Avez-vous déjà été victime d’un clickjacking ?
À l’heure de la sécurité high-tech, vous pourriez penser qu’il est peu probable que cela vous arrive, à vous ou à votre marque. Pourtant, c’est un risque auquel nous sommes tous confrontés chaque jour. Chaque fois que nous scannons un code QR (et à l’ère du Covid, qui ne l’a pas fait ?), nous sommes susceptibles d’être victimes d’un clickjacking.
La pandémie a normalisé le balayage
La pandémie mondiale a déclenché de nombreux changements dans notre vie quotidienne. Le travail à domicile, les réunions Zoom interminables, les masques dans les transports publics… jusqu’au scan de ces codes QR apparemment inoffensifs avant d’entrer dans les entreprises, les restaurants, les bars – et maintenant, même les lieux de travail.
Tous ces petits changements, y compris le balayage des codes QR, sont devenus notre nouvelle normalité, et avec la “normalité” viennent la familiarité, la complaisance et même la confiance.
Comprendre les limites et les risques des codes QR
Nous les parcourons plusieurs fois par jour – généralement sans y réfléchir une seconde. En 2021, il semble que les codes QR, ou “codes de réponse rapide”, soient partout et sur tout.
Les codes QR ont été conçus pour être automatisés dans des environnements sécurisés. Ils sont parfaits pour des liens rapides vers un site web et un peu de divertissement interactif, en particulier dans les environnements où la confiance et la sécurité ne sont pas des exigences essentielles.
En fait, il s’agit simplement d’un grand code-barres, mais les codes QR sont utilisés pour encoder des URL et des données au milieu d’une foule d’autres expériences ou contenus – ce qui, lorsqu’ils sont utilisés à des fins légales, est très efficace.
Des problèmes apparaissent toutefois lorsque les codes QR sont utilisés par de mauvais acteurs. Les risques liés aux codes QR sont mal compris par les entreprises, les décideurs politiques et les consommateurs.
La raison en est que la technologie du code QR utilise un modèle publié et ouvert, ce qui signifie qu’elle est librement accessible à tous, et pas seulement aux personnes autorisées. Cela signifie également que n’importe qui peut émettre des codes QR similaires au nom de votre entreprise, et pas seulement vous, ce qui constitue un choc pour de nombreuses organisations.
Tout cela fait des codes QR un rêve pour les pirates informatiques ! Pour les contrefacteurs et les cybercriminels, les codes QR sont un cadeau – tout comme le faible niveau de perception des risques dans la communauté.
Si les codes QR ont leur place et ne sont pas près de disparaître, il est essentiel d’examiner très attentivement les circonstances dans lesquelles ils sont utilisés.
Est-il facile pour des acteurs malveillants de créer des codes QR malveillants ?
C’est incroyablement facile et rapide. Les générateurs de codes QR tels que QRCode Monkey ou MeQR sont pour la plupart gratuits et faciles à trouver par une simple recherche sur Google.
En quelques minutes, n’importe qui peut générer un code QR, le faire pointer vers n’importe quel site web – légitime ou non – et commencer à le substituer aux véritables panneaux d’enregistrement Covid, aux emballages de produits, aux inscriptions à des concours ou même aux documents officiels.
Il n’y a rien de plus simple que de diriger un consommateur peu méfiant vers un site web frauduleux qui peut se faire passer pour une agence gouvernementale, une marque ou une promotion, dans le but de voler des informations personnelles, d’installer un logiciel malveillant ou simplement de faire passer un faux pour un produit authentique.
Souvent, le consommateur (et la marque) victime du détournement de clics ne s’en rend pas compte… jusqu’à ce qu’il soit trop tard.
Pourquoi personne ne parle de ça ? !
Ils le sont, et ils comptent parmi les noms les plus respectés de la cybersécurité, de l’industrie et du gouvernement – mais sommes-nous à l’écoute ? Malheureusement, pour la plupart des gens et des organisations, ce n’est que lorsque cela leur arrive qu’ils en prennent conscience.
De plus en plus de commentaires au niveau mondial mettent en garde contre les risques de sécurité et les conséquences pour les consommateurs, les marques et les décideurs politiques de la facilité avec laquelle les codes QR peuvent être piratés.
Parmi les avertissements de plus en plus nombreux, on trouve des médias respectés, l’armée américaine, des experts mondiaux en technologie et des clients de Laava.
- Patrick Martin, d’ABC News, a rapporté qu’un homme d’Australie du Sud a été arrêté après avoir prétendument placé de faux QR Codes sur les codes d’enregistrement officiels de la société Covid à Adélaïde. Cela met en évidence la facilité avec laquelle n’importe qui peut générer de faux codes QR et les substituer aux vrais, et cela se passe ici même en Australie.
- Ronna Weyland, en reportage pour l’armée américaine, souligne l’augmentation des arnaques aux codes QR.
“La Major Cybercrime Unit prévient qu’une arnaque basique pourrait être perpétrée en imprimant des codes QR malveillants sur des étiquettes et en collant ces dernières sur diverses surfaces accessibles au public. Le passant curieux scanne le code et est dirigé vers un site web malveillant permettant de télécharger le code nuisible sur son ordinateur ou son smartphone.”
Ronna Weyland, armée américaine
- Brian Foster, un spécialiste de l’InfoSec pour Threatpost, a publié en 2020 un article intitulé“QR Codes : A Sneaky Security Threat“. M. Foster a écrit :
“Comme beaucoup de choses, nous ne réfléchissons pas beaucoup aux codes QR. C’est exactement le genre de confiance implicite et d’action irréfléchie sur lesquelles les pirates prospèrent. Pour un utilisateur moyen, ces codes se ressemblent tous, mais un code QR malveillant peut diriger un utilisateur vers un faux site web. Il peut également capturer des données personnelles ou installer un logiciel malveillant sur un smartphone.”
Brian Foster, ThreatPost
- L’exportateur australien de fruits haut de gamme Reid Fruits a été victime de la facilité avec laquelle n’importe qui peut créer un code QR malveillant. C’est un cas de contrefaçon bien documenté qui a été partagé par Austrade:
“La technologie basée sur le QR était particulièrement troublante pour Reid Fruits, car les contrefacteurs créaient simplement leurs propres codes QR qui renvoyaient à un faux site web d’authentification (une technique connue sous le nom de ‘spoofing’ ou ‘clickjacking’).”
Austrade
Nous savons que les situations de contrefaçon de ce type entraînent non seulement des pertes de revenus, mais présentent également des risques importants pour la réputation de la marque. Tony Coad, directeur du marketing et des ventes de Reid Fruits, a déclaré:
“Si le produit contrefait est de qualité inférieure – et c’est généralement le cas – cela peut avoir un impact dommageable à long terme sur notre marque.”
Que peut donc faire un code QR malveillant ? Vous serez étonné
Surpris ?
Cela se produit plus souvent que nous ne le pensons. Dans cet excellent article de blog, notre partenaire Matthews Australasia présente ce que vous devez savoir sur l’impact et le coût des arnaques QR et les solutions alternatives.
Choisir le bon outil pour le travail
Lorsque la confiance et la sécurité sont essentielles, vous devez utiliser une technologie de nouvelle génération – vous avez besoin de Laava Smart Fingerprints®. Il s’agit d’une marque de confiance sécurisée qui est unique pour chaque article individuel et qui peut remplir trois fonctions essentielles dans un marqueur simple, rentable et facile à produire :
- Authentifiez des produits, des documents et même des NFT. Pour en savoir plus sur notre partenaire Vinsent, consultez notre article de blog“Laava et Vinsent sécurisent les vins à terme grâce à la certification NFT“.
- Vérifier numériquement les allégations des produits et établir un lien avec les informations de traçabilité, afin de fournir des preuves des allégations telles que “durable”, “biologique”, “sans esclavage moderne”, ou même simplement “frais”, “transport aérien” ou “fabriqué dans le pays X”.
- Connectez-vous et engagez-vous auprès des consommateurs en toute sécurité – pour les récits numériques, les promotions, les concours et les programmes de récompenses.
La mise à niveau du code QR
Les Smart Fingerprints® de Laava sont sécurisés par leur conception et empêchent les escroqueries basées sur les QR, y compris le clickjacking. Comment ?
- Les Smart Fingerprints ne contiennent pas de données codées ou d’URL susceptibles d’être piratées ou reproduites – chaque empreinte est une image aléatoire unique et sécurisée.
- Chaque Smart Fingerprint est totalement unique et émise de manière sécurisée par la plateforme Laava. Chaque produit, document, expérience ou NFT possède sa propre Smart Fingerprint, qui a été autorisée par le propriétaire de la marque ou l’agence.
- Chaque empreinte digitale intelligente est scannée, mise en correspondance et authentifiée selon des règles commerciales prédéfinies, en comparant optiquement l’image à celles de la base de données Laava. Tout cela se passe avant que les données ne soient montrées au consommateur.
Tous ces éléments contribuent à une solution que nous appelons le “Trusted Last Mile” (dernier kilomètre de confiance) – la marque de confiance sur le produit que le monde recherche.
Pour plus d’informations sur les différences entre Laava Smart Fingerprints® et les codes QR, consultez notre tableau comparatif pratique, Laava Smart Fingerprints® vs Codes QR.
“Les Smart Fingerprints® de Laava sont conçus avec deux objectifs en tête : permettre de meilleures expériences, la confiance et la transparence pour les consommateurs, et assurer la sûreté et la sécurité pour les marques”, déclare Gavin Ger, co-PDG de Laava.
Rapide, facile, rentable et évolutif à l'échelle mondiale.
Le plus intéressant, c’est que les marques, les partenaires et les plateformes peuvent démarrer très facilement avec Laava et passer à la production complète de manière extrêmement rentable.
Les Laava Smart Fingerprints® peuvent même être entièrement marqués en blanc, de sorte que les plateformes de traçabilité, les partenaires blockchain et les plateformes NFT peuvent tous émettre des Laava Smart Fingerprints® de marque et même les rediriger si nécessaire.
Vous voulez en savoir plus ? Il y a une solution pour chaque situation. Prenez contact avec nous dès aujourd’hui.
“Un meilleur logiciel de reconnaissance d’image rendra probablement le QR obsolète dans une décennie.”
Masahiro Hara – L’inventeur du code QR (2014)
Autres références médiatiques sur les risques des QR Codes
Il y a tellement d’histoires de faux codes QR menant à des consommateurs dupés – certaines plus inquiétantes que d’autres.
- ABC News : Le code QR a transformé les check-ins COVID-19 en une opportunité en or pour les entreprises de marketing et de données.
- The Age : Les codes QR de Victoria sont mal faits, selon les développeurs
- Brisbane Times : Le bon, le mauvais et le laid de notre monde hyperconnecté
- Armée américaine : Le CID de l’armée met en garde contre l’augmentation des escroqueries liées aux codes QR.
- Cyberscoop : L’armée met en garde contre les codes QR frauduleux en période de pandémie.
- Digital Rights Watch : Codes QR, vie privée et sécurité
- Fox Business : Les codes QR des menus de restaurants et les risques pour votre vie privée
Pour en savoir plus, suivez Laava sur LinkedIn, Instagram, Twitter, Facebook et notre blog.
