A quoi servent les QR codes ? Depuis des années, les QR codes sont devenus un symbole de la branchitude, la promesse d’un accès immédiat au nirvana de l’internet. De plus en plus de boutiques, de produits, disposent d’une interface QR code, même sur les cartes de visite, on peut enregistrer son adresse personnelle associée à un QR code. Dans les boutiques, difficile de ne pas échapper aux demandes de renseignements qui via un QR code vous donneront accès ensuite à un cadeau promotionnel. smart-business-card-ramLa frustration face à ces mosaïques noires et blanches est latente et si l’on demande à ses amis ou collègues qui  disposent des mobiles aptes à saisir ces codes, s’ils utilisent leur logiciel de lecture de QR code, personne ou presque ne s’en sert, passée(s) la ou les premières utilisations.

En général, après avoir photographié le QR code, on obtient l’ouverture d’un navigateur Web à l’adresse donnée par le code. Mais on peut aussi réaliser un appel d’un numéro de téléphone, ou recevoir un SMS de la société émettrice, enregistrer un contact dans le répertoire ou un évènement dans le calendrier, localiser un magasin sur une carte. Tout paraît idyllique. Au début des années 90, c’est dans l’industrie qu’un sous-traitant de la société Toyota perfectionna le procédé des Code-barres en incluant une deuxième dimension à la représentation des données. C’est ainsi que l’on a obtenu le QR code (Quick Response code). Limité par l’interface des code-barres qui nécessitait un scan par un faisceau laser, le code QR entraîna l’utilisation d’un capteur d’image couplé à un processeur pour déchiffrer le code bidimensionnel. Ce n’est qu’à la fin des années 2000 que les premiers téléphones se mirent à disposer de caméras proposées de ce service en plus. Désormais, il sont partout ; tous les mobiles sous Android, iOS ou Windows phone disposent de scanner 2D et des logiciels adéquats.

Derrière les millions de mobiles des dizaines de milliers de tentatives de vols

Mais cette multiplication a fait bondir les tentatives d’hameçonnage et vols ; une calamité qui va croissante, selon les éditeurs d’outils de sécurité comme Symantec, Kaspersky ou Check Point. Capture d’écran 2015-12-15 à 16.42.15Pour eux, les QR code sont devenus de véritables pièges. Pas facile d’identifier les auteurs. Rien que sur Google Play ce sont près de 250 lecteurs de QR codes qui sont disponibles. Le plus connu est QR Code scanner Unitag connu pour être assez sûr. Le problème nouveau est que l’on trouve de faux QR codes en nombre croissant dans les lieux publics (métro, aéroports, centre-ville) : des organisations ayant pris la fâcheuse habitude de coller des codes QR malveillants en lieu et place des codes QR officiels sur des publicités, affiche ou affichage officiels.

Heureusement rares sont les personnes qui s’en servent, mais ceux qui ont récupéré des virus ou se sont fait piratés leurs coordonnées personnelles se plaignent que personne ne les ai prévenus. Personne ou presque ne se sert des lecteurs de QR code et les rares fois où cela marche, c’est généralement pour récupérer une publicité. Mais de plus en plus de musées utilisent de QR codes pour alimenter les mobiles de visiteurs à la manière des audio guides. Mais c’est dans la pub que les utilisations sont les plus nombreuses.

Une bouteille un peu décalée

En Allemagne, un acheteur de ketchup en juin dernier a ainsi voulu profiter d’une promotion en scannant le QR d’une bouteille. Mal lui en a pris, car non seulement l’adresse n’était plus valable, car la promotion était terminée, mais en plus il fut pris en charge par un site pornographique, qui était désormais lié au QR code sur la bouteille Heinz. Le fabricant de Ketchup contacté par Facebook s’est confondu en excuses et s’est même fait de la promotion à moindres frais en publiant son  mea culpa (…) ketchupsur CNN News. Le site porno, peut-être reconnaissant pour la publicité gratuite d’une bouteille de ketchup aurait offert un an de service gratuit sur son site… Partout, dans un super marché, où que vous regardiez, il y a un code QR « en attente d’être numérisé ».

Beaucoup de gens ont des smartphones, qui pourraient scanner les codes QR, mais ils ne le font pas et dans 50 % des cas on doit le faire avec une application spécialisée. Mais seulement 19 % des consommateurs selon une étude menée par Emarketers ont déjà numérisé un code QR. S’il faut dans un premier temps télécharger une application avant de scanner le code QR, cela devient un obstacle inutile. Pourquoi ne pas rejoindre alors directement l’application sur le Web ? Mais le problème des QR Code c’est qu’ils sont très lents sur les mobiles en particulier en comparaison avec des appareils pro. On a souvent l’impression que l’on aurait plus vite fait de saisir une adresse avec un seul doigt. Donnée pour 2 secondes, c’est en général un temps de réponse de 4 à 6 secondes qu’il faut attendre pour obtenir l’adresse ou le document désiré. L’avantage supposé d’un QR code était de gagner du temps, à la vérité, on peut en douter.

A peine intéressant pour le fournisseur de QR code aussi

VViKzZL

un exemple de QR code malfaisant

Si l’on se place du côté fournisseur de renseignements via le QR Code et si on le compare à d’autres systèmes d’échanges, tous les autres systèmes sont à double sens d’un point de vue infos. Ainsi si vous utilisez un système de réponse en  direct par SMS, vous gagnez au moins le numéro de téléphone du client, ré-exploitable dans le futur. Si vous utilisez le mailing, vous obtenez son adresse email, et ainsi de suite. Avec les codes QR, vous n’obtenez rien. Chez Check Point, l’éditeur de logiciels de sécurité, Julien Moreau, un expert de l’équipe mobile, montrait en novembre dernier Certifi-gate, sur l’os Android, une application présentée pour la première fois durant la Black Hat, la réunion de sécurité de RSA, en août dernier.

L’outil permet aux mobiles d’être pris en main à distance. La proportion de mobiles Android qui échappe à cette opération varie de 4 à 14 % ; seul Sony avec 98 % fait exception.L’application paraît simple, celle-ci est liée à la saisie d’un QR code qui permet de télécharger une application “dédiée” à une exposition ou un séminaire, sur un site qui ressemble à l’original. L’application et le site associé permettent surtout de prendre la main, de manière  » industrielle » sur tous les mobiles ayant chargé le QR code tout en offrant les mêmes services. Pour chaque appareil, il permet de faire un “log in” avec un logiciel d’administration à distance comparable à pcAnywhere ou à Rsupport. Bref le QR code n’est pas la panacée annoncée.