Beaucoup de toots et de publications,… sur les QR Code. Alors quoi ?
Quant un QR Code est présent sur des documents ou vos écrans, sachez qu'il n'est pas obligatoire de les scanner avec une application d'ordiphone (smartphone). Ils peuvent être décodés à partir de n'importe quel terminal dès lors que le nécessaire est installé. En quoi est-ce intéressant ? Et bien, posez-vous ces questions. Votre application QR Code est-elle fiable ? Vos autres applications de votre smartphone peuvent-ils intercepter discrètement les QR Code ? Et plus simplement, pouvez-vous garantir que votre smartphone en « bonne santé » ou que les informations ne fuitent pas ?
Quelques points à connaître. Les systèmes d'exploitation ou les applications peuvent interpréter certaines informations. Exemples: un lien hypertexte, une adresse de courriel, un numéro de téléphone, etc… la liste est longue. Cette interprétation de l'information va donner lieu à des actions. Une URL s'ouvrira par exemple un navigateur. Avec un numéro de téléphone ou un courriel, vous aurez la possibilité d’interagir avec : de téléphoner, ajouter à vos contacts, etc… En quoi est-ce un problème ? Et bien certaines actions peuvent s'effectuer à votre insu. En tant qu'utilisateur vous « subissez » l'action. Rare est le lien qui ne va pas de liens en liens. Au final, vous n'en savez rien puisque c'est si rapide que vous ne voyez rien et votre navigateur se garde bien de vous le dire. Autre point observé, certaines applications font fuiter des informations. Prenons un exemple concret : le cas d'une personne qui scan un QR code qui annonce un évènement majeur dans sa société avec une URL pour du rendez-vous professionnel fixé sur Zoom.
Deux points. Le premier point, sachez simplement qu'à partir d'images de QR Code, vous pouvez lire le contenu « en brute » (sans interprétation) directement depuis votre ordinateur. Le deuxième point concerne les usages (productions & lectures) de QR Code en entreprises. Rien ne vous empêche non seulement de chiffrer l'information de départ mais aussi d'y ajouter des mesures visant à vérifier l'intégrité et l'authenticité. Si vous développez ce types d'outils pensez bien à les faire un audit de sécurité pour ne pas finir en croix. Enfin, n'hésitez pas à recourir à toutes sortes de techniques éprouvées et même à des astuces malignes visant à produire volontairement des faux afin de capter d'éventuelles fuites, etc…
Le mot de la fin, pour les champions.
c[€_€]c Les solutions (briques) entreprises de sécurisation de QR Code sont quasiment inexistants. Une belle niche. w00f-w00f
