On a cru un moment qu’ils allaient disparaître, vestiges d’une technologie un peu ringarde des années 2000. Et puis, la pandémie est passée par là. Aujourd’hui, le QR Code est devenu le roi incontesté du sans-contact. On le scanne machinalement pour lire le menu d’un restaurant, pour se connecter au Wi-Fi d’un hôtel ou pour valider un ticket de stationnement. C’est devenu un réflexe, presque une extension de notre main.
Mais soyons honnêtes deux minutes : quand vous sortez votre smartphone pour scanner ce petit carré noir et blanc, savez-vous vraiment où il vous emmène ? La réponse est non. Et c’est précisément là que le bât blesse. Nous avons développé une confiance aveugle envers ces damiers numériques, oubliant qu’ils peuvent être tout aussi dangereux qu’une pièce jointe douteuse dans un mail frauduleux.
Dans cet article, je ne vais pas vous dire d’arrêter de vivre, mais je vais vous expliquer pourquoi scanner à tout-va est une mauvaise habitude, et surtout, pourquoi nos smartphones actuels ne nous protègent pas assez contre cette menace invisible.
Le syndrome du clic à l’aveugle
Imaginez la scène : vous recevez un SMS d’un numéro inconnu contenant un lien du type http://gagner-argent-vite.ru/virus. Est-ce que vous cliquez ? Probablement pas (enfin, j’espère pour vous). Votre cerveau identifie immédiatement le danger grâce à l’URL suspecte. Sur un ordinateur, vous avez même le réflexe de passer la souris sur un lien pour vérifier sa destination réelle avant de cliquer.
Le problème du QR Code, c’est qu’il supprime cette étape de vérification visuelle. C’est un lien masqué par nature. Une récente note de sécurité publiée par l’Université de l’Illinois à Chicago (UIC) a d’ailleurs tiré la sonnette d’alarme sur ce phénomène. Ils rappellent une vérité technique toute simple : un QR Code n’est rien d’autre qu’une URL encodée graphiquement. Le scanner, c’est littéralement “cliquer sans regarder”.
J’ai fait le test récemment avec plusieurs applications de lecture. La plupart du temps, l’interface vous affiche une petite notification pop-up. Parfois, elle montre le début du lien, mais si l’URL est longue ou utilise un raccourcisseur d’URL (type bit.ly), vous n’avez absolument aucun moyen de savoir si vous allez atterrir sur le site officiel de votre banque ou sur une copie frauduleuse conçue pour siphonner vos identifiants.
Le “Quishing” et le piège du monde physique
Les experts en sécurité ont donné un petit nom à cette pratique : le “Quishing” (contraction de QR Code et Phishing). Ce qui rend cette attaque particulièrement vicieuse, c’est qu’elle fait irruption dans notre monde physique, là où nous sommes généralement moins méfiants que derrière un écran.
L’attaque la plus basique, mais redoutablement efficace, consiste à coller un autocollant par-dessus un vrai QR Code. J’ai déjà vu ça sur des parcmètres dans certaines grandes villes. Vous arrivez, pressé, vous voulez payer votre stationnement via l’appli de la ville. Vous scannez le code collé sur la borne. Vous atterrissez sur une page de paiement qui ressemble à s’y méprendre à l’officielle. Vous rentrez vos numéros de carte bleue. Et voilà, c’est terminé.
L’Université de l’Illinois souligne également que ces codes peuvent déclencher d’autres actions que la simple ouverture d’une page web. Ils peuvent initier un appel téléphonique, envoyer un SMS surtaxé, ou même ajouter un contact malveillant dans votre répertoire. Le tout, en une fraction de seconde, juste parce que vous vouliez voir la carte des desserts.
Avis Sitegeek : Il faut une Sandbox d’urgence sur iOS et Android
Alors, on fait quoi ? On arrête de scanner ? C’est impossible aujourd’hui. Mais il y a un vrai manque de responsabilité du côté des constructeurs de smartphones. Actuellement, que ce soit sur mon iPhone ou sur un Android, le système est trop permissif. Il traite le QR Code comme une simple commodité, pas comme une porte d’entrée potentielle pour des malwares.
Pour moi, la solution doit venir de l’OS. Apple et Google devraient implémenter une “Sandbox” (un bac à sable sécurisé) obligatoire pour tout scan de QR Code. Au lieu d’ouvrir directement Safari ou Chrome avec vos cookies et vos sessions actives, le lien devrait s’ouvrir dans un conteneur isolé, sans accès aux données du téléphone, sans possibilité de télécharger un fichier et avec une analyse de sécurité en temps réel de l’URL.
Aujourd’hui, c’est à l’utilisateur d’être paranoïaque, de vérifier l’URL, de ne pas scanner n’importe quoi. Mais soyons réalistes : la technologie doit s’adapter à l’humain, et non l’inverse. Tant que l’iPhone ouvrira ces liens aussi bêtement qu’il ouvre une page Google, le QR Code restera la porte dérobée préférée des hackers.
Et vous, vous est-il déjà arrivé de scanner un code qui vous a semblé louche, ou faites-vous confiance aveuglément à ces petits carrés noirs ?
