Pass sanitaire : les QR codes sont-ils vraiment sécurisés ?

V. F
Publié le 17 juillet 2021 à 22h32, mis à jour le 19 juillet 2021 à 9h33

Source : JT 20h WE

SÉSAME - Pour aller au restaurant ou au cinéma, vous devrez bientôt présenter le fameux QR code. Mais ce type de code-barres, très énigmatique, est-il vraiment un gage de sécurité ?

C'est un petit carré que vous avez sûrement déjà croisé sur la devanture d'un commerce ou sur la table d'un restaurant. Que se cache-t-il derrière ? Pour le savoir, il faut d'abord être muni d'un smartphone. En un clic, certains QR codes peuvent vous renvoyer sur le site internet d'une boutique. 

Mais les applications sont multiples. Ils peuvent aussi laisser apparaître une publicité, un menu. "Quand je me déplace, j'utilise des QR codes. Ils me servent de carte d'embarquement", précise de son côté une jeune femme dans la vidéo en tête de cet article.

Comment fonctionnent-t-ils ?

 Il s'agit d'un type de code-barres amélioré. Il peut contenir jusqu'à 7089 caractères numériques. Cela peut être un simple lien vers un site internet ou un certificat de vaccination hautement sécurisé. Ce dernier utilise d'ailleurs un QR code spécial. Le JT de TF1 avait rencontré le responsable de la PME qui a conçu cette technologie. À l'époque, il promettait avoir développé "un certificat infalsifiable, authentique". Depuis sa mise en place, il semble effectivement résister aux tentatives de piratage. 

Mais ça ne veut pas dire que tous les QR codes sont sans danger. Pour en avoir le cœur net, le 20H de TF1 en a affiché plusieurs dans la rue avec un simple "Scannez-moi !" en guise de titre. Mathilde s'est laissée tenter et explique pourquoi. "Tout simplement la curiosité. Sur quoi on va tomber ? Est-ce que c'est une promotion ? Peut-être, on ne sait pas. On a envie de cliquer tout de suite", dit-elle. 

Attention, danger

Sauf que cette pratique peut être dangereuse, comme le soulignent des experts en cybersécurité. "On peut tomber sur des sites malveillants qui récupèrent les informations des utilisateurs", avance Nicolas Viot, responsable du pôle évaluation sécurité de la société Intrinsec. Et pour mieux appuyer son propos, il en fait la démonstration. "Prenons par exemple une affiche qui promet une promotion. En scannant le QR code, on est invité à ouvrir une page web, et là apparaît une interface de connexion qui ressemble à mon site préféré, j'entre mes identifiants, mon adresse mail et mon mot de passe", détaille-t-il, avant de préciser que le mal est fait, car il s'agit d'un faux site. A distance, le pirate informatique a pu récupérer toutes ces informations et peut s'en servir à sa guise. 

Alors, un conseil pour ne pas se faire avoir, vérifiez toujours l'adresse du site vers lequel un QR code vous renvoie.


V. F

Tout
TF1 Info