Dimanche 28 mars, Thierry Breton, commissaire européen en charge des vaccins, a présenté les contours du certificat sanitaire ; muni d'un QR il permettra de retracer l'histoire médicale de chaque citoyen européen. Présenté comme un sésame non obligatoire, ce passeport sanitaire, disponible en format papier et numérique, sur les sites des ministères de la Santé de chaque pays de l'Union, pourra être demandé pour voyager, prendre part à une manifestation importante ou entrer dans un lieu public. Le QR Code scanné permettra de contrôler si le détenteur du certificat a été vacciné contre la Covid, l'origine du vaccin reçu, s'il a déjà été porteur du virus, s'il dispose d'anticorps... Cela est bien dit, mais passé les polémiques et les prophéties de Sibylles de ces derniers jours, s'est-on posé la question de la garantie de protection de la vie privée, de la vulnérabilité aux cyberattaques ou encore du taux d'équipement en téléphones portables des populations ? J'ai bien conscience que le QR Code est un moyen simple de vérifier telle ou telle information. Mais qui dit moyen simple implique forcément des attaques simples à la portée de tous.

Chaque avancée technologique s'accompagne, presque inéluctablement, de son travers. Comprenez que la démocratisation ou prolifération des QR Code à venir s'accompagnera de tentatives de vols des données. Tous les secteurs, de la grande distribution aux soins de santé, ont capitalisé sur les avantages du QR Code, oubliant parfois les dangers qu'il représente. Les gouvernements et les entreprises le perçoivent comme un moyen simple et rapide de relier les personnes à des sites web, des campagnes promotionnelles, des réductions en magasin, des dossiers médicaux, des paiements par téléphone portable, entre autres usages.

Si le piratage d'un véritable QR Code nécessitait de sérieuses compétences pour contourner les points pixélisés dans la matrice du code, les pirates ont néanmoins trouvé une méthode pour corrompre les utilisateurs.  Comment ? En intégrant des logiciels malveillants dans les codes QR (qui peuvent être générés par des outils gratuits largement disponibles sur Internet). Il y a fort à parier que les pirates planchent davantage sur le sujet et peut-être même monnayent déjà leurs compétences... Il va sans dire que si le passeport sanitaire comporte des brèches, l'impact serait très important.

Guillaume Poupard, directeur général de l'agence nationale de la sécurité des systèmes d'information (Anssi), auditionné le 4 novembre 2020 au Sénat par la commission des affaires étrangères, de la défense et des forces armées dans le cadre de l'examen du budget pour 2021, mettait déjà en garde face aux cybermenaces et invitait à la plus grande vigilance face à ces dernières. Gardons en mémoire que les attaques peuvent prendre plusieurs formes et poursuivre différents objectifs.

Le piratage : une fatalité ?

Pour un utilisateur classique, les QR Codes se ressemblent tous. Pris dans l'urgence du quotidien ou dans la temporalité de l'Internet par manque de vigilance, chacun peut être facilement piégé et redirigé vers un faux site web. Nous pouvons aussi saisir des données personnelles ou installer un logiciel malveillant sur notre Smartphone. L'explosion du télétravail a montré des failles dans les systèmes d'information de la majorité des entreprises, quelle que soit leur taille, la tendance du BYOD (Bring Your Own Device) a alerté sur le peu de protection des appareils utilisés à des fins personnelles et professionnelles... Le risque de piratage concerne donc aussi les entreprises.

Aussi inquiétantes que puissent être ces menaces, il est possible de s'en prémunir : sensibiliser les utilisateurs aux risques des QR Codes est un bon premier pas. Mais les entreprises doivent aussi renforcer la sécurité des appareils mobiles pour se protéger contre l'hameçonnage, les rançongiciels, l'usurpation d'identité, etc. L'utilisateur, quel que soit sa maturité numérique, doit s'assurer que le QR Code est légitime, en particulier les codes imprimés, qui peuvent être collés avec un code différent (et potentiellement malveillant). Dit autrement, il ne faut scanner que les codes provenant d'entités de confiance et être particulièrement vigilant face aux liens de type "bit.ly".

L'annonce du déploiement du passeport sanitaire verra l'utilisation massive des QR Codes, ceci ne fait pas de doute. Il est fortement conseillé aux entreprises d'utiliser une solution de défense contre les menaces à fournir à tous leurs employés. En les protégeant contre les attaques et les téléchargements d'applications malveillantes, la sécurité des données l'entreprise sera renforcée.  Et pour les citoyens qui n'auraient pas les moyens de se protéger des attaques ? Eh bien l'avenir dira le reste...