L'arnaque numérique la plus réussie est celle qui est liée à la commodité. Les codes QR, qui sont utilisés pour tout, du partage des contacts à la réalisation des paiements, sont un vecteur idéal. En Inde, qui gère le plus grand système de paiement numérique au monde, les escroqueries par le code QR sont devenues une nuisance régulière.
J'entends régulièrement des propriétaires de magasins de détail et des chauffeurs de taxi sur la façon dont ils ont été dupés à l'aide d'un faux code ou application QR, et similaire est l'histoire des acheteurs en ligne. Les escroqueries QR parking sont également répandues aux États-Unis et au Royaume-Uni, mais voler quelques dollars n'est pas le seul risque.
C'est le vol de données sensibles, y compris les détails financiers, qui a même mis les géants bancaires en alerte. « Si vous avez scanné le code QR et entré vos informations d'identification, comme votre nom d'utilisateur et votre mot de passe, dans un site Web, changez immédiatement votre mot de passe », a déclaré la Commission fédérale du commerce américaine dans une note d'alerte il y a à peine quelques semaines.
La Suisse National Security Agency a également émis un avertissement concernant les mauvais acteurs envoyant des codes QR physiques par courrier aux portes pour voler des mots de passe, un cambriolage communément appelé Quishing, abréviation du phishing QR. Bien sûr, nous ne pouvons pas nouer la pile technique QR sur de tels risques, sauf pour sensibiliser, mais nous pourrions enfin avoir une solution des experts de l'Université de Rochester.
Quelle est la solution?
La technologie en question est un code QR (SDMQR) à double modulation (SDMQR). Il arrête le potentiel d'escroqueries avant même que les utilisateurs ne soient emmenés sur un faux site Web ou un référentiel Web frauduleux, en signalant le risque dès que le code est analysé. Mais avant d'entrer dans les détails techniques, permettez-moi de décomposer les plus grands avantages de ce chemin sécurisé vers la technologie du code QR:
- Il est auto-authentifiant, ce qui signifie que le code QR a déjà la signature numérique vérifiée de l'entité derrière, qui est vérifiée chaque fois que vous la scannez sur votre téléphone.
- En plus d'emmener les utilisateurs aux sites Web, ils peuvent également être utilisés pour les paiements et encoder des informations sécurisées, entre autres scénarios connexes.
- La vérification du code QR se produit sur dispositif. Vous n'avez pas besoin d'une connexion Internet pour vérifier si elle est légitime ou frauduleuse.
- Il ne nécessite aucune mise à jour d'application ou logiciel spécialisé pour les applications de numérisation de code QR existantes.
- Le système ne crée aucun délai ou latence opérationnel indésirable.
- Ces codes QR sécurisés peuvent être personnalisés pour répondre aux exigences de conception, sans entraver leurs garanties.
- Il n'a pas besoin d'une caméra pour smartphone haute résolution pour fonctionner. Celui dans votre poche fera très bien pour scanner les codes SDMQR.
- Ces codes QR peuvent également avoir des couleurs, afin que les marques puissent les personnaliser pour une meilleure reconnaissance de l'identité.
- Les machines existantes qui lisent les codes QR peuvent également lire les codes SDMQR, avec un système d'avertissement en remorque.
La meilleure partie de cette approche est qu'un utilisateur moyen n'aura pas à passer par des cerceaux techniques pour protéger son intérêt. Pour les entreprises qui comptent sur les codes QR et souhaitent protéger leur entreprise, elles doivent simplement enregistrer l'URL de leur site Web officiel et intégrer leur signature dans le code.
Les codes SDQMR semblent différents des codes QR traditionnels. Au lieu de l'empreinte du bloc de style pixel grand public, ils utilisent des ellipses. L'équipe derrière la pile technologique a déposé un brevet et a déjà obtenu une subvention I-Corps de la National Science Foundation pour explorer le remplacement des codes de barre traditionnels par des codes SDMQR.
En allant un peu plus loin, l'équipe explore également si l'utilisation des couleurs peut rendre ces codes plus polyvalents. Avec la polyvalence, ils signifient utiliser le même code QR pour guider les utilisateurs jusqu'à trois directions différentes ou des destinations Web.
Quel est le pipeline technologique?
«Les codes SDMQR offrent une protection frontale proactive contre le quais avant que le lien ne soit même accessible», explique le document de recherche publié dans le IEEE Security & Privacy Journal. Comme mentionné ci-dessus, nous parlons simplement d'une rénovation, et non d'un cadre qui renverserait l'ensemble de l'écosystème QR.
L'ensemble du processus repose sur deux composants. Un message principal (comme l'URL d'une entreprise) et une signature cryptographique correspondante de ce message. Cette signature cryptographique est générée et détenue par une entreprise en possession d'une clé privée numérique. Un codeur DMQR intègre les messages primaires et secondaires dans le code SDMQR.
Si vous regardez le code, vous remarquerez des motifs elliptiques en noir et blanc. Selon les chercheurs, les modèles de variation cachent le message principal, tandis que les données d'orientation portent le message secondaire.
Une fois le code scanné sur un téléphone, un décodeur DMQR décompose les messages primaires et secondaires pour la vérification. À ce stade, la clé publique de l'entreprise (qui a créé le code) effectue une vérification algorithmique pour vérifier si le message secondaire cryptographique correspond au contenu du message primaire non crypté.
Considérez-le comme une poignée de main secrète en deux étapes entre les agents d'espionnage.
Le plus grand défi n'est pas la pile technologique, mais la création d'un système centralisé où toutes les entreprises peuvent se réunir et effectuer l'enregistrement nécessaire pour créer des codes SDMQR uniques. L'idée est de créer une clé publique pour ces entités légitimes, ce qui est également la seule chose dont un lecteur de code SDMQR requiert.
C'est là que les fabricants de systèmes d'exploitation de smartphones – alias Google et Apple – peuvent aider à créer un avenir plus sûr. Leur participation en tant que signataires centraux signifierait qu'un smartphone ou une tablette ne nécessiterait que leurs deux clés publiques pour authentifier rapidement les codes SDMQR.
Puisqu'ils offrent des cadres de numérisation de code QR intégrés pour iOS et Android, les utiliser comme signataires centraux est la meilleure voie à suivre. Sur le plan technique, leur participation faciliterait considérablement le processus de vérification, car les lecteurs de code SDMQR n'auraient qu'à stocker que deux clés publiques et à faire le travail.
Il y a certainement un précédent pour cela. Google permet aux entreprises de s'inscrire pour obtenir un badge et une icône vérifiées dans Gmail, afin que les utilisateurs ne tombent pas dans les e-mails d'usurpation des e-mails essayant de se faire passer en tant que message légitime.
Pourquoi cette approche est-elle importante?
Quelques propositions techniques en bonne santé sont apparues au cours des dernières années pour résoudre le problème des escroqueries du code QR, mais ils sont tous arrivés avec leur juste part des limitations. Le système SDMQR résout quelques obstacles fondamentaux clés pour faciliter l'adoption sans aucun problème technique.
Il prend une approche transparente de l'auto-authentification et ne nécessite aucune mise à jour logicielle des applications de lecteur de code QR installées sur le téléphone d'une personne. Ils fonctionneront très bien avec le QR régulier et les codes SDMQR plus sécurisés.
Sinon, les développeurs ou les fabricants d'OS tâches pour déployer une mise à jour synchronisée à l'échelle de l'écosystème ne seraient pas seulement un défi massif, mais prendrait également son propre temps. Le système de signature central unique, qui ne nécessite qu'une seule clé pour la vérification. Et la meilleure partie est que les utilisateurs de smartphones n'auront même pas besoin d'une connexion Internet pour que les protocoles de vérification se lancent dans l'action.
Les efforts précédents pour créer des systèmes de code QR sécurisés font leur foi dans les clés cryptographiques pour les générateurs de code QR afin d'authentifier l'identité. Quelques autres idées impliquaient des paires de clés publiques individuelles, ce qui signifie que l'appareil mobile d'un utilisateur devait transporter (ou enregistrer localement) les clés publiques pour toutes les parties qui se sont inscrites à la création de codes sécurisés pour l'authentification et la vérification d'identité.
«En utilisant notre protocole proposé, les appareils mobiles peuvent déterminer si les informations sont jugées authentiques par le signataire, immédiatement sur l'appareil mobile lui-même», explique l'équipe du document de recherche.
Un autre avantage est que la technologie inhérente à modulation à double modulation peut également être appliquée aux codes à barres, ce qui signifie que même les codes qui sont utilisés pour les laissez-passer d'embarquement des compagnies aériennes et le pcackage de messagerie peuvent profiter du cadre.
Le plus grand bénéficiaire des codes SDMQR serait les institutions bancaires. Les chercheurs soutiennent que leur déploiement dans les systèmes de paiement de stationnement peut protéger de manière fiable les utilisateurs contre les cibles par des attaques de phishing basées sur QR ainsi que par des pertes financières.
Ce dernier aspect s'applique également à tous les scénarios où les gens rencontrent souvent des codes QR plâtrés dans des lieux publics. Cela comprend l'accès Wi-Fi, l'ouverture d'un menu d'un restaurant et la relayation d'un emplacement commercial, entre autres. La prise Wi-Fi est une menace bien connue qui se dérobe rapidement dans le chaos total pour un utilisateur moyen, donc toute solution pour brancher cette vulnérabilité devrait trouver l'adoption de masse.
Le ballon est maintenant dans la cour de Google et d'Apple. Ils fournissent déjà la sauce logicielle de niveau OS pour décoder les codes QR et barre. Tout ce qu'ils ont à faire est d'obtenir l'opinion et d'implémenter la prise en charge du nouveau cadre SDMQR, et de protéger les intérêts des utilisateurs de smartphones à travers le monde.
