Cybersécurité : les QR codes dans le viseur des cybercriminels

Le quishing est une méthode largement utilisée en raison de son coût relativement bas et de son taux de réussite élevé.

Selon le dernier rapport publié par l'ANSSI, les attaques par phishing ont été les plus importantes en 2023 en France, avec notamment des évolutions notables vers le quishing. Cette forme de phishing exploitée par les attaquants par le biais de QR codes a pour but de tromper les utilisateurs et de les amener à divulguer des informations sensibles, ou bien à installer des logiciels malveillants ; une méthode largement utilisée en raison de son coût relativement bas et de son taux de réussite élevé.

L’emploi des QR codes dans l’authentification

Avec l’authentification par QR code, les utilisateurs le présentent sur un téléphone ou un badge imprimé, notamment dans les entreprises. Si on se base sur un modèle d’authentification multi-facteur, avec un facteur de possession que l’on a, un facteur de connaissance que l’on connaît et enfin un facteur biométrique que l’on est, les QR codes ne répondent qu’à l’exigence du facteur de possession. Ils devraient donc être associés à une vérification biométrique ou bien à un code PIN pour répondre à deux facteurs sur les trois requis pour un niveau de sécurité élevé. Toutefois, une organisation doit réfléchir à la manière dont elle stockera ce code PIN ou cette preuve biométrique. L'objectif d'un modèle sans mot de passe est en partie d'éviter de conserver de nombreux éléments partagés différents liés aux comptes d'utilisateurs. Or, le stockage du code PIN ou de la preuve biométrique en conjonction avec les données encodées dans le QR code va à l'encontre de ce modèle.

A première vue, ne pouvant pas être lus par l'œil humain, les QR codes peuvent sembler plus sûrs que les mots de passe, mais il n’en est rien. En effet, les QR codes utilisés à des fins d’authentification, en particulier ceux imprimés sur des badges visibles, sont semblables à l'impression d'identifiants ou de mots de passe sur ces mêmes badges. Et bien qu’ils soient difficiles à lire pour les humains, ils sont statiques et peuvent être facilement photographiés ou décryptés par les ordinateurs. De plus, la norme des QR codes prévoit une redondance des données dans la plupart des modèles, de sorte que les photographies floues ou partielles peuvent quand même être lues en cas de destruction partielle.

En outre, les QR codes sont faciles et peu coûteux à cloner : il suffit de la présence de l'appareil photo d'un smartphone pour copier et dupliquer un identifiant et l'utiliser pour « usurper » l'accès à des systèmes et à des données. Si la MFA offre une meilleure sécurité que les mots de passe, toutes les formes ne se valent pas. Dans la plupart des situations, les QR codes agissent comme une représentation d'une valeur statique ou d'un secret partagé. Cela signifie qu'en tant que facteur d’authentification, ils offrent moins de sécurité que les mots de passe à usage unique (OTP) par SMS. Ils se sont en effet avérés vulnérables aux attaques d'ingénierie sociale comme le phishing - entraînant des prises de contrôle de compte.

La généralisation des QR codes

Certaines organisations et gouvernements utilisent des QR codes sur des documents d'identité, sur des badges, sur des cartes ou affichés électroniquement sur des appareils. Ces emplois de QR codes sont susceptibles d’exposer les identités au risque de fraude et d’usurpation. Exploitant l'omniprésence des smartphones, les QR codes sont également de plus en plus utilisés par les organisations dans leurs supports marketing et de communication, que ce soit sur les produits, dans les publicités, dans les billetteries pour mobiles, et même sur des cartes de visite. Cette généralisation en fait une cible attrayante pour les cybercriminels, qui peuvent les exploiter pour voler des informations sensibles ou infecter des appareils avec des malwares. Il leur suffit de remplacer un QR code authentique par un faux, dirigeant les utilisateurs vers un site web ou une interaction malveillante.

Beaucoup de ces attaques exploitent en effet la confiance portée aux entreprises et aux marques, affichant des faux sites Web, conçus pour collecter des données personnelles ou des identifiants de connexion. Elles simulent de nombreuses tactiques bien établies d'ingénierie sociale, telles que l'offre d'un avantage par le biais d’un jeu concours par exemple, ou en créant un sentiment d'urgence, avec des messages qui invitent à répondre immédiatement pour éviter un blocage de compte. 

Se protéger face aux attaques de quishing

Les entreprises doivent être conscientes des risques croissants associés aux QR codes et de leur impact potentiel sur la vie privée des consommateurs et leur réputation. Les cybercriminels ne cessent d'évoluer dans leurs tactiques. Il est donc primordial que les organisations se tiennent informées, soient attentives aux attaques à mesure qu'elles gagnent en popularité et qu’elles renforcent leur posture de sécurité par quelques mesures essentielles.

Plutôt que de passer d'une authentification à facteur unique avec des mots de passe à une autre forme, telle que les QR codes, les organisations devraient en effet opter pour des solutions modernes, adaptées aux nouvelles méthodes, telles que les passkeys qui répondent à la problématique d’une authentification sans mot de passe. Ils représentent un nouveau terme pour désigner les identifiants FIDO2/WebAuthn, une norme qui remplace les mots de passe et les formes d’authentification multi-facteur vulnérables au phishing, par des protocoles plus sécurisés sans mot de passe. Le passkey lié à un appareil sur une clé de sécurité FIDO moderne permet aux entreprises de bénéficier d’une sécurité renforcée ainsi que d’un facteur d'authentification de confiance et des capacités d'attestation fiables.

Par ailleurs, pour éviter les attaques de type « empoisonnement du puits », qui exploitent les QR codes imprimés sur des produits ou sur les supports marketing, il faut s’assurer que tous les comptes des consommateurs prennent en charge les passkeys. Ces derniers peuvent ainsi contribuer à protéger les clients en vérifiant qu'ils ne sont utilisés que sur les sites pour lesquels ils ont été créés à l’origine. Les passkeys sont également résistants aux attaques par rejeu grâce à une vérification bidirectionnelle - où la clé d'accès valide l'origine de la demande tandis que le site confirme la preuve cryptographique de la clé privée de l'utilisateur final. Les consommateurs peuvent choisir d'utiliser des outils de gestion de passkeys intégrés à leurs appareils existants, téléphones Apple et Android, ordinateurs Windows et Mac, ou bien d’utiliser une clé de sécurité matérielle, en fonction de leurs préférences.

Enfin, il est important de mettre à jour les supports de formation pour informer les utilisateurs sur l'utilisation des QR codes comme étant le nouveau leurre employé dans les attaques par phishing. Les entreprises doivent opter pour des méthodes d'authentification, comme les passkeys, qui favorisent la résistance au phishing. Il faut ainsi s’assurer que les utilisateurs comprennent comment les passkeys protègent leurs comptes professionnels mais aussi personnels, un enjeu majeur alors que les cybermenaces sont omniprésentes.