Vous avez tous vu au moins une fois ces images faites de petits carrés noirs. Le code QR fait désormais partie intégrante de la vie de beaucoup d'entre nous et, pendant la pandémie, il a finalement été adopté en masse. Nous les scannons, naturellement, sans réfléchir. Mais voilà le problème...
Qu'est-ce qu'un QR Code?
Un QR Code ou Quick Response Code est un code barre matriciel, c’est à dire sur deux dimensions. Cette particularité lui permet de stocker un nombre important d’informations (jusqu’à 4296 caractères alphanumériques) comme des liens et même de déclencher certaines actions (se connecter à un réseau WiFi, payer, lancer un appel…). Il est composé de trois ancrages indiquant le positionnement du QRCode et d’une alternance de carrés noirs et blancs qui contiennent un système d’entêtes et de données comme décrit dans la norme ISO 18004.
A l’origine, il a été conçu en 1994 par Masahiro Hara, alors employé de Toyota pour simplifier la traçabilité des pièces automobiles dans les chaînes de production de la firme nippone. Sa capacité à obtenir rapidement des données l’ont popularisé avec l’arrivée des smartphones. Depuis la pandémie de Covid-19, il est complètement rentré dans les habitudes. Ces ensembles de petits carrés en apparence anodins peuvent aujourd’hui compromettre la sécurité informatique des petites et des grandes entreprises…
Comment est-il détourné ?
Son plus grand atout est également sa plus grande faiblesse… En effet, la rapidité qui réside même dans son nom est une faille énorme. L’utilisateur vient à peine de scanner le lien contenu dans le code, qu’il est immédiatement redirigé sur le site, et ce parfois sans même que l’url en question ne soit affichée sur l’écran de l’utilisateur. Il est donc possible d’exploiter cette faiblesse et de la coupler avec les failles humaines, par le biais d’ingénierie sociale, pour en faire une attaque par phishing redoutable.
Voici un exemple très concret pour les entreprises aujourd’hui: Imaginez un e-mail provenant de Microsoft Teams, vous demandant de scanner un QR Code de double authentification pour confirmer que vous êtes bien le détenteur de votre compte. Une fois le scan effectué, vous entrez votre mot de passe pour confirmer votre identité. Il est déjà trop tard, ce qui semblait être une vérification légitime vous a en réalité volé vos identifiants. En effet, le QR Code envoyé dans le mail vous a automatiquement redirigé vers une fausse page de phishing, et bercé par le mécanisme efficace du QR Code, vous n’y avez même pas prêté attention…
Et il n’y a pas que les hackers surentrainés qui peuvent exploiter ces QR Codes à des fins malveillantes! Voici quelques exemples issus de l’actualité:
- Au Texas, des escrocs ont collé des QR Codes sur les parcmètres de la ville, renvoyant sur un faux site de paiement pour le stationnement, afin d’extorquer l’argent des automobilistes.
- En Allemagne, des hackers ont utilisés des QR Codes pour piéger les clients de certaines banques et les inciter à donner leurs mots de passes d’accès bancaire. Un peu partout se multiplient les messages invitant une victime à reprogrammer une livraison avec des frais supplémentaires. La nouveauté est de cacher le lien frauduleux derrière un QR Code.
Quels sont les caractéristiques de cette nouvelle méthode de phishing ?
Au-delà de sa "fraicheur" (donc de la prudence moins grande des utilisateurs), le QR Code présente deux avantages du point de vue Red Team dans une campagne de phishing: l’utilisateur n’a pas directement à lire le lien, ce qui peut permettre de renvoyer vers des sites dont l’URL semble suspecte, du moins aurait pu créer la méfiance chez les utilisateurs de plus en plus avertis grâce aux campagnes de sensibilisations. Comme dit précédemment, il est à présent commun d’en rencontrer, ce qui banalise l’action à effectuer pour l’utilisateur et facilite donc le travail du hacker.
Le second avantage, et pas des moindres est ce que l’on appelle l’évasion. L’évasion est la capacité pour un vecteur de phishing (Mail, QR Code, SMS) à faire sortir l’utilisateur de l’environnement dans lequel il est davantage en sécurité. Plus concrètement, dans une entreprise, faire en sorte qu’en étant dirigé sur un site frauduleux, les outils de contre-détection laisse passer cette requête. C’est le moment fatidique ou le criminel passe la douane avec son butin sans que les vérifications de sécurité n’aient trouvé quelque chose d’illicite à lui reprocher.
Dans le cas des QR Codes, il n’y a pas d’outils ou de mesure reconnu pour vérifier (à l’échelle technique) qu’un QR Code est frauduleux, tout simplement car il est très complexe d’analyser la présence même d’un QR Code dans un mail, combien plus les données qu’il comporte. De plus, l’utilisateur utilise son smartphone pour effectuer le scan. Or, ce terminal n’est que très rarement équipé d’un système de vérification des liens et des pages web. L’attaquant a donc réussi à forcer l’évasion de sa victime en dehors de tout environnement comportant des vérifications de sécurité. Toute la responsabilité repose donc sur l’humain qui scannera le code ...
Ces deux éléments sont des avantages de poids (du point de vue du hacker ou de la red team) pour augmenter le taux de réussite d’une campagne de phishing, y compris chez les utilisateurs avertis. Sachant qu’il suffit parfois d’une seule victime pour remonter tout un système d’information et mettre à mal une entreprise (comme dernièrement chez Uber ), il est primordial de remédier à cette nouvelle forme de phishing.
Comment s’en prémunir ?
1. Prendre le temps de vérifier le contenu du QR Code:
Comme explicité précédemment, le plus grand danger du QR Code réside dans le fait qu’il soit suffisamment rapide pour ne pas laisser le temps à l’utilisateur d’analyser le lien sur lequel il redirige. Prenez quelques instants pour inspecter le contenu du QR Code. Préférez une application de lecture qui vous affiche le lien cible avant de vous rediriger et appliquez les méthodes de vérification enseignées pour les méthodes de phishing classique. En cas de doute vous pouvez également vérifier avec un outil tiers tel quel isitphishing ou auprès des personnes chargées de la sécurité informatique de votre entreprise.
2. Vérifier l’authenticité du QR Code:
La provenance du QR Code peut vous indiquer son caractère frauduleux. Dans le cas d’un mail, vérifiez l’expéditeur du mail. Est-il connu ? Est-il authentique ? A-t-il une raison de vous contacter et de vous demander d’effectuer une action ? Dans le cas d’un QR Code physique (imprimé sur un document ou collé sur un parcmètre par exemple), vérifiez que ce QRCode était originellement présent, qu’il n’en recouvre pas un autre d’origine ou qu’il s’intègre bien dans le reste du document.
3. Revenir manuellement sur un site connu:
En cas de doute au moment d’entrer des données confidentielles, n’hésitez pas à sortir de la page de navigation actuelle et de revenir par vous-même sur le site concerné en tapant manuellement vos liens d’accès habituels.
4. Utiliser un gestionnaire de mot de passe:
Au-delà de ses intérêts en termes d’hygiène de mots de passe, un gestionnaire ne s’activera que si vous naviguez sur un site déjà connu. Ainsi, si vous avez enregistré votre mot de passe d’accès à Microsoft Teams et qu’il ne vous est pas proposé sur une page de connexion Microsoft, c’est que vous n’êtes pas sur une page authentique.
5. Entrainez-vous à reconnaître les campagnes de phishing:
Informez régulièrement vos collaborateurs et effectuez des campagnes d’entrainements peuvent vous permettre de réduire de manière efficace les risques d’attaques par phishing. Ainsi, vos collaborateurs resteront vigilants quant aux nouvelles méthodes employées par les hackers contre les organisations.
Les QR Code sont donc un nouveau vecteur de phishing très puissant que l’on pourrait résumer de la manière suivante: Vous n’avez rien vu, votre système de détection non plus, et pourtant… vous avez mordu.
Pour aller plus loin ...
Lancer des campagnes anti-phishing
Il existe un certain nombre de techniques différentes utilisées pour obtenir des informations personnelles des utilisateurs. Les techniques utilisées par les pirates informatiques sont de plus en plus sophistiquées à mesure que la technologie progresse.
There is a common misconception that phishing is easy to spot and that only less technically-savvy people will fall victim but this is far from the truth. A phishing test holds the dual benefit of measuring your company’s risk and training your employees on what to look for in these attacks. Phishing Security Test familiarise employees with cyber threats to create a line of defence and push for a safer environment. In order to combat these threats, staff need to understand the telltale signs of an attack, the common techniques criminals use and what to do when they believe they’ve received a phish.
