Les codes QR sont-ils sûrs ? Meilleures pratiques pour assurer la sécurité du code QR
Publié: 2022-04-22Le monde d'aujourd'hui, centré sur les smartphones, se familiarise de plus en plus avec les codes QR.
Les codes QR ne sont plus utilisés uniquement pour ce pour quoi ils ont été créés à l'origine : le suivi des stocks dans les usines. Ils sont désormais exploités de nombreuses manières, du marketing et de l'immobilier aux cartes de visite numériques et aux emballages intelligents.
Parallèlement à cette augmentation de l'adoption des codes QR par les entreprises et les utilisateurs, la confidentialité et la sécurité de l'utilisation des codes QR suscitent des inquiétudes croissantes. Cela est principalement dû aux attaquants qui utilisent la technologie comme stratagème pour installer des logiciels malveillants ou obtenir un accès non autorisé à des données personnelles et financières.
Alors, les codes QR sont-ils sûrs ? Et peuvent-ils être dangereux ?
Pour apaiser toute inquiétude concernant le déploiement ou la numérisation de codes QR pour votre entreprise, voici une longue histoire : en tant que technologie, les codes QR sont intrinsèquement sûrs et sécurisés.
Mais le diable est dans les moindres détails. Passons d'abord aux détails de la sécurité du code QR.
Que sont les codes QR ?
Les codes QR, dans leur forme originale et la plus basique, sont des configurations carrées de carrés composites noirs et blancs avec des données encodées à l'intérieur.
Ils ont été développés pour contenir plus d'informations et de formats de données que leur prédécesseur moins développé, le code à barres. La possibilité d'être facilement lu par un scanner était également essentielle pour Masahiro Hara chez Denso Wave, l'homme à l'origine de la technologie QR. Par conséquent, la forme complète appropriée de QR est "Réponse rapide".
Et aujourd'hui, près de 25 ans après leur introduction dans l'industrie de la fourniture automobile, les codes QR ont trouvé leur place dans différentes industries et fonctions commerciales.
Ils offrent désormais aux entreprises un moyen de faire passer leur public hors ligne à en ligne, leur permettant d'ancrer un contenu numérique sans fin à des points de contact physiques. Associés à la possibilité de créer des codes QR personnalisés en personnalisant la couleur et la conception du code, les QR sont devenus un favori parmi les marques qui cherchent à engager les clients de nouvelles façons.
Adoption du code QR
Au cours des quelques années qui ont précédé le monde sans contact provoqué par COVID, les codes QR ont connu une augmentation progressive de l'adoption et de l'utilisation.
La principale raison à cela ?
La fonctionnalité de numérisation de code QR n'était plus limitée aux applications tierces sur les smartphones. Les utilisateurs pouvaient sortir leur smartphone, charger l'application native de l'appareil photo pour smartphone, pointer le code - et voilà - ils étaient en route vers le contenu encodé !
La pandémie a rapidement alimenté cette résurgence. Les exigences sans contact de COVID signifiaient que les restaurants – une industrie largement dépendante des personnes qui mangeaient au restaurant – devaient s'assurer que tout contact était évité dans la mesure du possible. C'est ainsi qu'est née la version sans contact de l'ancienne carte de menu papier, le menu QR code.
Et au fil du temps, les protocoles COVID sans contact ont conduit à l'émergence de nouveaux cas d'utilisation dans différents contextes. L'utilisation des codes QR s'est maintenant étendue pour inclure les emballages CPG, le suivi des stocks, les cartes de visite numériques, etc.
Parallèlement à cette augmentation de l'adoption du code QR, les pirates, les cybercriminels et les escrocs en ligne utilisent de plus en plus cette technologie. L'un de ces mandats devrait-il vous concerner si vous scannez un code QR ou en utilisez un dans votre campagne marketing ?
Creusons un peu plus.
Les codes QR sont-ils sécurisés ?
Comme mentionné précédemment, les codes QR sont par nature une technologie sécurisée. Ils dirigent simplement les utilisateurs vers les données encodées dans leurs applications natives de caméra pour smartphone ou vers des lecteurs de code QR autonomes. Ces données peuvent prendre la forme d'une URL de site Web, d'un fichier PDF, d'une page de destination, d'un questionnaire, d'une vidéo ou d'un fichier audio, etc. Les cas d'utilisation sont presque infinis.
Mais cela ne reviendrait-il pas à saisir manuellement l'adresse d'un site Web dans un navigateur ou à cliquer sur un lien menant à une page de destination, un questionnaire ou une vidéo ?
Ouais.
Seulement, dans ce cas, le scan du code QR fait le gros du travail en tapant ou en cliquant manuellement sur les liens.
Essentiellement, un code QR est simplement une passerelle qui emmène de manière transparente les utilisateurs d'un point de contact physique à une destination numérique. Aucun effort manuel n'est requis de la part de l'utilisateur. Il vous suffit de pointer votre caméra vers le code affiché.
Étant donné que les codes QR sont, à leur niveau le plus élémentaire, un support physique-numérique, ils ne peuvent constituer une menace pour la sécurité tant que les utilisateurs n'entrent pas dans le monde numérique par leur intermédiaire. Ceci est similaire à l'exposition ou à la vulnérabilité que vous auriez en surfant sur le Web avec désinvolture sur votre smartphone, tablette ou ordinateur - rien de plus.
Mais comme ils sont largement déployés en tant que portail numérique dans le monde physique, les attaquants malveillants trouvent généralement de nouvelles façons de pirater votre appareil ou d'utiliser l'ingénierie sociale pour obtenir vos informations privées.
Vous devez donc comprendre la sécurité du code QR du point de vue de l'utilisateur et de l'entreprise en tant que passerelle physique-numérique.
Les codes QR ne vous suivent pas en direct
Il est important de comprendre comment fonctionne le suivi du code QR et comment la technologie peut bénéficier aux entreprises en collectant les données qu'elles autorisent.
Voici une ventilation claire. Lorsqu'un utilisateur scanne un code QR, les données ne sont collectées qu'au moment de la numérisation. Et cela fait référence à toutes les informations qu'un fournisseur de solution de code QR peut collecter. Cela inclut le nombre total d'analyses, le nombre d'analyses uniques, les horodatages, le système d'exploitation de l'appareil, etc.
Le "suivi du code QR" s'apparente simplement à un instantané de données enregistré au point de contact où le code QR est déployé.
Cela contredit le mythe répandu selon lequel l'utilisation de codes QR peut compromettre votre vie privée et votre sécurité numérique. Encore une fois, juste un malentendu ! La numérisation d'un code QR n'active pas un suivi en direct sur le téléphone de l'utilisateur. Les générateurs de code QR ne peuvent en aucun cas obtenir vos informations personnellement identifiables (PII) ou placer un tracker pour surveiller votre emplacement en direct ou toute autre activité.
Les codes QR collectent de précieuses données de première partie
Le déploiement de codes QR avec une solution qui offre des analyses de suivi backend robustes vous donne la possibilité de créer un entrepôt de données sophistiqué de première partie pour votre entreprise.
Les données de première partie collectées directement à partir des interactions marque-utilisateur fournissent des informations utiles pour rationaliser vos efforts de marketing et vous permettent de mieux comprendre votre public cible ou votre public dans une perspective globale de veille économique.
Et comme les géants de la technologie comme Apple et Google accordent la priorité à la confidentialité et à la sécurité des utilisateurs, il est essentiel que les entreprises exploitent de nouveaux canaux comme les codes QR pour faciliter l'interaction avec leur public cible.
Les navigateurs comme Safari, Firefox et Brave ne prennent plus en charge les cookies tiers, et Chrome est sur le point de rejoindre la liste d'un avenir sans cookie.
Les codes QR offrent un moyen alternatif et transparent de créer des prospects et de collecter des données de première partie sur les utilisateurs du monde physique dans un climat technologique fortement axé sur la confidentialité des utilisateurs. Les entreprises bénéficient également de l'auto-sélection qui se produit chez ceux qui scannent leurs codes QR, ce qui signifie qu'elles collectent des données sur les utilisateurs à forte intention qui sont plus susceptibles de devenir des clients.
Pourquoi? Lorsque quelqu'un sort son smartphone pour scanner vos codes et interagir avec votre contenu numérique, vous pouvez le qualifier de manière fiable d'intention élevée !
Quels sont les risques potentiels pour la sécurité du code QR ?
Maintenant que nous avons couvert le fonctionnement des codes QR et les données que les entreprises peuvent collecter, passons au cœur des risques de sécurité des codes QR.
Les codes QR eux-mêmes ne présentent pas de risque intrinsèque pour la sécurité des données, contrairement à la cible numérique à laquelle ils se réfèrent.
Voici quelques façons dont les escrocs et les pirates exploitent les codes QR :
- Ingénierie sociale ou attaques de phishing : cliquer sur un lien malveillant revient à scanner un code QR malveillant menant au même lien. Les escrocs utilisent des tactiques d'ingénierie sociale comme l'association de codes QR avec un texte de cadre suspect comme "scanner pour obtenir X" pour inciter les gens à scanner pour accéder à leurs appareils. Ils peuvent également exploiter votre curiosité et placer un code dangereux dans des espaces publics très fréquentés sans aucun texte d'accompagnement.
- Remplacer les codes QR authentiques dans les lieux publics par des codes malveillants : une simple astuce de code QR utilisée par les cybercriminels consiste à remplacer les codes originaux placés par une entreprise à un point de contact spécifique par des codes contrefaits. Lorsque les utilisateurs scannent un tel code, ils sont dirigés vers un site de phishing ou invités à une attaque de logiciel malveillant.
- Attaques de phishing par code QR sur les e-mails : les codes QR peuvent également être déployés dans les e-mails dans le cadre d'une attaque d'ingénierie sociale plus large, car ils sont plus susceptibles de violer la protection standard des e-mails. Lorsque les utilisateurs scannent leurs codes, ils sont guidés par un processus qui les oblige finalement à entrer leurs informations d'identification ou d'autres informations.
- Vol financier : les fraudeurs peuvent profiter de la popularité des codes QR comme méthode de paiement. Ils peuvent placer des codes QR comme mode de paiement, mais faire envoyer votre argent sur le mauvais compte ou même faire envoyer un montant plus élevé que nécessaire à partir de votre compte.
- Clickjacking à l'aide de codes QR : une autre tactique consiste à diriger les utilisateurs qui scannent un code QR vers un site Web d'apparence légitime qui contient du contenu exploitable, tel que des boutons qui encouragent les visiteurs à cliquer. Dans la plupart des cas, ils entraînent généralement le téléchargement de logiciels malveillants sur votre appareil ou d'autres formes de violation de la vie privée.
Pourquoi les bonnes pratiques de sécurité du code QR sont-elles importantes ?
Pour rester en sécurité, assurez-vous que le code QR que vous scannez est sûr. La bonne nouvelle est qu'il y a quelques points à surveiller lors de la numérisation d'un code QR. Ceux-ci garantissent que vous n'êtes pas vulnérable aux piratages ou à la fraude et minimisent la mesure dans laquelle vous êtes exposé aux cyberattaques.
Tout en veillant à ce que la sécurité numérique de votre public soit primordiale, vous pouvez également vouloir faire un effort supplémentaire pour vous assurer que les utilisateurs peuvent facilement scanner vos codes. Enfin, vous avez besoin du plus grand nombre de personnes pour scanner votre contenu numérique via des codes QR. Cela ne peut se produire que lorsque votre public cible est convaincu que le code qu'il est sur le point de scanner est sûr et sécurisé.
Meilleures pratiques de sécurité du code QR
Les problèmes de sécurité du code QR peuvent détourner les utilisateurs ou les exposer à des vulnérabilités. Examinons quelques bonnes pratiques pour les utilisateurs et les entreprises afin d'assurer la sécurité du code QR.
Bonnes pratiques pour les utilisateurs
Voici quelques bonnes pratiques à suivre en tant qu'utilisateur souhaitant scanner un code QR :
- Vérifiez le code pour les éléments suspects. Y a-t-il des textes de cadre douteux autour du code ? Le logo apparaît-il légitime au milieu du code ? Le design du code correspond-il aux couleurs et aux spécifications de la marque ? Ce sont toutes des questions valables auxquelles réfléchir avant de scanner le code QR.
- Évitez d'utiliser des applications tierces pour scanner le code QR. Aujourd'hui, tous les smartphones sont dotés d'une capacité de lecture de code QR native dans l'application de l'appareil photo elle-même.
- Vérifiez l'URL. Chaque fois que vous scannez un code QR avec l'application appareil photo sur votre smartphone, vous obtenez une notification contextuelle à l'écran immédiatement après que le capteur de code QR de l'appareil photo a capturé le code. L'invite de confirmation affiche l'URL que vous visiterez. Vous devez vérifier et vérifier l'URL pour les signes malveillants et ne cliquer que sur elle est certifiée SSL (a https:// devant le lien) et est cryptée.
Bonnes pratiques pour les entreprises
Instiller la confiance dans la sécurité de vos codes QR auprès de votre public peut augmenter les taux de numérisation et de conversion. Voici quelques conseils et bonnes pratiques à suivre.
Personnalisez votre code QR
Intégrez chaque aspect de votre kit de marque unique dans la conception du code QR et utilisez des modèles de code QR cohérents. Cela inclut l'ajout de couleurs, de motifs dégradés, de logos d'entreprise et de bordures personnalisées, le tout en accord avec l'identité de votre marque. S'assurer que la page de destination à laquelle le code QR renvoie instantanément correspond également à votre marque peut être un énorme avantage.
Assurez-vous que votre code contient votre marque personnalisée ou le domaine de votre entreprise si vous en avez la possibilité. Les générateurs de code QR en ligne gratuits vous permettent de créer des codes QR statiques liés à votre domaine. Et trop souvent, ces codes ont des URL contenant de nombreux caractères alphanumériques, ce qui décourage fortement un utilisateur susceptible d'être réellement intéressé par votre contenu numérique lié à QR.
SSL-certifier votre page Web
Assurez-vous que le site Web auquel renvoie le code QR est certifié SSL et crypté. Les certificats SSL signalent à vos utilisateurs que leurs données sont en sécurité et empêchent les attaquants de créer de fausses versions de votre site Web. Les utilisateurs verront désormais "http://" ou autre chose que "https://" comme signes d'avertissement. Les navigateurs de sites Web marquent les sites Web sans certificat SSL comme "non sécurisés".
Investissez dans un générateur de code QR conforme
Votre générateur de code QR doit être conforme au Règlement général sur la protection des données (RGPD) et aux autres lois applicables en matière de confidentialité des données. Si votre partenaire de code QR est conforme au RGPD, il doit protéger vos données des étrangers ou d'autres tiers.
Un générateur de code QR sécurisé offre toujours une protection de sécurité au niveau de l'entreprise avec cryptage des données, limitant l'accès aux informations personnelles et la confidentialité des données.
Optez pour la protection par mot de passe QR
Si des données sensibles sont partagées via le canal du code QR, accordez l'accès au contenu crypté à un groupe de personnes sélectionné et à personne d'autre. Le verrouillage par mot de passe vous permet de le faire, en particulier lors de l'échange d'informations confidentielles telles que des relevés bancaires et des documents d'identification personnels essentiels.
Associez-vous à un fournisseur de solutions de code QR certifié
Votre fournisseur de solution de code QR doit être certifié SOC-2 Type-1 et SOC-2 Type-2. La certification SOC 2 a été développée par l'American Institute of Certified Public Accountants comme méthode d'évaluation de la gestion sécurisée des données par les entreprises. Partager la même chose avec vos clients constituera une forte approbation de la sécurité de votre code QR lorsqu'il sera scanné.
Utiliser un générateur de code QR compatible SSO
Cela vous aidera si votre générateur de code QR dispose d'une connexion à authentification unique (SSO). En tant qu'entreprise cherchant à impliquer votre public via des codes QR, vous pouvez être impliqué dans leur création et leur modification à grande échelle. Pour garantir une sécurité à haut volume, vous avez besoin d'une capacité SSO afin que seuls ceux qui ont l'autorisation d'accéder à la plate-forme de gestion de code puissent réellement l'utiliser.
À mesure que l'adoption du code QR augmente, la nécessité d'assurer une meilleure sécurité du code QR augmente également
Pour réitérer, rien n'est intégré dans les codes QR qui les rend plus dangereux que l'utilisation d'un navigateur Web ou d'une application sur votre smartphone. Cependant, les codes QR peuvent être intelligemment modifiés en tant que canal hors ligne vers en ligne pour les cybercriminels et autres acteurs malveillants.
Il est essentiel de s'assurer que les meilleures pratiques de sécurité du code QR sont suivies à la fois du point de vue de l'utilisateur et de l'entreprise. Comme mentionné précédemment, les utilisateurs doivent rechercher des moyens de déterminer la sécurité et l'authenticité d'un scan de code QR. Et pour les entreprises, communiquer et signaler l'authenticité de leurs codes est essentiel pour obtenir plus de scans, de clics et, finalement, de conversions.
La gestion et la protection des identités numériques sont aussi importantes que toute autre forme de sécurité. En savoir plus sur la gestion des identités et des accès.