Les QR CODES sont DANGEREUX
Vous utilisez des QR Codes mais vous ne faites pas attention à ce que vous scanner ? Faites attention à vous, car vous pouvez très facilement être piraté.
Transcript
00:00 Bonjour ! Est-ce que vous voyez ceci ? C'est un QR code, un code bar à deux dimensions.
00:05 Avec la fin de la pandémie, on a gagné plusieurs années de maturité numérique
00:08 et on s'est mis à énormément utiliser les QR codes.
00:11 Que ce soit pour accéder au menu d'un restaurant, aller sur un site web,
00:15 se connecter à un Wi-Fi ou plus généralement, afficher du texte.
00:18 Mais tout ça, ça peut être dangereux et c'est ce que je vais vous montrer aujourd'hui.
00:22 Mais d'abord, parlons de son histoire.
00:24 Le QR code a été créé dans les années 90 pour suivre les différentes pièces d'une usine d'assemblage de Toyota.
00:29 Mais à la fin des années 90, le QR code passe sous licence libre.
00:33 Tout le monde a le droit d'utiliser des QR codes.
00:35 Et vu qu'on a eu accès au code, pour savoir comment ça fonctionnait,
00:37 tout le monde a pu créer son propre QR code, voire même mieux que ça,
00:41 tout le monde a eu le droit d'utiliser les QR codes qui ont été créés de la façon qu'il veut,
00:44 que ce soit pour faire de l'argent ou non.
00:46 Ce que je viens de vous énumérer, ce sont les quatre libertés fondamentales
00:49 pour qu'on considère que quelque chose soit libre, dont l'exemple le plus connu reste Linux.
00:53 Alors, pour ce qui est de son fonctionnement, c'est pas si compliqué que ça.
00:56 Un QR code, c'est une grille qui contient un certain nombre de pixels.
00:59 Sur 3 des 4 bords, on verra des carrés embriqués dans d'autres carrés.
01:02 Ce sont les formes de détection de la position.
01:04 Parce que oui, un QR code a un sens de lecture.
01:06 Plus précisément, on va commencer la lecture à l'endroit où il n'y a pas de forme de détection de la position,
01:11 c'est-à-dire en bas à droite.
01:12 Ensuite, on va lire de bas en haut, puis de haut en bas, puis de bas en haut, puis de haut en bas, etc., etc.,
01:17 jusqu'à quand on ait fait tous les QR codes, et tout ça en lisant de droite à gauche.
01:20 Et ce qu'il va lire, ça va tout simplement être des valeurs en binaire.
01:23 En général, on va dire qu'un pixel noir voudra une valeur de 1,
01:26 alors qu'un pixel blanc voudra une valeur de 0.
01:28 Et à partir de ça, comme dans tout système numérique, on va pouvoir encoder tout et n'importe quoi.
01:33 Que ce soit une image, une vidéo, un son, du code, voire même plus généralement, du texte.
01:38 Et qui dit pouvoir mettre du texte dans un QR code, dit aussi pouvoir mettre un lien de site internet.
01:43 Mais ça, on en parlera un petit peu plus tard.
01:45 À côté des motifs de détection de la position, il y a un petit carré réservé à 2 choses.
01:49 Premièrement, ça va être le niveau de redondance que l'on veut.
01:52 En gros, grâce à un algorithme mathématique du nom de l'algorithme de Reed Solomon,
01:56 on va rajouter plus d'informations que nécessaire.
01:59 Et comme ça, on va toujours pouvoir lire notre QR code, même si jusqu'à 30% de sa surface est illisible.
02:04 En gros, on rajoute plus d'informations nécessaires pour pouvoir l'utiliser plus facilement.
02:08 Et deuxièmement, on va avoir des informations sur ce qu'on appelle un masque.
02:11 Il y en a 8 en tout, et ils servent à éviter qu'il y ait de grandes zones avec uniquement des pixels noirs
02:15 ou de grandes zones avec uniquement des pixels blancs,
02:17 car sinon, ça fausserait la lecture du QR code.
02:20 Et d'ailleurs, ces masques ne sortent pas de nulle part, car ce sont des formules mathématiques relativement simples.
02:24 Et si vous voulez lire ce que je vous ai affiché, sachez juste que "i" c'est une ligne, "j" c'est une colonne,
02:29 et quand on fait "i + j % 2", ça veut tout simplement dire "i + i modulo 2",
02:34 c'est-à-dire faire le reste d'une division euclidienne.
02:37 Mais à votre avis, pourquoi est-ce qu'on les utilise autant ?
02:39 Quels sont les avantages du QR code ?
02:41 L'avantage principal d'un QR code, c'est de pouvoir lire sur n'importe quel site web
02:44 en n'ayant pas besoin de les écrire à la main.
02:46 Ça permet d'économiser énormément de temps et ça a beaucoup plus de sens pour les smartphones.
02:50 Écrire avec un clavier de smartphone a beaucoup plus de chances de faire des fautes
02:53 plutôt qu'à l'écrire sur un PC portable.
02:55 Autrement dit, le fait d'utiliser un QR code permet d'aller sur un site web
02:58 en limitant les risques et en rendant ça beaucoup plus facile.
03:01 Le désavantage, c'est que scanner un QR code, ça se fait que sur téléphone et à la limite sur les tablettes.
03:05 Scanner un QR code sur PC est sacrément chiant et c'est pas vraiment fait pour ça.
03:09 Et aussi, la robustesse des QR code implique qu'on ne peut pas y mettre énormément de données.
03:14 On peut certes lui mettre quelques milliers de caractères différents,
03:17 ce qui permettrait théoriquement d'afficher une image, mais dans les faits c'est quasiment impossible.
03:21 Mais du coup, revenons à notre question. Quels sont les risques et surtout à quoi ça sert ?
03:25 Et là, ça peut commencer à devenir très très intéressant.
03:28 Déjà parce qu'un QR code c'est ultra pratique et ça le prédestine à être mis dans n'importe quel restaurant,
03:33 hôtel, bar, bref, n'importe où où il y a du public.
03:36 Et ça, c'est vachement utile pour les hackers.
03:38 Mais aussi, qui dit se connecter à une box internet grâce à un QR code,
03:41 dit aussi faire confiance à quelqu'un d'autre et refiler un max d'informations à celui qui détient la box internet.
03:46 Et ça, ça peut être sacrément dangereux.
03:48 On peut penser notamment au sniffing, qui consiste tout simplement à renifler dans un réseau,
03:52 à regarder ce qu'il y a dans un réseau pour avoir les informations de taille, de date,
03:56 les adresses IP de destination et de source, les adresses MAC, etc. etc.
04:00 En soi, le sniffing n'est pas dangereux lui-même,
04:02 mais ça permet de récupérer des informations précieuses pour n'importe quel hacker.
04:05 Mais du coup, n'importe quel hacker qui a accès à la box internet,
04:08 peut avoir accès à tout ce qui s'y trafique.
04:09 En théorie, ça devrait pas être un problème car n'importe quel paquet,
04:12 n'importe quelle information envoyée sur un réseau est théoriquement sécurisé,
04:16 mais dans les faits, c'est jamais véritablement le cas,
04:18 et même si c'était le cas, il y a toujours des failles à trouver.
04:21 Autrement dit, le fait de se connecter à une box internet augmente énormément les chances de se faire hacker,
04:25 car il y a toujours plus de failles et d'informations à voler pour un hacker que en utilisant sa 4G.
04:30 L'une de ces failles va être ce qu'on appelle une attaque du "man in the middle".
04:33 Le principe est simple,
04:34 quelqu'un va vouloir se connecter avec son smartphone au serveur de YouTube pour regarder une vidéo,
04:38 il envoie une demande de connexion au serveur,
04:40 mais quelqu'un l'intercepte et se met entre les serveurs de YouTube et le propriétaire du smartphone.
04:45 Autrement dit, quand YouTube va envoyer sa vidéo YouTube,
04:47 pour envoyer par exemple son mot de passe de connexion ou plein d'autres trucs,
04:50 le mec qui se sera connecté au milieu va pouvoir regarder tout ce qui se passe.
04:53 On peut aussi noter la technique d'empoisonnement du cache DNS.
04:56 Le concept est plutôt simple,
04:57 quand on va se connecter à un site web, on va demander à un serveur de nous rediriger,
05:01 mais du coup on va tout simplement hacker ce serveur,
05:03 et faire en sorte que quand l'utilisateur demande de se connecter à YouTube.com par exemple,
05:07 il soit redirigé vers mon serveur et mon site web.
05:10 Ça va permettre de faire de l'hameçonnage, de la propagation de virus,
05:12 de l'usurpation d'identité, voire même d'interdire l'accès à un site web.
05:15 Après, ce que je vous parle actuellement, c'est simplement les dangers de se connecter à une box internet,
05:19 et pas spécifiquement les dangers de se connecter à un QR code.
05:22 Le QR code lui, c'est que du texte.
05:24 Une autre utilisation du QR code, ça va être pour envoyer automatiquement des SMS ou faire des appels.
05:28 En soi, c'est pas vraiment un problème de sécurité informatique,
05:30 mais plus de données personnelles,
05:32 car envoyer un SMS, ça veut aussi faire savoir l'numéro de téléphone à un hacker,
05:36 et ça c'est pas ouf, et ça peut amener à du super harcèlement, à des pubs, etc.
05:40 On peut aussi utiliser un QR code pour payer.
05:41 Alors en vérité, c'est très rare en France,
05:43 personnellement, la seule fois où j'ai vu quelqu'un faire ça, ça devait être pour payer au CRUS.
05:46 Autrement dit, en général, y'a pas vraiment de risque,
05:49 je pense que dans tous les cas, y'a toujours des vérifications, une demande, etc.
05:52 Mais en fait, ce qui est de plus loin le plus dangereux, ce sont les liens hypertextes.
05:56 Un lien peut faire énormément de choses.
05:58 Même payer avec un QR code, c'est en fait utiliser un lien.
06:01 Et ça, ça peut être extrêmement dangereux.
06:03 Déjà, parce qu'on peut se permettre de rediriger l'utilisateur vers n'importe quel site web, qu'il soit vrai ou faux.
06:09 Par exemple, on peut imaginer un QR code dans un musée, où c'est écrit "Scanne-moi pour pouvoir accéder à la vidéo YouTube",
06:13 pour une explication par exemple.
06:15 Tu te connectes à un site web qui ressemble au site de YouTube,
06:17 tu mets ton identifiant et ton mot de passe, ça te ramène vers la vidéo YouTube,
06:20 donc en fait, tu n'y vois que du feu, alors qu'en fait, la corps vient juste de te hacker ton identifiant et ton mot de passe.
06:25 Mais pareil pour un achat.
06:27 Un QR code pourrait t'amener vers une poche qui ressemble trait pour trait au site web que tu utilises pour payer.
06:31 Du coup, tu mets ton numéro de carte, la date, le mot de passe, etc. etc.
06:34 Et tu te fais voler tes identifiants de carte bancaire.
06:37 Et puis, je ne vous parle même pas d'autres manières de faire. On peut penser à un lien qui va t'amener vers un site web pour miner de la crypto-monnaie.
06:42 Voire même encore pire, un lien qui t'amène vers un site web qui te fait télécharger et installer automatiquement un virus qui mine de la crypto-monnaie.
06:48 Ça, c'est très très commun et ça peut être plutôt chiant.
06:51 De manière générale, le risque le plus probable est d'avoir un virus.
06:54 Et quand je parle de virus, je pense à tout et n'importe quoi comme type de virus,
06:58 que ce soit des bacs d'or, des verres, des logiciels espions, voire même des ransomware.
07:01 Et en fait, je crois même qu'il n'y a pas vraiment de type de virus favorisé par rapport à un autre.
07:05 On peut choper n'importe quel type de virus et ça dépend plus de la volonté du hacker.
07:08 Mais bon, pour pas vous laisser sur votre faim, je vais vous donner quelques exemples de virus dangereux.
07:12 Il existe par exemple le QRL Jacking.
07:14 Le concept est simple, utiliser une forme piratée d'un QR code qui sert à se connecter à différentes applications,
07:19 comme par exemple à WhatsApp, pour pouvoir voler les identifiants et les mots de passe de l'utilisateur.
07:24 Parce que en gros, elle utilise une technologie qui s'appelle le SQRL,
07:27 qui est une manière de se connecter à un site web sans utiliser son identifiant et son mot de passe.
07:31 Autrement dit, on utilise un QR code pour se connecter.
07:33 Et du coup, si avec notre téléphone on scanne un mauvais QR code pour se connecter,
07:36 on va se faire hacker et on va se faire voler son identifiant et son mot de passe,
07:39 et on n'y aura strictement rien vu.
07:41 Alors sinon, je peux encore vous donner 12 autres exemples.
07:42 Il y a la Directory Traversal Attack et la Remote File Inclusion,
07:46 qui sont deux attaques qui, quand on va sur un site web,
07:48 permettent de lire n'importe quel fichier du périphérique de l'utilisateur
07:50 et aussi de faire du vol d'informations/de mots de passe.
07:53 En gros, ça fait passer une information qu'on va envoyer au serveur, comme du code par exemple,
07:56 et ça va profiter du système d'entrée du PHP.
07:58 Bref, vous l'avez remarqué, le plus gros risque d'un QR code, c'est en fait les liens.
08:02 Et tout comme on ne doit pas cliquer sur les liens d'un inconnu,
08:04 il ne faut pas scanner un QR code qu'on ne connaît pas.
08:06 Et d'ailleurs, petit conseil, si vous comptez hacker des gens dans le futur,
08:09 et spécialement si vous voulez hacker des gens qui utilisent spécifiquement les smartphones,
08:13 et éventuellement les tablettes, le QR code pourrait être une très bonne solution.
08:16 C'est quelque chose de relativement nouveau dans les mœurs.
08:18 Suffisamment pour que tout le monde sache l'utiliser et l'utilise tous les jours,
08:21 mais suffisamment peu pour qu'on ait les mêmes réflexes que sur PC.
08:24 Autrement dit, vérifier les liens sur lesquels on clique.
08:26 Cependant, ça risque pas de durer très très longtemps.
08:28 Les campagnes de sensibilisation qui ont appris aux gens à ne pas cliquer sur un lien qu'on ne connaît pas
08:32 ont pris quelques dizaines d'années pour être vraiment efficaces,
08:35 mais cette fois-ci, je suis sûr que ça prendra un ou deux ans grand max.
08:38 L'utilisation du QR code n'a jamais été aussi populaire que depuis le COVID.
08:41 Et actuellement, on est dans un creux au moment où tout le monde utilise une technologie,
08:45 mais où tout le monde ne sait pas vraiment les dangers qu'elle représente.
08:47 Mais très très bientôt, je suis sûr que tout le monde saura qu'il ne faut pas scanner n'importe quel QR code,
08:53 et tout le monde aura les mêmes habitudes que sur PC.
08:55 Bref, j'espère vraiment que je vous ai appris des choses.
08:57 Toutes les sources sont dans la description si vous voulez regarder.
09:00 Bref, abonnez-vous à la chaîne YouTube, c'est très important et ça me soutient énormément.
09:04 Bref, salut à tous, c'était Scredi.
09:05 Passez une excellente semaine.
09:06 Ciao !
09:07 [Musique]