View in

Sécurité informatique : avant de le scanner, vérifiez-le !

Comme avec toute autre URL malveillante, le fait de permettre à un QR code malveillant de donner accès à une URL risque de mettre en danger votre vie numérique

12 août, 2021

Par Équipe de la sécurité informatique

Souvenez-vous de notre article intitulé « Faut-il faire confiance aux URL », qui portait sur notre toute dernière campagne de sensibilisation à l’hameçonnage et sur le risque que vous faites courir à votre appareil, votre compte et votre vie numérique lorsque vous cliquez sur une adresse URL malveillante ? Malheureusement, en ces temps de pandémie de COVID-19, les URL se présentent de plus en plus souvent sous une autre forme : les QR codes (voir les images ci-dessous).

Les QR codes sont utilisés pour accéder à une page web spécifique, dans le but, par exemple, de réserver une table au restaurant ou de fournir des informations à caractère personnel à des fins de traçage dans le cadre de la lutte contre le COVID-19. En prenant une photo d'un QR code avec votre smartphone, vous ouvrez la page web correspondante dans votre navigateur. Un jeu d’enfant.

home.cern,Computers and Control Rooms — Les couleurs, choisies arbitrairement, sont utilisées uniquement pour distinguer le QR code inoffensif, à gauche, du QR code malveillant, à droite.

Mais attendez une minute ! S'il est facile pour votre smartphone d'identifier les motifs d’un QR code, notre œil, lui, est incapable de le faire. Puis-je scanner le QR code en toute sécurité ? Est-il vraiment inoffensif ? Comme avec les URL « classiques » intégrées aux courriels, aux pièces jointes, aux messages WhatsApp ou Facebook ou encore aux textos, vous devez prendre une décision. Il vous faudra (tenter de) déterminer si l'URL associée au QR code est plausible, prévisible et inoffensive. Comme lorsque vous passez le curseur de votre souris sur une URL « classique » au moyen de votre ordinateur portable ou de votre PC, votre smartphone devrait afficher au moins le début de l'URL (dans les exemples de QR codes « SCAN ME » ci-dessus, vous devriez voir « cern.ch » ou « cern.cg »). Vérifiez cette URL et poursuivez seulement si elle vous semble pertinente. Certes, cela n'est pas forcément évident à évaluer, mais prudence est mère de sûreté. En effet, comme avec toute autre URL malveillante, le fait de permettre à un QR code malveillant de donner accès à une URL risque de mettre en danger votre smartphone et, par conséquent, votre compte et votre vie numérique. Alors prudence ! ARRÊTEZ-VOUS – RÉFLÉCHISSEZ – NE CLIQUEZ PAS !

Si, par ailleurs, vous souhaitez créer votre propre QR code, par exemple pour donner accès à un site web, à un article de conférence ou à tout autre document de référence, assurez-vous que le QR code associé est « pur » et qu'il ne contient que l'URL que vous aviez l'intention de communiquer. Certains générateurs de QR codes en ligne permettent d'intégrer des informations supplémentaires dans l'URL, par exemple des éléments de réacheminement vers des pages web ou des jetons d'identité (id tokens) utilisés à des fins de traçage. Merci d’avance de vous abstenir de le faire* !

* https://zxing.appspot.com/generator, par exemple, génère des codes QR purs.

_______

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.

Computer Security