Dans mon récent billet La mauvaise idée pour les entreprises, du code QR comme outil d’identification du certificat de vaccination, j’expliquais pourquoi il sera dangereux pour les entreprises de vérifier le code QR de leurs clients. Maintenant je vais vous expliquer Comment vérifier les passeports vaccinal sans compromettre la sécurité de vos infrastructures numériques?
Au moment d’écrire ces lignes et comme suite à l’annonce du ministre de la Santé Christian Dubé, nous savons maintenant qu’à partir du 1er septembre, les entreprises auront le fardeau de devoir vérifier le code QR de leurs clients avec une application numérique gouvernementale développée à cet effet. Selon de JdeM :
Code QR et pièce d’identité
C’est sur une application mobile gratuite que le passeport vaccinal sera rendu disponible, a expliqué le ministre de la Santé. Les citoyens qui n’ont pas de téléphone pourront aussi présenter leur passeport en format papier. Les utilisateurs devront montrer leur code QR dans les lieux qui requièrent le passeport et il faudra également présenter une preuve d’identité avec photo.
Au moment d’écrire ces lignes, nous savons encore très peu de choses sur l’application gouvernementale devant permettre aux entreprises de vérifier le code QR de leurs clients. Nous savons cependant qu’il s’agira bien de devoir lire un code QR et que cette action, tel que démontré dans mon précédent billet, une porte grande ouverte pour compromettre les infrastructures numériques des entreprises.
La solution sécuritaire pour lire le code QR des entreprises
La manière la plus sécuritaire de lire le code QR des clients des entreprises sans compromettre la sécurité de son infrastructure informatique est de s’assurer que le lecteur de code QR, soit dans un environnement complètement externe à celui de l’entreprise. Pour ce faire, vous devriez acheter des téléphones intelligents les moins dispendieux possibles et ne télécharger sur ceux-ci que l’application de lecture de code QR qui sera fourni par le gouvernement. Deuxièmement, ce(s) téléphone(s) devraient se brancher à un dispositif wi-fi complètement indépendant du reste de votre infrastructure numérique et de vos connexions internet. Comme ça, si jamais un de vos clients tentait d’hameçonner vos systèmes, il sera dans un environnement vide et complètement coupé de votre infrastructure qui elle sera épargnée des intrusions possibles. Voilà.
MAJ
Sur Facebook on me pose une question:
-Question et pour nous qui serons obligés de le faire Comment on protège nos données personnelles? merci
-côté citoyen ou entreprise?
-côté citoyen
-Utilisez un code QR papier au lieu de l’application et pour les données personnelles de santé derrière le code QR, il est trop tôt pour se prononcer et de toute manière, vous n’avez aucun contrôle là-dessus, malheureusement…
Article publié le mercredi, 11 août 2021 sous les rubriques cybersécurité et hacking.
Vous pouvez suivre les commentaires sur cet article via ce fil RSS.
Vous pouvez laisser un commentaire ci-dessous ou un rétrolien à partir de votre site.
Libelés : Code QR, passeport vaccinal.
À ce que je comprends des annonces du gouvernement, le code QR et plus spécifiquement le code QR dynamique risquent de devenir l’outil de vérification des gens qui seraient vaccinés. Chez Radio-Canada :
(…)Qui plus est, a ajouté Christian Dubé, si elle devait être utilisée, la preuve vaccinale n’empêcherait personne, vacciné ou non, de recevoir des services jugés essentiels. Seuls les activités et les services non essentiels pourraient être assujettis à sa présentation.
(…) Cette preuve vaccinale devrait prendre la forme d’un code QR transmis aux personnes pleinement vaccinées par voie électronique.
Les services non essentiels seront ceux offerts par les entreprises privées. Soit les restaurants, bars, gymnases, théâtres en autres. Ils seront ceux qui devront scanner les codes QE afin de valider (ou pas) la vaccination de leurs clients. Or, le code QR est une technologie particulièrement pernicieuse, permettant de très nombreux types de cybercrimes. Ce seront donc les entreprises (et/ou leurs employés qui vérifieraient le code QR à partir de leurs téléphones personnels) qui seront les premières victimes de l’usage généralisé de cette technologie.
Sur le site Avantdecliquer on peut lire :
Le QR code, une cyber-menace en vogue.
Omniprésents dans nos vies, les utilisateurs n’ont pas pleinement conscience des risques liés à l’utilisation des QR codes. Les hackers exploitent cette technologie en partageant une URL malveillante vers un site de phishing. Ils peuvent également propager un malware ou encore collecter des données personnelles.
Ces agissements malveillants peuvent déclencher différentes actions :
• Ajouter une liste de contacts et s’en servir pour lancer des campagnes de phishing
• Lancer des appels téléphoniques vers des services payants
• Envoyer des SMS aux personnes avec une mauvaise réputation ou recherchées par les forces de l’ordre
• Écrire des e-mails
• Effectuer des paiements
• Accéder à vos comptes bancaires
• etc..
La difficulté est de ne pas savoir où mènera ce code avant de l’avoir scanné.
Scénario catastrophe
Supposons un filou qui veut pénétrer les systèmes informatiques du Centre Bell, ou acquérir les informations confidentielles de la jolie serveuse du resto du coin. Il n’aura qu’à présenter un code QR de son propre cru, le faire scanner par le préposé à l’accueil, être surpris que le code ne mène pas à la page des informations sur la vaccination Covid, être refusé d’entrer et simplement partir en marchant. Ce seront donc l’entreprise et/ou leurs employés, qui récolteront les retombées négatives potentielles d’une telle opération.
L’inutilité du code QR comme outil de validation
Supposons aussi qu’un personne particulièrement habile avec Photoshop, recrée le formulaire de validation de vaccination de la page de Santé Québec, dans les moindres détails, incluant la signature du ministre et une fausse page Chrome avec l’URL de destination, il suffira par la suite de créer son propre Code QR et de le diriger vers une page Web avec l’image Photoshopée, pour paraître avoir été vacciné alors que ce ne serait pas le cas.
Dans ces deux cas de figure, nous pouvons conclure que le code QR engendrera un très grand risque informatique pour les entreprises et leurs employés et qu’il pourrait être relativement facile de déjouer le système de vérification de qui est vacciné ou pas.
Vous pourriez aussi aimer:
Chez Forbes, I Don’t Scan QR Codes, And Neither Should You
Chez Radio-Canada Facile à décoder, le code QR des vaccinés inquiète des experts en cybersécurité
Chez Phonandroid QR Codes : attention, les hackers s’en servent pour pirater les smartphones
Article publié le mardi, 13 juillet 2021 sous les rubriques cybercriminalité, cybersécurité et politique et internet.
Vous pouvez suivre les commentaires sur cet article via ce fil RSS.
Vous pouvez laisser un commentaire ci-dessous ou un rétrolien à partir de votre site.
Libelés : Covid-19, passeport sanitaire, passeport vaccinal, Preuve de vaccination.
