• Pas bien, ça... Pas bien !

    Par bedeau dans Web (vu sur le...) le 10 Août 2021 à 15:45

    AVERTISSEMENT 

    Personnellement, je n'y connais rien en informatique ou en virus (du même nom, mais les autres non plus, n'est-ce pas...) et la présence d'un QR-code, comme dit le journaliste sur : mes colis de livraison, mon billet de train, ma carte de parking ou mon ticket de concert me laisse indifférent. Bien sûr. Comme vous. Comme tout le monde...

    Si je mets ça là, c'est parce-que je trouve que c'est rigolo. Rigolo, mais pas bien... 

    Si on en croit le magasine "01net" (anciennement "l'Ordinateur individuel") qui ne doit pas raconter que des sornettes non vérifiées concernant l'informatique :

     

    Des hackers font planter des lecteurs de codes-barres avec un QR-code 

    "Ces appareils ne filtrent pas toujours l’information qu’ils reçoivent. Certains petits farceurs ont eu l’idée d’encoder la chaîne EICAR qui est utilisée pour tester les antivirus. Une idée simple, mais efficace."

     Pas bien, ça... Pas bien !

    Autocollants réalisés par le hacker Richard Henderson

    Notre quotidien est de plus en plus rempli de codes-barres et de QR-code. On les trouve sur les produits de supermarché, les paquets de livraison, les billets de train ou d’avion, les tickets de concert, les cartes de parking, etc. Et bien sûr aussi sur nos justificatifs de vaccination Covid-19. Et forcément, on est de plus en plus confronté à des lecteurs de codes.

    Le hic, c’est que ces appareils ne filtrent pas toujours très bien l’information qu’ils reçoivent. Ainsi, à l’occasion de la conférence DEF CON 29, le hacker Richard Henderson a montré qu’il était possible de faire planter certains lecteurs en leur montrant un code QR qui encode la chaîne de caractères suivante :

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

    Ces 68 caractères sont utilisés dans l’industrie informatique pour tester le bon fonctionnement des antivirus. Dès qu’un tel logiciel tombe dessus, il pense qu’il est en présence d’un malware et va procéder à son élimination : mise en quarantaine, redémarrage, blocage logiciel, etc. Cela dépend du système et de la politique de sécurité sous-jacente. Généralement, cette chaîne est insérée dans un fichier appelé "fichier de test EICAR". Mais rien n’interdit de l’intégrer sous un autre format, comme le code QR.

     

    (en anglais, non sous-titré, et 45 min. quand même !)

    Durant sa conférence, M. Henderson a montré plusieurs vidéos et images de plantage "que des amis lui ont transmis". Confronté à un QR-code "EICAR", un lecteur de codes-barres d’une grande chaîne de supermarché américaine devient ainsi inopérant. Même résultat pour un lecteur de passeport d’un aéroport, avec en prime une énorme alerte en rouge. Et à la sortie d’un parking, une caisse automatique tombe totalement en rade, bloquant la sortie des automobilistes pendant au moins 20 minutes.

    Comment est-ce possible ? Selon M. Henderson, les lecteurs de codes-barres sont en réalité multifonctionnels et savent également lire les codes QR. L’information scannée arrive sur la base de données d’un serveur qui tourne généralement sous Windows et sur lequel est -par conséquent- installé un antivirus. Et c’est là que le drame arrive. "Les gens qui créent ces systèmes n’imaginent pas de quelle façon les gens peuvent utiliser leurs machines", souligne M. Henderson, qui s'est d'ailleurs commandé tout un pack d'autocollants avec le fameux code QR EICAR.

    Des actions à ne pas imiter

    D’autres attaques sont imaginables, estime-t-il, comme les lecteurs de prix dans les supermarchés, les scanners de bagages dans les aéroports ou les lecteurs de plaques minéralogiques. Mais dans ces derniers cas, difficile de savoir si l’on provoque un plantage ou pas. Les organismes qui en sont responsables ne risquent pas d’en parler.

    De toute façon, il n’est pas recommandé d’imiter ce genre d’action. Faire planter volontairement un lecteur de code-barre pourrait être considéré comme un délit, au regard de l’article 323-1 du Code pénal. "Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 150 000 euros d’amende", peut-on lire dans la loi. Sachez toutefois qu’il est possible d’acheter de t-shirts avec un code QR EICAR imprimé dessus. Après tout, s’il y a des caméras de surveillance qui scannent des codes QR, ce n’est pas votre problème… 

    Gilbert KALLENBORN  

    le 10/08/2021 à 09h49 

     

    MISE AU POINT

    Il est possible que certains, je crois en connaitre... pensent vouloir utiliser ce "QR-code EICAR" pour tromper ou endommager les lecteurs de passe-sanitaire...

    Personnellement, je n'en verrais pas l'utilité : selon une enquête de RTL du même jour, votre QR-code ne révèle aux personnes autorisées et compétentes que votre nom, votre prénom et votre date de naissance ainsi que la validité  de votre non-contagion...

    tout ça pour ça... des petits carrés par centaines ou par milliers...

    Pas bien, ça... Pas bien !

    ... simplement pour mon nom et mon prénom !

    ( ou alors, RTL s'est foutu de ma gueule...? )

     

     

     

     

     

     

     

     

    « "Temps réel..." @ "Provax" & Co »

    Tags Tags : , , , ,

  • Commentaires

    1
    Fran coise
    Mardi 10 Août 2021 à 18:43
    Fran coise

    Ah ben ça, alors ! ..

    Répondre
      • bedeau Profil de bedeau
        Mardi 10 Août 2021 à 20:22
        bedeau

        @ Fran coise...!

        Eh oui, hein...?

        Ca doit être rigolo, mais c'est interdit.

        Et pi, d'abord, on sait pas où trouver ces fameux QR-codes créés par HENDERSON le hacker ou les amis qui lui ont transmis des trucs (j'ai rien trouvé sur Amazon)...

        A moins que la chaine de caractères présentée (et qu'on retrouve d'ailleurs sur Wikipédia) puisse être utilisée pour générer un QR-code avec un "générateur de QR-code" qu'on doit pouvoir trouver sur Google si on cherche... mais je le répète : c'est interdit...

        IN-TER-DIT...! (je ne le répéterai pas)

         

      • Fran coise
        Mardi 10 Août 2021 à 22:56
        Fran coise

        @ Bedeau
        Oui, toutafé,, interdit ! pas bieeen

      • bedeau Profil de bedeau
        Mercredi 11 Août 2021 à 11:31
        bedeau

        @ Fran coise...!

        A la limite, c'est même pas bien d'avoir repris cet article qui pourrait donner des idées à des malfaisants peu respectueux des valeurs républicaines.

        ...

         

    2
    Pangloss
    Mardi 10 Août 2021 à 19:55

    Je suis largué.

    Répondre
      • bedeau Profil de bedeau
        Mardi 10 Août 2021 à 20:55
        bedeau

        @ Pangloss...!

        En fait, si je (ou un autre, un malfaisant) remplaçais le QR-code qui figure sur mes produits de supermarché, sur mon colis de livraison, sur mon billet de train ou sur ma carte de parking (etc...) par l'un des QR-codes du hacker, l'appareil chargé de la "lecture" ne lirait plus la nature et le prix de mon produit de supermarché, la date d'envoi de mon colis et mon adresse de livraison, les horaires et la destination de mon billet de train ou l'heure d'entrée et de sortie de mon parking (etc...) mais quelque-chose qui ressemblerait à un virus ou une attaque informatique et qui (par mesure de sécurité) arrêterait tout.. jusqu'à ce des techniciens chevronnés et très chers viennent détecter la panne, réparer et relancer le système.

        La même chose, pour le QR-code du "passe-sanitaire" demandé à l'entrée des bars et des restaurants, de certains centres commerciaux, des salles de spectacle ou de concert, des musées et des expositions, des salles de sport et des stades, des établissements de soins et des EHPAD, des gares et des aéroports, des parcs d'attraction et de loisirs, des foires et des salons, des... et des... et des...

        Ce qui ne serait pas sympa...

         

    3
    Souris donc
    Mercredi 11 Août 2021 à 12:05

    Dans la préface de son "Serpent majuscule", Pierre Lemaitre (Goncourt pour Au revoir, là-haut) se prend à regretter "l'heureux temps des cabines téléphoniques et des cartes routières, où l'auteur n'avait pas à craindre que son histoire soit rendue impossible par le téléphone portable, le GPS, les réseaux sociaux, les caméras de surveillance, la reconnaissance vocale, l'ADN, les fichiers numériques centralisés, etc."

    Etc ? Ajouter QR-code.

    Répondre
      • bedeau Profil de bedeau
        Mercredi 11 Août 2021 à 13:46
        bedeau

        @ Souris donc...?

        Il est vrai que le QR-code n'est "qu'une" extension de tout ce qui fait notre bonheur de vivre dans un monde connecté...

        Mais quand même, j'aimerais bien savoir ce qu'il y a d'écrit dans ce ****** de **** de QR-code à la ****, en plus du nom, du prénom, de l'âge et de la situation sanitaire de son heureux possesseur (selon la version officielle) :

           

         

                  

        La version 3 ou 4 devrait suffire ?

                  

        Ou alors, on ne nous dit pas tout !

        Quelles sont "les autres" informations ?

         

      • realist
        Mercredi 11 Août 2021 à 14:25

        "Mais quand même, j'aimerais bien savoir ce qu'il y a d'écrit..."

        Ben, y a qu'a le lire.

         

      • bedeau Profil de bedeau
        Mercredi 11 Août 2021 à 15:39
        bedeau

        @ realist...!

        Merci, mais c'était une question de pure forme : un récent article de "Contrepoints" m'avait déjà rassuré  inquiété à ce sujet, surtout après avoir survolé les "Technical Specifications for EU Digital COVID Certificates" mis en lien dans l'article (12 pages de consignes et d'explications...)

        Mais faut c'qu'y faut... le tout, c'est que ce soit bien sécurisé.

         

        (dès que la plate-forme "SIDEP" (?) sera de nouveau opérationnelle.  )

                 

         

         

         

    Suivre le flux RSS des commentaires


    Ajouter un commentaire

    Nom / Pseudo :

    E-mail (facultatif) :

    Site Web (facultatif) :

    Commentaire :


Voice of Europe