Méfiez-vous des codes QR avec l'application caméra de l'iOS 11

Méfiez-vous des codes QR avec l’application caméra de l’iOS 11

Un chercheur en sécurité a publié une faille dans la dernière version d'iOS qui pourrait tromper les utilisateurs d'iPhone en leur faisant visiter un site Web malveillant via la capture de codes QR par la caméra.

Un chercheur en sécurité a publié une faille dans la dernière version d’iOS qui pourrait tromper les utilisateurs d’iPhone en leur faisant visiter un site Web malveillant via la capture de codes QR par la caméra.

Un chercheur en sécurité a publié une faille dans la dernière version d’iOS qui pourrait tromper les utilisateurs d’iPhone en leur faisant visiter un site Web malveillant, plutôt qu’un site sûr.

Avec iOS 11, Apple a introduit une nouvelle fonctionnalité à son application caméra intégrée, donnant aux utilisateurs la possibilité de scanner les codes QR et d’accéder à leur contenu (comme les adresses url). Auparavant, il était nécessaire d’installer une application tierce pour ce faire.

En d’autres termes, le simple fait de pointer l’application caméra de votre appareil iOS sur le code QR ci-dessous vous invitera à visiter www.welivesecurity.com.

code QR

code QR

Tout semble normal, n’est-ce pas ?

Mais comme l’explique le chercheur en sécurité Roman Mueller, « quelques minutes » lui ont suffi  pour trouver un moyen de construire un code QR qui affichera un domaine d’apparence insoupçonnée dans la notification, mais qui amènera un utilisateur non averti à une URL entièrement différente dans Safari.

Pour prouver son point, Mueller a généré un code QR contenant l’url : https://xxx\@facebook.com:443@infosec.rm-it.de/

Lorsqu’il est analysé dans iOS 11, une notification indique aux utilisateurs qu’ils sont sur le point de visiter le site facebook.com, mais en réalité, ceux-ci sont dirigés vers le site Web de Mueller à l’adresse https://infosec.rm-it.de/

code QR

Cette démonstration est évidemment inoffensive – mais suffit pour montrer comment n’importe qui peut créer un code QR qui prétend être une chose, mais qui mène en fait un utilisateur non averti sur un site d’hameçonnage, ou une page Web contenant un exploit malveillant.

Mueller a signalé cette  vulnérabilité à Apple le 23 décembre 2017. Au moment d’écrire ces lignes, celle-ci n’a toujours pas été corrigée. Mueller, jugeant qu’il avait donné suffisamment de temps à Apple pour résoudre le problème, a maintenant rendu publique sa découverte – et espère vraisemblablement que les manchettes qui en résulteront inciteront Apple à publier un correctif le plus tôt possible.

À mon avis, ce n’est pas là la vulnérabilité la plus grave jamais découverte. Après tout, à quelle fréquence le consommateur type scanne-t-il un code QR? Je dirais que ça n’arrive pas souvent – ce qui limite sérieusement l’impact que toute personne exploitant cette vulnérabilité pourrait avoir.

Malgré tout, le code d’Apple ne devrait pas se comporter de cette façon et une faille si facilement reproduite par quiconque ayant accès à un générateur de code QR devrait être corrigée rapidement – ne serait-ce que pour souligner le sérieux d’Apple quant à la qualité de son logiciel.

Espérons qu’une nouvelle version d’iOS, incorporant un correctif pour ce problème ainsi que pour d’autres bogues de sécurité, sera bientôt disponible.

Discussion