Blog

Qu’est-ce que le Qrljacking et comment pouvez-vous l’éviter ?

Qu

Les codes QR, ou codes de réponse rapide, sont plutôt sympas. Ils peuvent être utilisés pour coder essentiellement tout ce qui est alphanumérique et numérique. De plus, ils ont l’air plutôt futuristes. Les codes QR sont une amélioration technique des codes à barres (axe X : de gauche à droite). Alors que les codes-barres sont considérés comme unidimensionnels, les codes QR sont bidimensionnels (axes X et Y : de gauche à droite et de haut en bas). Les codes QR peuvent stocker jusqu'à 7 089 chiffres ou 4 296 caractères. Cela inclut les signes de ponctuation et les caractères spéciaux. Ainsi, les codes QR peuvent également être utilisés pour coder des mots, des expressions, des URL Internet et des informations de connexion.

Mais malgré leur commodité, les codes QRL constituent également un vecteur d’attaque en ligne. Entrez QRLjacking.

Historique des codes QR

Les codes QR ont été créés par une entreprise manufacturière japonaise appelée vague dense . L'entreprise avait besoin d'un meilleur système de codage, capable de gérer plus de données (capable d'encoder plus de caractères) que les codes-barres traditionnels. L’entreprise en avait besoin pour pouvoir suivre le nombre croissant de véhicules et de pièces qu’elle fabriquait. Masahiro Hara, employé de Denso Wave, et une équipe de deux collègues ont développé ce que nous appelons aujourd'hui les codes QR. Les codes QR sont disponibles depuis 1994.

Que sont les QRL ?

Les QRL, ou Quick Response Code Login, sont une alternative à l'authentification par mot de passe. Les QRL permettent aux utilisateurs de se connecter à leurs comptes en scannant (en prenant une photo) un code QR, qui a codé les informations de connexion de l'utilisateur. Alors oui, cela signifie que vous avez besoin d’un appareil équipé d’une caméra capable d’interpréter les codes QR. Mais la plupart des smartphones et des ordinateurs que vous achetez aujourd’hui intègrent cette fonctionnalité.

QRL, ou Quick Response Code Login, est apparu comme un moyen de surmonter deux des principaux griefs affectant les connexions traditionnelles basées sur un mot de passe.

  1. Fatigue des mots de passe :Avec le nombre de services en ligne qui augmente chaque jour, demander à un utilisateur de trouver et de mémoriser un mot de passe sécurisé pour chacun de ses comptes devient vite ingérable. Les gens finissent donc par réutiliser les mêmes mots de passe pour plusieurs sites/services. C’est une très mauvaise idée pour plusieurs raisons. En effet, si un mot de passe que vous utilisez pour de nombreux services est compromis, votre compte pour tous ces services est compromis. Cela multiplie effectivement les dégâts par le nombre de sites/services qui partagent ce mot de passe. Pour plus d'informations, vous pouvez lire notre article dédié sur la réutilisation des mots de passe.
  2. Replay des attaques :Les informations d’identification traditionnelles basées sur un mot de passe sont vulnérables aux attaques par relecture. Une attaque par rejeu est un type de attaque de l'homme du milieu , dans lequel la transmission de données légitimes (les identifiants de connexion d’un utilisateur, par exemple) est retardée et interceptée par l’attaquant, qui retransmet ensuite les données interceptées afin de se faire passer pour l’utilisateur réel et potentiellement voler ses données. Étant donné que les QRL changent à chaque tentative de connexion, cela ferme la porte à ce type d’attaques.

Mais cela ne signifie en aucun cas que les QRL sont invulnérables, comme nous le verrons.

Qu’est-ce que le QRLjacking ?

Le QRLjacking est une attaque en ligne qui consiste à tromper un utilisateur sans méfiance en lui faisant scanner le QRL fourni par l'attaquant plutôt que le QRL réel émis par le fournisseur de services. Une fois que l’utilisateur analyse le QRL malveillant, l’attaquant accède au compte de l’utilisateur et de mauvaises choses se produisent.

Le QRLjacking, comme de nombreuses attaques en ligne, nécessite une certaine forme d’ingénierie sociale pour inciter la victime à scanner le QRL compromis.

Voici un exemple d’attaque QRLjacking typique :

  1. L'attaquant lance une session QR côté client pour le site Web/service en question.
  2. L'attaquant clone ensuite le code QR de connexion sur une fausse page de connexion imitant fidèlement un service en ligne légitime. Les codes QR qu'il affiche sont valides et régulièrement mis à jour.
  3. En utilisant une forme d’ingénierie sociale, l’attaquant envoie la fausse page à la victime. Il peut s'agir d'un e-mail avec une URL, d'une publication sur Facebook, voire d'un message texte, peu importe, à condition qu'il incite la victime à cliquer sur le lien.
  4. L'utilisateur scanne le QRL malveillant avec l'application mobile pour laquelle le QRL a été conçu.
  5. L’attaquant accède au compte de la victime et le service en ligne n’en est pas plus sage car il partage les données de l’utilisateur avec l’attaquant.

Attaques de QRLjacking dans le monde réel

En avril 2019, OWASP.org , le projet Open Web Application Security, a créé un Dépôt GitHub hébergeant des outils logiciels pour perpétrer des attaques QRLjacking, avec des instructions et un wiki. Les chercheurs en sécurité publient parfois des informations « désagréables » à des fins de recherche.

Sur la page GitHub, l'OWASP répertorie les services en ligne qui, en avril 2019, étaient connus pour être vulnérables aux attaques de QRLjacking. J'ai reproduit la liste ci-dessous. Certains des services en ligne figurant sur la liste de l’OWASP pourraient vous surprendre.

La plupart de ces services sont chinois ou russes, où les codes QR sont beaucoup plus courants.

Applications de discussion

  • WhatsApp
  • WeChat
  • Doubler
  • Weibo
  • Messagerie instantanée QQ

Services de courrier

  • QQ Mail (Personnel et Entreprise Entreprise),
  • Courrier Yandex

commerce électronique

  • Ali Baba
  • Aliexpress
  • Taobao
  • Petit magasin
  • 1688.com
  • ne pas recevoir
  • Voyages Taobao

Services bancaires en ligne

  • Alipay
  • Argent Yandex
  • TenPay

Services de passeport

  • Passeport Yandex (Yandex Mail, Yandex Money, Yandex Maps, Yandex Videos, etc…)

Logiciel de gestion mobile

  • Airdroïde

Autres services

  • MonDigiPass
  • Zapper & Zapper WordPress Connexion par plugin QR Code
  • Application de confiance
  • Téléphone jaune
  • Alibaba Yunos

Atténuer les attaques de QRLjacking

Les utilisateurs ne peuvent pas faire grand-chose pour se protéger contre les attaques de QRLjacking, à part ne pas utiliser du tout les QRL. En fait, il s’agit de la recommandation numéro un de l’OWASP pour atténuer le QRLjacking.

Au-delà de cela, les administrateurs de sites Web peuvent prendre quelques mesures pour minimiser la surface d’attaque. Cependant, ils devraient également cesser de l’utiliser comme moyen d’authentifier leurs utilisateurs. Mais si vous devez utiliser des QRL, voici quelques conseils de sécurité.

E-mail/SMS de confirmation

Le site Web/service envoie un e-mail ou un SMS de confirmation à l'utilisateur, une fois qu'il s'est connecté avec le QRL. De cette façon, l’utilisateur peut déterminer que quelque chose ne va pas s’il ne reçoit pas le message de confirmation.

Adresses IP restreintes

Restreindre les adresses IP pouvant utiliser le QRL est un autre moyen d'atténuer les attaques de QRLjacking. L'utilisateur doit demander le QRL au site/service, afin que le service connaisse son adresse IP à ce stade. Cela bloquerait la demande d’authentification du serveur de l’attaquant. Cependant, il existe des moyens pour un attaquant de parodie leur adresse IP et potentiellement contourner cette mesure de sécurité.

Emplacement restreint

Semblable à ce qui précède, une autre mesure d’atténuation consisterait à restreindre les emplacements à partir desquels les demandes d’authentification sont acceptées. Parce que le site Web/service connaît inévitablement l’adresse IP de l’utilisateur, il connaît également sa localisation générale. Bien que cela ne soit pas infaillible, cela pourrait contrecarrer une demande d’authentification de l’attaquant tant que le serveur malveillant ne se trouve pas au même emplacement général que la victime.

Mais encore une fois, ce sont des mesures d’atténuation relativement peu pratiques. Et aucune d’entre elles n’est une solution miracle. La première est théorique. Le numéro deux n’est pas si difficile à contourner. Et le numéro trois ne fonctionnera pas si le serveur de l’attaquant se trouve au même endroit que la victime.

La meilleure solution consiste donc à ne pas utiliser de QRL du tout.

Si, en tant qu’utilisateur, vous devez utiliser des QRL, voici quelques conseils de bon sens qui pourront vous aider. Ce sont des choses que vous devriez faire de toute façon. Pas seulement dans un contexte dans lequel vous essayez de vous défendre contre le QRLjacking.

  • Utilisez un pare-feu : tous les principaux systèmes d'exploitation disposent d'un pare-feu entrant intégré et tous les routeurs commerciaux du marché disposent d'un pare-feu NAT intégré. Assurez-vous qu'ils sont activés car ils peuvent vous protéger si vous cliquez sur un lien malveillant.
  • Si votre navigateur Web affiche un avertissement concernant un site Web auquel vous essayez d'accéder ou son certificat SSL, faites attention et quittez ce site.
  • Ne cliquez pas sur les liens ou les pièces jointes des e-mails à moins de savoir exactement qui les a envoyés et de quoi il s’agit.

Conclusion

La sécurité et la commodité sont dans un équilibre constant. Internet pour le grand public requiert les deux, mais l’équilibre est difficile à trouver. Cependant, la commodité est parfois exagérée. Par exemple, les QRL sont-ils beaucoup plus pratiques que les mots de passe à usage unique (OTP) ? Pensez-y, vous devez toujours sortir votre téléphone, lancer l'application appareil photo et prendre une photo. Est-ce tellement plus pratique que d’ouvrir une application OTP et de la copier-coller ? Je ne suis pas sûr que ce soit le cas. Et sommes-nous maintenant si « paresseux sur Internet » qu’un ou deux balayages supplémentaires deviennent un facteur décisif ?

Même si la commodité peut être pratique (un joli truisme, non ?), elle n’est pas toujours sûre. Et même si Internet peut nous montrer beaucoup de choses amusantes et intéressantes, n’oubliez jamais qu’Internet est un endroit hostile qui ne manque pas d’individus et d’organisations qui veulent une part de vous. N’utilisez donc pas de QRL, du moins pour vos comptes en ligne les plus importants. Et même s’ils ne sont peut-être pas aussi pratiques que la fonction de connexion automatique de votre navigateur Web, les OTP, même s’ils ne sont pas parfaits, offriront une bien meilleure sécurité que les QRL. Une légère baisse de confort entraîne souvent des gains de sécurité importants.

^