Ce simple QR Code pourrait mettre en péril notre société

Généralisée dans notre société actuelle, l’utilisation des QR codes est pourtant sujette à controverse puisqu’elle possède des failles dangereuses et très simples à exploiter par les hackers.

En 2021, on ne présente plus les QR code ou leurs cousins les 2D-Doc. Ces codes de type « Datamatrix », permettent une fois scannés de recevoir des informations codées : une identité ou une adresse Internet vers laquelle vous êtes redirigé. Il a été créé en 1994 par Masahiro Hara, un ingénieur de la société Denso-Wave, pour au départ permettre un suivi plus facile des pièces détachées des usines Toyota. Ce n’est que 5 ans plus tard que Denso-Wave rend la technologie libre de droit et donc utilisable par tous. S’il ne passionne pas les foules au départ, son utilisation explose avec la généralisation des téléphones portables qui se transforment tous en lecteur de QR codes. Aujourd’hui, on le retrouve partout, que ce soit sur vos paquets reçus par la Poste, sur les arrêts de bus pour afficher les horaires, les billets d’avion, etc. En ces temps d’épidémie de Covid-19, il est encore plus dans nos quotidiens puisqu’il est présent sur les pass sanitaires. Quand l’application TousAntiCovid Verif le scanne, le nom, prénom, la date de naissance du client, ainsi que la validité du pass sanitaire s’affiche sur le lecteur.

Le QR code est présent sur les pass sanitaires.

Son avantage, c’est que son scannage se fait très rapidement. Après tout, « QR » signifiant « Quick Response », soit « réponse rapide », ce n’est pas étonnant et plutôt rassurant sur la promesse nominative. Pourtant, sa généralisation dans la plupart des machines qui nous entourent pourraient poser un gros problème à cause de la chaîne EICAR.

EICAR : la petite chaîne qui démonte

La chaîne EICAR n’est pas une nouvelle chaîne de télévision parlant de voiture mais bel et bien une suite de caractères en tout genre mise en place par l’industrie informatique il y a des années pour tester les antivirus de leurs systèmes. Il permet en effet de faire croire à une attaque de virus et de voir comment réagit le programme. Voici le précieux sésame faussement maléfique :

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Dès qu’un logiciel tombe sur ces 68 caractères, il passe en mode élimination ! Selon le système, cela peut se matérialiser par une mise en quarantaine, un redémarrage pure et simple, mais aussi parfois par un blocage total du programme. D’où l’idée saugrenue venant du hacker Richard Henderson de l’encoder sous forme de QR Code et de voir des gens s’amuser avec son virus noir et blanc partout où il est possible de le scanner. Dans une vidéo diffusée sur le compte YouTube DEFCONconference, il a démontré, vidéos à l’appui, la dangerosité de ce code EICAR sous cette forme-là. Scanné par un lecteur de code-barres dans un supermarché, celui-ci cesse de fonctionner. Même résultat lors de sa présentation à un lecteur de passeport dans un aéroport ou la caisse automatique d’une sortie de parking.

Il serait donc aussi facile que ça de mettre à mal un système et de bloquer totalement une machine ? Absolument ! Même pas besoin de matériels sophistiqué et le hacker rejette la faute sur la multifonctionnalité des lecteurs qui ne sont pas tous préparés à recevoir ce genre d’information. Les informations reçues étant généralement envoyées sur des serveurs tournant sous Windows, elles font face à un antivirus qui, confronté à la chaîne EICAR, réagit en conséquence. Il souligne que les fabricants de ces lecteurs ne se préparent pas assez à faire face à des attaques de ce genre, n’imaginant pas le carnage qu’une simple faille trouvée par des hackers peut créer.

Projet chaos

Richard Henderson a d’ailleurs de ce pas commandé tout une batterie d’autocollant du QR code de la chaîne EICAR et on n’ose pas imaginer ce qu’il pourrait en faire. Entre les mains d’une organisation antisociale comme dans le film Fight Club, une action conjointe et coordonnée pourrait déstabiliser des villes entières. Sachez toutefois que ce genre de piratage est puni de cinq ans d’emprisonnement et de 150 000 euros d’amende par la loi s’il est prouvé que vous l’avez fait exprès. Après, si vous sabotez un sous-marin avec un chewing-gum, est-ce vraiment votre faute ou celle des concepteurs qui n’ont pas réfléchi à la sécurité de leur machine jusqu’au-bout ? La question se pose et montre bien la fragilité d’une société qui lance et généralise des technologies sans en avoir testé la sécurité à 100%. Et pour ceux qui se pose la question : non, le QR code de Richard ne fonctionne pas sur TousAntiCovid Verif, mais cela ne veut pas dire que l’application est infaillible. Il a même été dernièrement démontré qu’en changeant la langue de l’application sur un terminal, un code non valide pouvait passer entre les mailles du filet