Découvrez une limite de l’authentification via le code QR

By | July 30, 2016

Découvrez une limite de l'authentification via le code QR

Les codes QR sont un type de code barres bidimensionnel qui à l’aide des smartphones, webcams et autres lecteurs dédiés à la lecture de ces codes, lient directement un utilisateur à des actions. Il peut s’agir d’actions comme l’envoi de SMS ou d’email, la connexion vers des sites Web, des numéros de téléphone et plus !
Par exemple pour vous connecter à Homputersecurity.com, à l’aide d’une application (Red Laser, Barcode Scanner ou QR Scanner), vous n’aurez qu’à scanner ce code ci-dessous.

Découvrez une limite de l'authentification via le code QR

Les codes QR ou “Quick Response” peuvent aussi servir à authentifier des utilisateurs à un site Web sans qu’ils aient à insérer leurs références.
Des services comme WeChat, Line and WhatsApp utilisent cette technologie.
A travers votre application Whatsapp, il existe un scanner que vous utiliserez pour scanner le code qui se trouve sur le site Web de l’application (web.whatsapp.com). Et cela vous permettra d’utiliser votre application mobile sur l’ordinateur sans que vous ayez insérez quoi que ce soit. Votre mobile vous authentifiera sur les serveurs de Whatsapp.

Toutefois, Dans une video demo, le chercheur égyptien Mohamed Abdel Basset Elnouby a démontre une faille liée à ce type d’authentification.
Dans sa demo(video ci-dessous), il explique que tout ce dont a besoin un hacker c’est de créer un site d’hammeçonage et amener sa victime à scanner son mobile sur le faux site pour ainsi mener une attaque de l’homme du milieu (MitM). Après cela, le hacker aura un accès total au compte de la victime et pourra voir ses conversations.
Dès lors, des informations comme la localisation GPS precise de la victime, son type d’appareil, le numéro IMEI, sa carte SIM et autres informations sensibles sont accessibles par le hacker.

Pour éviter les sites d’hammeçonage, quelques techniques sont décrites dans ces articles :
_ Comment savoir si un site est fiable avant d’y accéder?
Comment rester sécurisé online avec les empreintes HTTPS?

Pour en savoir un peu plus sur le QRLJacking, je vous invite à visiter ces pages:
_ OWASP,
_ GitHub.

mdestroy

Sources:

SecurityWeek

Vidéo démo QRLJacking

Leave a Reply

Your email address will not be published. Required fields are marked *