La publicité Coinbase Super Bowl qui comportait un code QR rebondissant réglé sur de la musique était si populaire qu'elle a fait planter temporairement l'application de crypto-monnaie. Qu'est-ce que cela nous dit sur la façon dont ces codes sont utilisés et sur la sécurité de leur numérisation ? Le professeur d'informatique de Wake Forest, Sarra Alqahtani, répond aux questions sur les codes QR, la cybercriminalité et la manière de protéger vos informations personnelles.

En tant que professeur d'informatique étudiant la cybersécurité, quelle a été votre réaction à la publicité Coinbase ?

C'était une publicité amusante à regarder, mais j'ai immédiatement commencé à penser à la normalisation de cette technologie sans une prise de conscience équivalente de ses problèmes de sécurité. Comme pour toute nouvelle technologie, la sécurité vient généralement après coup, non seulement pour les développeurs, mais aussi pour les utilisateurs. J'espère qu'un effort sera fait pour éduquer les gens sur les problèmes de sécurité liés aux codes QR et sur la manière de protéger leur vie privée.

Quelle est la probabilité que des informations privées soient compromises en scannant un code QR ?

Le code QR peut être remplacé par un code malveillant (le moyen le plus simple consiste à coller physiquement un code au-dessus d'un autre), ce qui pourrait conduire l'utilisateur à un faux site Web similaire au site Web d'origine. Le pirate peut alors implanter un petit logiciel (malware) dans le téléphone de l'utilisateur pour suivre et collecter ses données.

Que font les pirates des informations qu'ils volent ?

Ils peuvent voler les noms d'utilisateur et les mots de passe que nous utilisons dans différentes applications et sites Web et les vendre sur le dark web. Ces données peuvent être utilisées pour deviner les informations d'identification des utilisateurs/employés lors d'autres attaques, comme ce qui s'est passé lors de l'attaque du rançongiciel Colonial Pipeline.

Existe-t-il un moyen de savoir si un code QR est sûr ?

Nous ne pouvons reconnaître aucune différence entre les codes légitimes et malveillants avec nos yeux, mais lorsque nous scannons le code, nous devons prêter attention au lien du site Web avant de cliquer dessus. C'est pourquoi il est recommandé d'inclure le lien du site Web avec le code lors du partage public.

Que devons-nous rechercher lors de la vérification d'une URL avant de cliquer ?

S'il existe un risque de sécurité, l'URL ressemblera à l'URL d'origine, mais avec de légères modifications. Par exemple, au lieu de www.yahoo.com, le pirate peut utiliser yaho0.com qui lui ressemble beaucoup. Ce genre d'astuce relève du domaine des attaques de phishing qui a une longue histoire dans la cybersécurité.

Quel est votre meilleur conseil pour protéger les informations personnelles lors de l'utilisation de codes QR ?

Je recommande de ne pas scanner les codes QR autant que possible et d'utiliser des manuels et des menus papier. Je conseille également d'utiliser les caméras intégrées dans les smartphones au lieu d'utiliser des applications tierces, car les caméras intégrées affichent le lien du site Web et demandent à l'utilisateur de cliquer dessus, ce qui n'est généralement pas le cas avec les applications tierces.

Si vous pensez avoir cliqué sur un faux site Web et qu'un logiciel malveillant a été installé, que devez-vous faire ?

Cela dépend du téléphone que vous utilisez, mais en général, vous devez vider le cache de votre navigateur, sauvegarder vos fichiers, modifier vos informations d'identification. Si votre téléphone n'a pas de protection intégrée, vous devrez utiliser un logiciel de détection de logiciels malveillants pour détecter et supprimer tout logiciel malveillant.

Avez-vous un livre ou une ressource que vous pourriez recommander à ceux qui souhaitent en savoir plus sur les codes QR ?

Lisez l'annonce d'intérêt public du FBI, "Les cybercriminels falsifient les codes QR pour voler les fonds des victimes".