coller sur des parcmètres en prétendant que c'est un moyen de paiement du stationnement.
On retrouve presque toute la gamme des attaques possibles déclinées sur QR code, avec même variantes propres au QR code qui ont leur petit nom comme l'attagging ou le qishing.
Et tout ça c'était la situation au tournant de 2010, et ça ne s'est pas amélioré depuis.
Il n'y a clairement aucune possibilité de sécuriser les QR code. Pour savoir si c'est un QR code malveillant il faut d'abord le scanner. La défense recommandée c'est de bien vérifier la provenance d'un QR code avant de le scanner. chose qu'il est généralement impossible de faire.
— Permalink