Effet induit de la crise sanitaire, le retour en grâce du QR Code. Les usages ont été nombreux. Les étendre, les mondialiser ? Ce n’est pas sans danger.

Au cours du dernier G20, le président chinois Xi Jinping a proposé l’instauration d’un «dispositif mondial» reposant sur la technologie du QR code. Objectif annoncé : relancer les voyages transfrontaliers. Les défenseurs des droits de l’homme mettent en garde contre une dérive sécuritaire.

L’ère de la COVID-19 aura permis un retour improbable : celui des QR Code. Près de 25 ans après sa naissance, ce code bidimensionnel a profité d’un coup de jeune à la faveur de la pandémie et des mesures d’hygiène. Différents pays l’exploitent pour empêcher la propagation du virus.

Passeport

La Chine n’en est pas à son coup d’essai. Selon le dispositif mis en place depuis février, les résidents chinois se voient attribuer un code sanitaire inspiré d’un feu de circulation. Le vert permet de voyager librement, tandis que l’orange (ou le rouge) impose une quarantaine de deux semaines. Ces codes reposent sur un mélange de big data et d’informations consignées par les utilisateurs en personne.

Cette technologie a été développée par la fintech chinoise Ant Financial. Elle est disponible via son application principale Alipay. Egalement sur WeChat, propriété de Tencent, le concurrent d’Alipay.

Cheval de Troie

Les défenseurs des droits de l’homme sont vent debout contre l’utilisation massive de ces codes. A raison, ils mettent en garde contre de possibles usages détournés. Dans un tweet, Kenneth Roth, directeur exécutif de Human Rights Watch, a réagi aux dernières déclarations de Xi Jinping. «Un focus initial sur la santé pourrait facilement devenir un cheval de Troie en faveur d’une surveillance politique plus importante. Le risque ? Une exclusion, tout simplement, dans l’esprit du crédit social chinois».

En Europe, les usages ont été plus limités. Bars, restaurants, salles de spectacles, lieux de loisirs et de cultures ont trouvé dans les QR Codes un moyen pratique d’éviter l’échange de documents et autres supports susceptibles de véhiculer le coronavirus.

QR code trafiqué

Le problème, c’est que ces QR codes ne sont pas aussi inoffensifs qu’ils en ont l’air. Des cybercriminels n’ont aucune difficulté à les masquer par des QR Codes trafiqués menant directement à des sites infectés. Mais aussi à des sites de phishing ou des URL de téléchargement de fichiers malveillants.

La menace est sérieuse, notamment pour les entreprises. Et même lorsque les utilisateurs disposent de terminaux professionnels, ils ont tendance à utiliser ces derniers hors des contextes professionnels. C’est le cas dans les restaurants le midi pour flasher les QR codes des cartes.

Confusion

MobileIron s’attend à un assaut d’attaques via les QR codes. 71 % des personnes interrogées par l’éditeur ne font pas la distinction entre un QR code légitime et un QR code malveillant, alors que 67 % affirment faire la distinction entre une URL légitime et une URL malveillante.

Et si 67% des répondants savent que les QR codes peuvent ouvrir une URL, ils sont moins conscients des autres menaces. Typiquement, seuls 19 % des répondants savent que le fait de balayer un QR code peut créer un e-mail. Seuls 20 % savent qu’un simple flashage de code peut lancer un appel téléphonique et 24 % savent qu’il peut créer un message SMS…