Une photo pour contrôler votre téléphone

Avez-vous déjà vu ces carrés noirs et blancs (photo ci-dessous) appelés « Codes Quick Response » ? Ces balises QR sont les formes à deux dimensions des codes EAN (pour « International Article Number », les barres noires et blanches numérisées à la caisse de Migros) encodant par exemple une adresse web. Numériser ces codes avec votre téléphone peut vous conduire vers une page web, envoyer un SMS ou un e-mail en fonction du contenu de la balise. Super, n'est-ce pas ? Attendez... Pouvez-vous avoir confiance en ces balises QR ? Que faire si la balise QR mène à quelque chose de malveillant ? Pour information, il a été révélé récemment l'existence d'une vulnérabilité pour la gestion des codes USSD pour les appareils Android antérieurs à la version 4.1.1.

 

Le code USSD permet de réinitialiser le téléphone ou de bloquer la carte SIM. Combiné avec un clic sur un lien malveillant ou un scan d'une balise QR, c'est une combinaison mortelle pour votre téléphone, qui peut ainsi être converti en une brique inutile.

Dans le passé, nous avons suggéré  « Arrêtez-vous - Pensez - Cliquez ! » avant de naviguer sur des pages web, de cliquer sur des liens étranges, ou d'ouvrir des pièces jointes. À cet égard, les balises QR sont peu différentes des liens internet fournis par les services d'URL courtes comme « bit.ly » ou « tinyurl.com » *. Vous ne savez pas où ces liens vous conduiront.

Ainsi, utiliser une balise QR pourrait compromettre votre téléphone mobile, comme un mauvais lien pourrait infecter votre PC. Par conséquent, méfiez-vous ! De la même façon que vous devez faire attention où vous cliquez, n'utilisez que les balises QR provenant de sources de confiance ! Profitez de la fonction de prévisualisation de votre mobile pour comprendre ce que contient la balise QR, et ne continuez que lorsque vous êtes rassuré (cliquez ici pour apprendre à le faire pour les services d'URL courtes). De nombreux téléphones mobiles affichent une fenêtre pop-up avec le contenu de la balise QR que vous devez approuver.

En fait, c'est là que la vulnérabilité Android susmentionnée entre en jeu... Testez si vous êtes affecté à cette adresse. Une fenêtre de confirmation devrait apparaître si tout va bien et vous devez simplement cliquer sur « Annuler ». Dans l'autre cas, votre code « IMEI » sera affiché immédiatement : votre téléphone Android est affecté. Nous vous recommandons de le mettre à jour vers la version 4.1.1, si possible, ou ARRETEZ-VOUS - PENSEZ - CLIQUEZ.

* Si vous souhaitez raccourcir une URL CERN, consultez le nouveau service IT. Jetez un œil !


Pour plus d'informations, consultez notre site web (cliquez ici ou utilisez notre balise QR ci-dessous) ou contactez-nous via Computer.Security@cern.ch.

Accédez à la collection complète d'articles de l'équipe de Sécurité informatique ici.

par Computer Security Team