Le Code QR de François Legault (et d'autres élus de l'Assemblée Nationale) facilement piraté !

Un pirate informatique non identifié proche de la communauté du Hackfest a réussi jeudi à obtenir de façon illicite les codes QR contenant les informations vaccinales de plusieurs élus de l’Assemblée nationale, dont celles du ministre responsable de la Protection des renseignements personnels, Éric Caire.

SOURCE :

https://www.cestnormalauquebec.com/2021/08/le-code-qr-de-francois-legault.html?fbclid=IwAR23qTYTF_QsF7CppvjQ9zztLO3_XS94HzHkXib2xI62DDMEhK7Bkb2ovuI

La sécurité du Code QR Compromise par des H4CK3RS

Voici le petit montage de l'extrait sur QUB radio.
Écoutez l'entrevue de Philippe-Vincent Foisy avec Steve Waterhouse, expert en cybersécurité !https://t.co/aJ4tPNnOcF

— ActuQc (@ActuQc_com) August 27, 2021

10/08/2021

Ces appareils ne filtrent pas toujours l’information qu’ils reçoivent. Certains petits farceurs ont eu l’idée d’encoder la chaîne EICAR qui est utilisée pour tester les antivirus. Une idée simple, mais efficace.

Notre quotidien est de plus en plus rempli de codes-barres et de QR code. On les trouve sur les produits de supermarché, les paquets de livraison, les billets de train ou d’avion, les tickets de concert, les cartes de parking, etc. Et bien sûr aussi sur nos justificatifs de vaccination Covid-19. Et forcément, on est de plus en plus confronté à des lecteurs de codes.

Le hic, c’est que ces appareils ne filtrent pas toujours très bien l’information qu’ils reçoivent. Ainsi, à l’occasion de la conférence DEF CON 29, le hacker Richard Henderson a montré qu’il était possible de faire planter certains lecteurs en leur montrant un code QR qui encode la chaîne de caractères suivante :

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Ces 68 caractères sont utilisés dans l’industrie informatique pour tester le bon fonctionnement des antivirus. Dès qu’un tel logiciel tombe dessus, il pense qu’il est en présence d’un malware et va procéder à son élimination : mise en quarantaine, redémarrage, blocage logiciel, etc. Cela dépend du système et de la politique de sécurité sous-jacente. Généralement, cette chaîne est insérée dans un fichier appelé « fichier de test EICAR ». Mais rien n’interdit de l’intégrer sous un autre format, comme le code QR.


Durant sa conférence, M. Henderson a montré plusieurs vidéos et images de plantage « que des amis lui ont transmis ». Confronté à un QR code « EICAR », un lecteur de codes-barres d’une grande chaîne de supermarché américaine devient ainsi inopérant. Même résultat pour un lecteur de passeport d’un aéroport, avec en prime une énorme alerte en rouge. Et à la sortie d’un parking, une caisse automatique tombe totalement en rade, bloquant la sortie des automobilistes pendant au moins 20 minutes.

Comment est-ce possible ? Selon M. Henderson, les lecteurs de codes-barres sont en réalité multifonctionnels et savent également lire les codes QR. L’information scannée arrive sur la base de données d’un serveur qui tourne généralement sous Windows et sur lequel est — par conséquent — installé un antivirus. Et c’est là que le drame arrive. « Les gens qui créent ces systèmes n’imaginent pas de quelle façon les gens peuvent utiliser leurs machines », souligne M. Henderson, qui s'est d'ailleurs commandé tout un pack d'autocollants avec le fameux code QR EICAR.

Des actions à ne pas imiter

D’autres attaques sont imaginables, estime-t-il, comme les lecteurs de prix dans les supermarchés, les scanners de bagages dans les aéroports ou les lecteurs de plaques minéralogiques. Mais dans ces derniers cas, difficile de savoir si l’on provoque un plantage ou pas. Les organismes qui en sont responsables ne risquent pas d’en parler.

De toute façon, il n’est pas recommandé d’imiter ce genre d’action. Faire planter volontairement un lecteur de code-barre pourrait être considéré comme un délit, au regard de l’article 323-1 du Code pénal. « Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 150 000 euros d’amende », peut-on lire dans la loi. Sachez toutefois qu’il est possible d’acheter de t-shirts avec un code QR EICAR imprimé dessus. Après tout, s’il y a des caméras de surveillance qui scannent des codes QR, ce n’est pas votre problème…

Gilbert KALLENBORN
Journaliste

SOURCE :

https://www.01net.com/actualites/des-hackers-font-planter-des-lecteurs-de-code-barre-avec-un-qr-code-2046788.html?fbclid=IwAR2A0vsj5zR13cvoOjMzgHjd40as9o0qR2L8nJCubmBQHD6egV2jZu1_faU

Qui aurait pu le deviner ?

La sécurité des codes QR de l’application du passeport vaccinal du Québec a été remise en question.

Au Québec, les résidents devront présenter une preuve de vaccination à partir du 1er septembre lorsqu’ils entreront dans des commerces considérés comme non essentiels par la province, tels que les pubs, les clubs et les restaurants. Les résidents vaccinés reçoivent des codes QR du ministère de la santé pour prouver leur vaccination.

Les appareils Apple pourront faire fonctionner le système de passeport vaccinal au Québec en utilisant les applications VaxiCode Verif pour les entreprises et VaxiCode pour les consommateurs. Les versions Android devraient arriver plus tard dans la semaine.

Mais sans même parler des questions de libertés civiles et de protection de la vie privée entourant les passeports vaccinaux, il y a un autre problème.

Le système de vérification mobile du Québec pour les passeports de vaccination s’est avéré présenter de nombreuses failles de sécurité après des recherches effectuées par des analystes de sécurité et des pirates informatiques.

Les lecteurs de codes QR tels que VaxiCode Verif vérifient l’authenticité des codes QR en scannant les données du code, y compris une signature cryptographique. Ce lecteur peut scanner les codes QR téléchargés sur VaxiCode, les versions papier des codes, ainsi que les instantanés ou les fichiers PDF des codes.

Un programmeur informatique a entendu le ministre provincial de la transformation numérique déclarer mardi que les codes QR « ne peuvent être falsifiés, modifiés ou copiés », et il y a vu un défi à relever pour tenter de tester la sécurité de l’application.

Il a été rapporté par CBC que Louis, le programmeur en question, a pu fabriquer un faux certificat de vaccination pour une personne inexistante.

Il a déclaré : « Il y a toujours une faille, il suffit d’être assez patient pour la trouver. »

Il semble que la preuve inexistante ait pu tromper VaxiCode Verif, l’application compagnon qui est conçue pour aider les entreprises à vérifier les documents, après avoir été placée dans l’application.

Le Journal de Montréal rapporte également que les pirates ont réussi à obtenir les codes QR du premier ministre François Legault, de la mairesse Valérie Plante, du ministre de la Santé du Québec Christian Dubé, ainsi que des chefs de l’opposition provinciale Dominique Anglade et Gabriel Nadeau-Dubois.

Selon le Journal, les pirates ont également eu accès au certificat de vaccination d’Éric Caire, le ministre chargé de renforcer la sécurité du système des passeports de vaccination ; c’est ce même ministre qui a déclaré que les codes QR ne pouvaient pas être « falsifiés ».

Éric Caire a répondu que la province pourrait par la suite rendre plus difficile l’obtention des codes QR.

« Nous allons en discuter avec le ministre de la Santé, nous allons peser les inconvénients et si nous devons rendre l’obtention du code QR plus complexe, eh bien, nous le ferons », a-t-il déclaré.

« Mais ce que je dis, c’est que cette complexité [ajoutée] sera aussi là pour les personnes qui voudraient l’obtenir pour des raisons légitimes. Et cela signifierait éventuellement de limiter l’utilisation du code QR, et ce n’est pas ce que nous voulons. »

Indépendamment du fait que quelqu’un ait créé un faux code QR, le ministre affirme qu’il doit toujours présenter une pièce d’identité avec photo avant de se rendre dans un endroit qui exige un passeport de vaccination. Il n’a toutefois pas abordé la question de savoir si un faux code QR pouvait être associé à un nom légitime, ce qui permettrait à la personne d’entrer dans des clubs, des restaurants, des salles de sport et d’autres établissements sans être correctement vaccinée.

SOURCE :

https://www.aubedigitale.com/les-passeports-vaccinaux-du-quebec-presentent-de-graves-lacunes-en-matiere-de-confidentialite-exposant-des-informations-privees/