Cette technologie peut mettre fin aux escroqueries aux codes QR, si seulement Google et Apple intervenaient

Hibou Gourou

L’arnaque numérique la plus réussie est celle qui est liée à la commodité. Les codes QR, qui servent à tout, du partage de contacts au paiement, sont un vecteur idéal. En Inde, qui gère le plus grand système de paiement numérique au monde, les escroqueries aux codes QR sont devenues une nuisance régulière.

J'entends régulièrement des propriétaires de magasins de détail et des chauffeurs de taxi raconter comment ils ont été trompés à l'aide d'un faux code QR ou d'une fausse application, et l'histoire des acheteurs en ligne est similaire. Les escroqueries QR dans les parkings sont également monnaie courante aux États-Unis et au Royaume-Uni, mais voler quelques dollars n'est pas le seul risque.

C'est le vol de données sensibles, notamment financières, qui a même mis les géants du secteur bancaire en alerte. "Si vous avez scanné le code QR et saisi vos informations d'identification, comme votre nom d'utilisateur et votre mot de passe, sur un site Web, changez votre mot de passe immédiatement", a déclaré la Federal Trade Commission américaine dans une note d'alerte il y a à peine quelques semaines.

L'agence suisse de sécurité nationale a également émis un avertissement concernant l'envoi de codes QR physiques par courrier aux portes des portes pour voler des mots de passe, un braquage communément appelé quishing, abréviation de QR phishing . Bien sûr, nous ne pouvons pas neutraliser la pile technologique QR face à de tels risques, sauf pour sensibiliser l'opinion, mais nous pourrions enfin avoir une solution de la part des experts de l' Université de Rochester .

Quelle est la solution ?

Échantillon d'un code SDMQR apparaissant sur l'écran d'un iPhone.
Au lieu de points en blocs, les codes SDMQR utilisent des ellipses. Nadeem Sarwar / Tendances numériques

La technologie en question est un code QR (SDMQR) à double modulation auto-authentifiant. Il arrête les escroqueries potentielles avant même que les utilisateurs ne soient redirigés vers un faux site Web ou un référentiel Web frauduleux, en signalant le risque dès que le code est analysé. Mais avant d’entrer dans les détails techniques, permettez-moi de détailler les principaux avantages de cette voie sécurisée vers la technologie des codes QR :

  1. Il s'auto-authentifie, ce qui signifie que le code QR contient déjà la signature numérique vérifiée de l'entité derrière lui, qui est vérifiée à chaque fois que vous le scannez sur votre téléphone.
  2. En plus de diriger les utilisateurs vers des sites Web, ils peuvent également être utilisés pour des paiements et encoder des informations sécurisées, entre autres scénarios connexes.
  3. La vérification du code QR s'effectue sur l'appareil. Vous n'avez pas besoin d'une connexion Internet pour vérifier si c'est légitime ou frauduleux.
  4. Il ne nécessite aucune application spécialisée ni mise à jour logicielle pour les applications de numérisation de code QR existantes.
  5. Le système ne crée aucun retard opérationnel ni aucune latence indésirable.
  6. Ces codes QR sécurisés peuvent être personnalisés pour répondre aux exigences de conception, sans entraver leurs protections.
  7. Il n’a pas besoin d’un appareil photo haute résolution pour smartphone pour fonctionner. Celui que vous avez dans votre poche fera très bien l’affaire pour scanner les codes SDMQR.
  8. Ces codes QR peuvent également avoir des couleurs, afin que les marques puissent les personnaliser pour une meilleure reconnaissance de l'identité.
  9. Les machines existantes qui lisent les codes QR peuvent également lire les codes SDMQR, avec un système d'avertissement en remorque.

La meilleure partie de cette approche est qu’un utilisateur moyen n’aura pas à passer par des obstacles techniques pour protéger ses intérêts. Pour les entreprises qui s'appuient sur des codes QR et souhaitent protéger leur entreprise, il leur suffit d'enregistrer l'URL de leur site officiel et d'intégrer leur signature dans le code.

Les codes SDQMR sont différents des codes QR traditionnels. Au lieu de l’empreinte de bloc de style pixel traditionnelle, ils utilisent des ellipses. L'équipe derrière la pile technologique a déposé un brevet et a déjà obtenu une subvention I-Corps de la National Science Foundation pour explorer le remplacement des codes à barres traditionnels par des codes SDMQR.

Pour aller plus loin, l’équipe étudie également si l’utilisation de couleurs peut rendre ces codes plus polyvalents. Avec polyvalence, ils signifient utiliser le même code QR pour guider les utilisateurs dans jusqu'à trois directions ou destinations Web différentes.

Quel est le pipeline technologique ?

Le processus de création d'un code SDMQR.
Université de Rochester / IEEE Sécurité et confidentialité

"Les codes SDMQR offrent une protection frontale proactive contre l'annulation avant même que le lien ne soit accessible", indique le document de recherche publié dans le IEEE Security & Privacy Journal . Comme mentionné ci-dessus, nous parlons simplement d’un retrofit, et non d’un cadre qui bouleverserait tout l’écosystème QR.

L'ensemble du processus repose sur deux éléments. Un message principal (tel que l'URL d'une entreprise) et une signature cryptographique correspondante de ce message. Cette signature cryptographique est générée et détenue par une entreprise en possession d'une clé privée numérique. Un encodeur DMQR intègre les messages primaires et secondaires dans le code SDMQR.

Si vous regardez le code, vous remarquerez des motifs elliptiques en noir et blanc. Selon les chercheurs, les modèles de variation cachent le message principal, tandis que les données d'orientation véhiculent le message secondaire.

Authentifier un code SDMQR.
Signaler une destination à risque avec un code QR. Université de Rochester / IEEE Sécurité et confidentialité

Une fois le code scanné sur un téléphone, un décodeur DMQR décompose les messages primaires et secondaires pour vérification. A ce stade, la clé publique de l'entreprise (qui a créé le code) effectue une vérification algorithmique pour vérifier si le message secondaire cryptographique correspond au contenu du message principal non chiffré.

Considérez-le comme une poignée de main secrète en deux étapes entre agents espions.

Le plus grand défi n’est pas la pile technologique, mais la création d’un système centralisé où toutes les entreprises peuvent se réunir et effectuer l’enregistrement nécessaire pour créer des codes SDMQR uniques. L'idée est de créer une clé publique pour ces entités légitimes, ce qui est également la seule chose dont un lecteur de code SDMQR a besoin.

C’est là que les fabricants de systèmes d’exploitation pour smartphones – c’est-à-dire Google et Apple – peuvent contribuer à créer un avenir plus sûr. Leur participation en tant que signataires centraux signifierait qu'un smartphone ou une tablette n'aurait besoin que de leurs deux clés publiques pour authentifier rapidement les codes SDMQR.

Vérification d'un code SDMQR.
Approuver une URL légitime après une analyse de code SDMQR. Université de Rochester / IEEE Sécurité et confidentialité

Puisqu’ils proposent des cadres intégrés de numérisation de codes QR pour iOS et Android, les utiliser comme signataires centraux est la meilleure voie à suivre. Sur le plan technique, leur participation faciliterait considérablement le processus de vérification, car les lecteurs de code SDMQR n'auraient besoin que de stocker seulement deux clés publiques et de faire le travail.

Il y a certainement un précédent à cela. Google permet aux entreprises de s'inscrire pour obtenir un badge et une icône vérifiés dans Gmail , afin que les utilisateurs ne tombent pas dans le piège de faux e-mails essayant de se faire passer pour un message légitime.

Pourquoi cette approche est-elle importante ?

Quelques propositions techniques intéressantes sont apparues ces dernières années pour résoudre le problème des escroqueries aux codes QR, mais elles sont toutes arrivées avec leur part de limitations. Le système SDMQR résout quelques obstacles fondamentaux clés pour faciliter l’adoption sans aucun problème technique.

Il adopte une approche transparente de l'auto-authentification et ne nécessite aucune mise à jour logicielle des applications de lecture de code QR installées sur le téléphone d'une personne. Ils fonctionneront très bien avec les codes QR classiques et les codes SDMQR plus sécurisés.

Sinon, demander aux développeurs ou aux fabricants de systèmes d’exploitation de déployer une mise à jour synchronisée à l’échelle de l’écosystème serait non seulement un défi de taille, mais prendrait également du temps. Le système de signataire central unique, qui ne nécessite qu'une seule clé pour la vérification, améliore encore la commodité pour les adoptants. Et le meilleur, c'est que les utilisateurs de smartphones n'auront même pas besoin d'une connexion Internet pour que les protocoles de vérification entrent en action.

Un code SDMQR embelli sur un téléphone.
Les codes SDMQR fonctionneront très bien avec une touche de personnalisation stylistique. Nadeem Sarwar / Tendances numériques

Les efforts antérieurs visant à créer des systèmes de codes QR sécurisés faisaient confiance aux clés cryptographiques pour les générateurs de codes QR afin d'authentifier l'identité. Quelques autres idées impliquaient des paires de clés publiques-privées individuelles, ce qui signifie que l'appareil mobile d'un utilisateur devait transporter (ou avoir enregistré localement) les clés publiques de toutes les parties qui se sont inscrites pour créer des codes sécurisés pour l'authentification et la vérification d'identité.

"Grâce au protocole proposé, les appareils mobiles peuvent déterminer si les informations sont considérées comme authentiques par le signataire, immédiatement sur l'appareil mobile lui-même", explique l'équipe dans le document de recherche.

Un autre avantage est que la technologie inhérente à double modulation peut également être appliquée aux codes-barres, ce qui signifie que même les codes utilisés pour les cartes d'embarquement des compagnies aériennes et les colis de messagerie peuvent profiter de ce cadre.

Les plus grands bénéficiaires des codes SDMQR seraient les institutions bancaires. Les chercheurs affirment que leur déploiement dans les systèmes de paiement du stationnement peut protéger de manière fiable les utilisateurs contre les attaques de phishing basées sur les QR ainsi que contre les pertes financières.

Ce dernier aspect s’applique également à tous les scénarios dans lesquels les gens tombent souvent sur des codes QR affichés dans les lieux publics. Cela inclut l'accès Wi-Fi, l'ouverture du menu d'un restaurant et le relais d'un emplacement commercial, entre autres. Le détournement du Wi-Fi est une menace bien connue qui se transforme rapidement en un chaos total pour l'utilisateur moyen. Toute solution permettant de remédier à cette vulnérabilité devrait donc être adoptée massivement.

La balle est désormais dans le camp de Google et d'Apple. Ils fournissent déjà la sauce logicielle au niveau du système d’exploitation pour décoder les codes QR et les codes-barres. Tout ce qu'ils ont à faire est de vérifier et de mettre en œuvre la prise en charge du nouveau cadre SDMQR et de protéger les intérêts des utilisateurs de smartphones du monde entier.