QR Code et vidéosurveillance : des dispositifs plus simples à hacker qu’il n’y paraît

Atlantico : Les QR codes frauduleux représentent une nouvelle opportunité exploitée par les escrocs. Ils vous invitent à régler une contravention ou à régler l'heure de la livraison d'un colis par exemple. Or, vos informations bancaires peuvent rapidement être piratées par des personnes malveillantes. Le piratage des QR codes est-il très prisé chez les pirates informatiques et les escrocs sur Internet ? Les QR codes sont-ils faciles à pirater ? Qui est derrière ces opérations ?

Jean-Paul Pinte : Les QR codes sont partout et vous tentent dans la rue, dans les magasins, dans les lieux publics et tout semble être devenu facile grâce à la captation de ces codes qui vous emmènent on ne sait où parfois.

On a tendance à ne plus se méfier et en fait on ne sait pas ce qui se passe derrières ces QR codes qui peuvent être détournés facilement pour emmener les habitués vers des liens ou lieux où leurs données, leurs informations, leurs comptes seront utilisés pour des actions délictuelles.

On appelle cela aujourd’hui le QRishing ou encore le Quishing. Cela peut aussi amener vers une URL courte (raccourcisseur d’URL) qui renvoie ensuite vers l’URL malfaisante. Bref, les pirates cherchent à récupérer des informations confidentielles des utilisateurs.

De nos jours, les QR Codes sont omniprésents. Ils permettent de consulter la carte d'un restaurant ou d'un bar avec son smartphone ou de partager un lien, un billet d'avion ou un ticket de train avec facilité. Une étude en 2020 de MobileIron, une société américaine spécialisée dans le développement de logiciels d'authentification, réalisée auprès de 2100 utilisateurs américains et britanniques, montre que les QR Codes font désormais partie de votre quotidien.

40% des sondés ont scanné un QR Code contre 86% au cours de l'année écoulée. La pandémie de Covid-19 a évidemment accéléré l'adoption de cette technologie. D'ailleurs, 47% des sondés affirment avoir remarqué de plus en plus de QR Codes dans leur vie quotidienne. Ils sont 53% à vouloir que les QR Codes soient massivement utilisés par les marques, entreprises et administrations. 43% acceptent d'utiliser un QR Code pour réaliser un paiement.

Selon Phoneandroid, c’est d'autant plus inquiétant que la plupart des utilisateurs font aveuglément confiance aux QR Codes. Ainsi, 35% des sondés ignorent que les QR Codes peuvent permettre de pirater leur téléphone. Ils sont d'ailleurs 34% à ne pas se méfier de ceux-ci. Enfin, 53% des sondés n'ont pas installé de logiciel de sécurité, comme un antivirus, sur leur smartphone. L'appareil est donc à la merci des pirates.

On vous invite donc à rester prudent avant de scanner un QR Code apposé sur la table d'un bar ou d'un restaurant. Avant de scanner le code, assurez-vous qu'il s'agit bien de celui de l'établissement et non d'un piège tendu par un pirate.

Un QR code peut être généré très facilement par n’importe qui. Il existe en effet de nombreux générateurs gratuits accessibles en deux clics sur Internet ; il est ensuite facile d’intégrer le QR code frauduleux dans une communication aux couleurs d’une entreprise. Heureusement, les plateformes qui proposent des QR codes gratuits limitent le plus souvent le nombre de scans possibles du QR code à une centaine. Cette restriction contient la menace.

Mais les hackers sont malins : les QR code, ils parviennent parfois à les détourner. Certains services permettent à leurs clients de s’identifier par l’intermédiaire d’un QR code. C’est par exemple le cas d’ING Bank (qui s’est retiré du marché français début 2023), souvent citée comme exemple quand il s’agit de quishing. Le site Securitymagazine.com relate la mésaventure de la banque, dont les QR code d’authentification destinés aux clients ont été détournés, donnant accès aux comptes bancaires aux escrocs. Des milliers d’euros ont disparu des comptes des victimes. Vincent Biret, PDG d’Unitag, l’une des grandes plateformes de QR codes, se veut rassurant : « Ce type de détournement est de plus en plus complexe. Un QR code contient de multiples encodages, avec une redondance des différents modules difficile à déchiffrer, explique l’expert, qui précise que le piratage de QR codes reste marginal. On estime que dans le monde, 2,4 milliards de courriels par jour sont des tentatives de phishing. À titre de comparaison, chez Unitag, nous avons généré 25 millions de QR codes en 2023 et seuls 1 500 se sont avérés frauduleux. » N’empêche, mieux vaut faire preuve de prudence avant de scanner. Notre conseil : adoptez avec les QR codes les mêmes réflexes qu’avec les tentatives de phishing. Jetez un coup d’œil à l’adresse web sur laquelle vous êtes redirigé : elle doit être officielle. Dans tous les cas, au moindre doute, à la moindre faute d’orthographe, ne flashez pas nous rappelle le site Que choisir.org…

Comment se prémunir de tels risques ? Comment savoir si un QR code a été piraté et pour ne pas se faire dérober de données sensibles ? 

« Chaque fois qu’une nouvelle technologie apparaît, les cybercriminels essaient de trouver un moyen de l’exploiter », explique Angel Grant, vice-présidente chez F5, société spécialisée dans la sécurité des applications. C’est particulièrement vrai avec des technologies comme les QR codes, que le grand public sait utiliser mais dont il ne connait pas forcément le fonctionnement, poursuit-elle. « Il est plus facile de manipuler les victimes se elles ne comprennent pas. »

Le QR code, abréviation anglaise de quick response qui signifie « réponse rapide », a été inventé au Japon dans les années 1990. Il a d’abord été utilisé par l’industrie automobile pour gérer la production, puis s’est répandu partout. Aujourd’hui, des sites web et des applications permettre de créer facilement ses propres codes QR. 

Les arnaques par SMS

Actuellement, ils sont exploités par des cybercriminels pour du Phishsing par courriel. Scanner un faux QR code ne fera rien à votre smartphone, du genre télécharger un logiciel malveillant en arrière-plan. Mais il vous mènera à des sites Web frauduleux conçus pour obtenir des informations sur vos comptes bancaires, vos cartes de crédit ou d’autres informations personnelles.

Comme pour tout autre système de phishing, il est impossible de savoir exactement combien de fois les QR code sont utilisés à des fins malveillantes. Les experts affirment qu’ils ne représentent encore qu’un faible pourcentage de l’ensemble du phishing, mais de nombreuses escroqueries impliquant des QR codes ont été signalées au Better Business Bureau aux Etats-Unis.

Arnaques au parcmètre

Beaucoup d’usagers savent qu’ils doivent se méfier des liens piégés et des pièces jointes douteuses dans les courriels. Mais la plupart n’y réfléchissent pas à deux fois avant de scanner un QR code avec leur smartphone.

Outre-Atlantique, dans la ville d’Austin, des automobilistes ont été victimes d’un hameçonnage via des QR code trafiqués collés sur des parcmètres. Au lieu d’être dirigés vers le site Web ou l’application autorisés par la ville pour régler leur stationnement, les automobilistes qui ont scanné ces autocollants frauduleux ont atterri sur un faux site qui recueillait les informations relatives à leur carte de crédit. Toujours au Texas, une arnaque similaire a été découverte dans la ville de San Antonio.

Selon Brad Haas, analyste cybermenaces pour Cofense, les QR code font passer les gens du monde physique au monde en ligne. Les utiliser dans des autocollants frauduleux et des courriers papier piégés est évidemment très attractif pour les cyberpirates, car cela permet d’attirer des personnes qui n’utilisent pas forcément les services en ligne par ailleurs.

L’analyste de Cofense explique que des QR code frauduleux commencent également à apparaître dans des courriels de phishing et des publicités en ligne. Une tactique qui le laisse perplexe. « Il n’y a vraiment aucune raison pour que quelqu’un sorte son téléphone et scanne un code QR qui se trouve dans un courriel qu’il est déjà en train de regarder sur son ordinateur portable », estime Brad Haas. Après tout, le destinataire est déjà en ligne via son ordinateur portable. Pourquoi un expéditeur légitime voudrait-il qu’il se connecte avec un deuxième appareil ? C’est pour cette raison que les consommateurs doivent se méfier de tout courriel contenant un QR code.

Il dit avoir récemment repéré une arnaque de phishing ciblant les germanophones et comprenant un QR code dans le but d’attirer les utilisateurs de services bancaires mobiles.

Les conseils des experts

- Réfléchissez avant de scanner. Méfiez-vous surtout des codes affichés dans les lieux publics. Observez bien. S’agit-il d’un autocollant ajouté ou d’une partie d’un panneau ou d’une affiche ? Si le code ne semble pas s’intégrer dans le décor, demandez une copie papier du document auquel vous essayez d’accéder ou tapez l’URL manuellement.

- Lorsque vous scannez un QR code, regardez bien le site web vers lequel il vous conduit, recommande Brad Haas. Ressemble-t-il à ce que vous attendiez ? S’il vous demande des informations de connexion ou bancaires qui ne semblent pas nécessaires, ne les transmettez pas.

- Les codes intégrés dans les courriels sont presque toujours douteux. Mieux vaut les ignorer systématiquement. Il en va de même pour les codes que vous recevez dans des courriers publicitaires papier.

- Prévisualisez l’URL du code. De nombreux appareils photo de smartphones, y compris les iPhones équipés de la dernière version d’iOS, donnent un aperçu de l’URL d’un code lorsque vous commencez à le scanner. Si l’URL semble étrange, mieux vaut vous abstenir.

- Vous pouvez également utiliser une application d’analyse sécurisée, conçue pour repérer les liens malveillants avant que votre téléphone ne les ouvre. Trend Micro en propose une gratuite, tout comme d’autres grands éditeurs d’antivirus. Mais là encore prudence, ne faites confiance qu’à des marques connues. Car il existe aussi de fausses applications d’analyse qui siphonnent les données.

- Utilisez un gestionnaire de mots de passe. Comme pour tous les types d’hameçonnage, si un QR code vous conduit à un faux site internet particulièrement convaincant, un gestionnaire de mots de passe saura faire la différence et ne remplira pas automatiquement vos coordonnées, explique Brad Haas.

Laurent Nuñez, le préfet de police de Paris, a annoncé dans les colonnes du Parisien que certaines zones de la capitale ne seront accessibles aux piétons et aux véhicules que sur présentation d’une dérogation lors des JO de 2024. Un QR Code sera requis pour se rapprocher des sites concernés ou pour aller aux abords de la Seine ou dans des restaurants proches des principaux lieux de la compétition. Ces QR codes risquent-ils d’être piratés pour dérober des données personnelles ? Les autorités ont-elles pris la mesure de ce risque de piratage ? 

Dès l’automne 2023, l’application gouvernementale Signal Conso sera traduite en anglais, afin d’être accessible aux touristes étrangers prévoyant d’assister aux JO 2024. Un onglet « Jeux olympiques » sera créé pour les aider à trouver des solutions s’ils ont perdu leurs papiers d’identité ou s’ils ont été victimes d’une arnaque. Dans les gares et aéroports, des QR Code permettront de la télécharger rapidement.

Cela suffira-t-il ou permettra-t-il d’éviter l’arnaque ou piratage au QR code  des applications mises en place pour soi-disant sécuriser les lieux car rien n’est inattaquable …

La principale cible de la commission des lois reste l’utilisation du QR code comme dérogation pour traverser les zones interdites de circulation. Un dispositif qui peut rappeler celui des autorisations de sortie pendant le Covid-19. Ici, il faudra s’inscrire sur une plate-forme en renseignant « un certain nombre de justificatifs, de domicile mais pas que » pour obtenir ces dérogations. « La plate-forme sera ouverte en mars au plus tôt, en avril au plus tard. Vous aurez un QR code à présenter lors des contrôles », avait annoncé Laurent Nuñez. C’est sur ce point clé qu’il sera particulièrement attendu car les cyber délinquants y travaillent déjà.

Le piratage de la vidéosurveillance, un important dispositif sécuritaire qui sera un allié de taille lors des Jeux olympiques, connait-il aussi une recrudescence et comment les villes ou les autorités peuvent s’en prémunir ? 

La loi sur les JO 2024 adoptée au printemps ouvre la voie à l’expérimentation de la vidéosurveillance algorithmique jusqu’à fin mars 2025. Des caméras adossées à de l’intelligence artificielle seraient capables de reconnaître et de signaler aux forces de l’ordre des comportements jugés « anormaux » pendant des manifestations sportives, récréatives ou culturelles.

La majorité présidentielle et le ministre de l’Intérieur Gérald Darmanin ont insisté sur les garde-fous : le dispositif ne fera pas de reconnaissance faciale et les données seront supprimées après 12 mois.

Pas de dérive sécuritaire tant que la Commission Nationale de l’Informatique et des Libertés (CNIL) veille ! Si la France a autorisé la surveillance alogorithmique pour la Coupe du Monde de rugby et les JO 2024, c’est parce qu’il s’agit d’une situation à risque exceptionnelle liée à ces événements sportifs. En revanche, en temps normal, ce genre d’expérimentations n’est pas autorisé.

En effet, l’institution chargée de s’assurer de la sécurité de nos données et du respect de la vie privée en ligne vient de trancher : les dispositifs de vidéosurveillance équipés de micros sont illégaux. Selon la commission, ce genre de système viole la loi car il relève du RGPD.

Il faut s’inquiéter malgré tout de ces dispositifs quand on sait que pour pirater une caméra de surveillance et capter son flux vidéo, vous n'avez besoin que d'un ordinateur et d'une connexion internet.

Des individus ont ainsi piraté mi-novembre plus de 70000 caméras de surveillance sans fil, dont plus de 3 000 dans l’hexagone, principalement en Normandie. Ces caméras surveillent des habitations de particuliers ainsi que des entreprises et des commerces. En effet, les caméras IP, utilisées pour la vidéosurveillance via le réseau internet, sont très en vogue chez les particuliers comme chez les professionnels.
Les vidéos ont été dévoilées en direct sur le web sur le site Insecam.cc, hébergé en Russie.

De quelle manière les hackers ont-ils procédé ? Les pirates auraient profité d’une brèche de sécurité des caméras de surveillance sans fil publiques ou privées, permettant par la suite de pouvoir accéder aux images à leur guise. Le but présumé de ce piratage est de faire réagir les personnes exploitant ces systèmes de protection en mettant en valeur la faible sécurité de ces caméras de surveillance. Les pirates sont même parvenus à situer avec précision l’adresse des victimes, grâce à leur adresse IP.

Lorsque l’on souhaite installer soi-même des caméras de surveillance, le risque de piratage st réel : n’importe quel individu doué en informatique peut pirater les images pour les utiliser à l’insu des utilisateurs initiaux nous rappelle le site pro.nexecur.fr.

Pour illustrer ces propos, Israël abrite de nombreuses entreprises de cyber espionnage. Parmi elles, NSO Group, la société qui a conçu Pegasus, le logiciel qui aurait été utilisé par le Maroc pour espionner plusieurs membres du gouvernement français.

Le 26 décembre 2022, le quotidien national Hareetz a présenté une autre entreprise du secteur, Toka, qui est quant à elle spécialisée dans la prise de contrôle des caméras de vidéosurveillance, rapporte Numerama. Son logiciel permet de rechercher des appareils dans un périmètre défini, d’infiltrer le système informatique qui gère les caméras de surveillance, puis d’en observer leurs images.

Des clients français recensés

Tout cela peut être fait sans que les agents ne remarquent la présence d’intrus dans le système, puisque le logiciel ne laisse aucune empreinte numérique connue, selon l’analyse d’un expert en informatique consulté par Numerama. L’outil de Toka permet notamment aux clients de suivre un véhicule et noter ses déplacements grâce à sa plaque d’immatriculation, à l’aide des caméras de vidéosurveillance urbaines.

Le logiciel permettrait également de falsifier les enregistrements pour faire mentir les images. Créée en 2018, Toka est dirigée par Ehud Barak, un ex-Premier ministre israélien et un ancien chef de la cybersécurité nationale. Elle travaille depuis Tel-Aviv et Washington pour plusieurs clients ou organisations étatiques situés principalement en Occident, dont Israël, mais aussi la France.