cybercriminalité cybersécurité politique et internet

La mauvaise idée pour les entreprises, du code QR comme outil d’identification du certificat de vaccination.

Code QR

À ce que je comprends des annonces du gouvernement, le code QR et plus spécifiquement le code QR dynamique risquent de devenir l’outil de vérification des gens qui seraient vaccinés. Chez Radio-Canada :

(…)Qui plus est, a ajouté Christian Dubé, si elle devait être utilisée, la preuve vaccinale n’empêcherait personne, vacciné ou non, de recevoir des services jugés essentiels. Seuls les activités et les services non essentiels pourraient être assujettis à sa présentation.
(…) Cette preuve vaccinale devrait prendre la forme d’un code QR transmis aux personnes pleinement vaccinées par voie électronique.

Les services non essentiels seront ceux offerts par les entreprises privées. Soit les restaurants, bars, gymnases, théâtres en autres. Ils seront ceux qui devront scanner les codes QE afin de valider (ou pas) la vaccination de leurs clients. Or, le code QR est une technologie particulièrement pernicieuse, permettant de très nombreux types de cybercrimes. Ce seront donc les entreprises (et/ou leurs employés qui vérifieraient le code QR à partir de leurs téléphones personnels) qui seront les premières victimes de l’usage généralisé de cette technologie.

Sur le site Avantdecliquer on peut lire :

Le QR code, une cyber-menace en vogue.
Omniprésents dans nos vies, les utilisateurs n’ont pas pleinement conscience des risques liés à l’utilisation des QR codes. Les hackers exploitent cette technologie en partageant une URL malveillante vers un site de phishing. Ils peuvent également propager un malware ou encore collecter des données personnelles.
Ces agissements malveillants peuvent déclencher différentes actions :
• Ajouter une liste de contacts et s’en servir pour lancer des campagnes de phishing
• Lancer des appels téléphoniques vers des services payants
• Envoyer des SMS aux personnes avec une mauvaise réputation ou recherchées par les forces de l’ordre
• Écrire des e-mails
• Effectuer des paiements
• Accéder à vos comptes bancaires
• etc..
La difficulté est de ne pas savoir où mènera ce code avant de l’avoir scanné.

Scénario catastrophe

Supposons un filou qui veut pénétrer les systèmes informatiques du Centre Bell, ou acquérir les informations confidentielles de la jolie serveuse du resto du coin. Il n’aura qu’à présenter un code QR de son propre cru, le faire scanner par le préposé à l’accueil, être surpris que le code ne mène pas à la page des informations sur la vaccination Covid, être refusé d’entrer et simplement partir en marchant. Ce seront donc l’entreprise et/ou leurs employés, qui récolteront les retombées négatives potentielles d’une telle opération.

L’inutilité du code QR comme outil de validation

Supposons aussi qu’un personne particulièrement habile avec Photoshop, recrée le formulaire de validation de vaccination de la page de Santé Québec, dans les moindres détails, incluant la signature du ministre et une fausse page Chrome avec l’URL de destination, il suffira par la suite de créer son propre Code QR et de le diriger vers une page Web avec l’image Photoshopée, pour paraître avoir été vacciné alors que ce ne serait pas le cas.

Dans ces deux cas de figure, nous pouvons conclure que le code QR engendrera un très grand risque informatique pour les entreprises et leurs employés et qu’il pourrait être relativement facile de déjouer le système de vérification de qui est vacciné ou pas.

Vous pourriez aussi aimer:
Chez Forbes, I Don’t Scan QR Codes, And Neither Should You
Chez Radio-Canada Facile à décoder, le code QR des vaccinés inquiète des experts en cybersécurité
Chez Phonandroid QR Codes : attention, les hackers s’en servent pour pirater les smartphones

La mauvaise idée pour les entreprises, du code QR comme outil d’identification du certificat de vaccination. Lire la suite »