I-Introduction aux QR codes :

Les QR codes, abréviation de « Quick Response » (réponse rapide), sont des codes-barres
bidimensionnels capables de stocker et de rendre accessibles diverses informations en un
seul scan. Leur nom n’est pas anodin : en effet, un simple scan avec l’appareil photo d’un
smartphone ou d’une tablette permet de lire instantanément les données contenues et
d’exécuter des actions, comme ouvrir un site Web ou afficher un texte. La lecture de QR
codes est devenue courante grâce aux applications intégrées dans les appareils mobiles,
rendant les informations rapidement disponibles pour l’utilisateur.

Comment fonctionne un QR Code ?

Un QR code est constitué d’un motif de points et de lignes noires et blanches, disposé dans
un graphique carré. Ce motif encode les informations sous forme binaire, que les appareils
lisent et déchiffrent avec précision. Les QR codes peuvent contenir jusqu’à 177 x 177
modules (ou éléments), soit jusqu’à 4 296 caractères alphanumériques ou 7 089 chiffres au
niveau de correction d’erreurs le plus bas. Cependant, plus le niveau de correction est élevé,
plus la capacité de stockage diminue, car davantage d’espace est dédié aux données de
correction pour garantir la lecture même si le code est partiellement endommagé.

À quoi sert un QR Code ?

Les QR codes sont utilisés dans de nombreux domaines où l’accès rapide aux informations
est essentiel. Ils peuvent être trouvés sur des billets d’événements, des affiches
publicitaires, des cartes de visite, des emballages de produits, et bien plus encore. Un QR
code peut contenir des URL, des coordonnées de contact, des informations géographiques,
des messages texte, et des commandes de connexion Wi-Fi, entre autres.

II- Enjeux de sécurité associés aux QR odes:

Enjeux de Sécurité Associés aux QR Codes

Les QR codes sont devenus un outil pratique et omniprésent dans notre vie quotidienne.
Cependant, cette popularité s’accompagne de divers enjeux de sécurité. En effet, les QR
codes peuvent être utilisés à des fins malveillantes pour tromper les utilisateurs et
compromettre leurs données. Voici un aperçu des principaux enjeux de sécurité associés
aux QR codes.

1. QR Codes Malveillants et Phishing

Les cybercriminels exploitent les QR codes pour rediriger les utilisateurs vers des sites Web
de phishing, conçus pour collecter des informations personnelles ou financières. En
scannant un QR code d’apparence légitime, les utilisateurs peuvent être dirigés vers une
page où on leur demande de fournir des identifiants, des numéros de carte bancaire, ou
d’autres informations sensibles. Cela rend le phishing plus difficile à détecter, car les
utilisateurs ne peuvent pas voir l’URL avant de scanner le code.

2. Téléchargement de Malware
Les QR codes peuvent également être utilisés pour distribuer des logiciels malveillants. Un
QR code malveillant peut contenir un lien qui, une fois scanné, télécharge automatiquement
un malware sur l’appareil de l’utilisateur. Ce malware peut ensuite collecter des données
personnelles, surveiller les activités de l’utilisateur ou prendre le contrôle de l’appareil. Cela
pose un risque particulier pour les entreprises, où les QR codes pourraient être utilisés pour
compromettre des appareils connectés au réseau de l’entreprise.

3. Paiements et Fraude Financière

Les QR codes sont de plus en plus utilisés pour les paiements mobiles, notamment dans les
magasins et pour les transferts de cryptomonnaies. Cependant, un code frauduleux peut
rediriger un utilisateur vers une fausse page de paiement, ou modifier subtilement les
informations de paiement pour détourner les fonds vers un compte contrôlé par le criminel. Il
est donc crucial de vérifier l’authenticité des QR codes lors des transactions financières.

4. Surcharge des Contacts et Spams

Certains QR codes peuvent demander l’accès aux informations de contact de l’utilisateur, ce

qui permet à des acteurs malveillants de collecter des numéros de téléphone ou des
adresses e-mail pour des campagnes de spam. En scannant un QR code frauduleux, les
utilisateurs peuvent involontairement ajouter un contact ou envoyer un message automatisé,
propageant ainsi les attaques de spam et de phishing.

5. Collecte de Données et Suivi Invasif

Les QR codes peuvent également être utilisés pour collecter des informations sur les
utilisateurs. Par exemple, ils peuvent permettre aux entreprises de suivre les activités et les
habitudes des utilisateurs, en sachant quand et où un QR code a été scanné. Bien que cette
information puisse être utilisée pour améliorer le service, elle peut également être exploitée
de manière intrusive, compromettant la vie privée des utilisateurs.

6. Failles dans la Réalité Augmentée et l’Internet des Objets (IoT)

Avec la montée en popularité de la réalité augmentée et des appareils IoT, les QR codes
sont parfois utilisés pour interagir avec ces technologies. Cependant, des QR codes
compromis peuvent exploiter des vulnérabilités dans les dispositifs connectés, comme les
caméras intelligentes ou les lunettes de réalité augmentée, en les redirigeant vers des
actions ou des connexions non autorisées. Cela peut entraîner des failles de sécurité
étendues dans des réseaux d’appareils interconnectés.
Précautions pour l’Utilisation Sécurisée des QR Codes

Pour minimiser les risques liés aux QR codes, les utilisateurs et les entreprises peuvent
adopter les précautions suivantes :

• Scanner avec prudence : éviter de scanner des QR codes provenant de

sources non vérifiées ou inconnues.
• Utiliser des applications de sécurité : certaines applications de scan vérifient
la sécurité des liens avant de les ouvrir.
 • Prévisualiser les URL : de nombreuses applications permettent de voir l’URL
avant de l’ouvrir, ce qui permet de détecter les sites suspects.
• Éviter les connexions automatiques : refuser les autorisations qui semblent
excessives, comme l’ajout de contacts ou l’envoi de SMS.
• Vérifier les informations : pour les transactions financières, il est important de
vérifier les informations de paiement avant de confirmer la transaction.

En somme, bien que les QR codes offrent des avantages considérables en termes d’accès
rapide aux informations et d’efficacité, il est essentiel de rester vigilant face aux risques de
sécurité qu’ils présentent. Adopter des mesures de précaution et sensibiliser les utilisateurs
à ces enjeux contribue à réduire les menaces et à sécuriser l’utilisation des QR codes.

III- Vulnérabilité des QR codes:

Les QR codes, malgré leur praticité, présentent plusieurs vulnérabilités qui peuvent être
exploitées par des acteurs malveillants. Voici les principales vulnérabilités associées aux QR
codes :

1. Phishing et Redirection Malveillante

• Les QR codes peuvent diriger les utilisateurs vers des sites Web de phishing
qui imitent des sites légitimes pour voler des informations personnelles, comme les
identifiants de connexion ou les informations de paiement. Les utilisateurs ne voient pas
l’URL avant de scanner, ce qui rend la détection plus difficile.

2. Téléchargement de Malware

• En scannant un QR code malveillant, les utilisateurs peuvent

involontairement télécharger des logiciels malveillants (malware) sur leurs appareils. Ces
logiciels peuvent collecter des données, surveiller les activités ou même compromettre les
réseaux de l’entreprise lorsque des appareils infectés sont connectés.

3. Fraude Financière

• Les QR codes sont souvent utilisés pour les paiements, ce qui ouvre la voie à
des fraudes. Par exemple, un QR code frauduleux peut modifier les informations de
paiement pour rediriger l’argent vers un compte contrôlé par le criminel.

4. Collecte de Données et Surveillance Invasive

• Certains QR codes sont utilisés pour collecter des données sur les
utilisateurs, comme leur localisation ou leurs habitudes de scan, souvent à leur insu. Ces
informations peuvent être exploitées de manière intrusive ou revendues à des tiers.

5. Failles dans les Appareils Connectés

• Les QR codes utilisés pour interagir avec des appareils connectés (IoT) ou la
réalité augmentée peuvent exploiter des vulnérabilités dans ces dispositifs. Un QR code
malveillant pourrait, par exemple, donner accès à des réseaux ou à des fonctions de
l’appareil non autorisées.

Prévention et Sécurité

Pour minimiser les risques, il est essentiel de :

• Scanner uniquement les QR codes de sources fiables.

• Utiliser des applications de scan qui vérifient les liens pour détecter les
menaces potentielles.
• Prévisualiser les URL avant d’accéder aux sites.
• Éviter les QR codes demandant des permissions excessives, comme l’accès
aux contacts ou la possibilité d’envoyer des messages.

En restant vigilant face à ces vulnérabilités, les utilisateurs peuvent utiliser les QR codes en
toute sécurité.

Les QR codes présentent diverses vulnérabilités, et certaines d’entre elles peuvent être
abordées sous un angle mathématique, en particulier à travers des concepts de
cryptographie, de probabilités et de correction d’erreurs.

1. Correction d’erreurs et Matrices de Parité

Les QR codes utilisent des codes correcteurs d’erreurs, tels que les codes de Reed-
Solomon, pour augmenter leur fiabilité et garantir qu’ils restent lisibles, même si une partie
du code est endommagée. Les données et les informations de correction d’erreurs sont
disposées dans une matrice de taille fixe, où chaque module est une case noire ou blanche,
représentant des valeurs binaires (0 ou 1).

Matrice de Parité

Pour renforcer la sécurité et la fiabilité, une matrice de parité peut être appliquée. Cela
consiste à ajouter une ligne et une colonne de parité dans la matrice de données.
Supposons une matrice M contenant les données et les informations de correction
d’erreurs. Les éléments de la ligne de parité sont définis par :
\[
p_i = \sum_{j=1}^{n} M_{i,j} \pmod{2}
\]
où p_i est le bit de parité de la ligne i , calculé en prenant la somme modulo 2 de tous les
éléments de cette ligne.

Cette matrice de parité aide à détecter des erreurs simples (erreurs ponctuelles), mais ne
protège pas contre les modifications malveillantes plus complexes.

2. Cryptographie et QR Codes Sécurisés

Pour éviter des attaques comme le phishing ou les téléchargements de malwares, une
approche mathématique implique d’utiliser des signatures numériques ou des hachages
cryptographiques pour garantir que les données contenues dans le QR code sont
authentiques et non modifiées. Par exemple :

Hachage et Signature

Pour signer un QR code, on peut créer une signature numérique basée sur les données à
l’aide d’une fonction de hachage H et d’une clé privée K :

1. Calculer un haché des données du QR code :

h = H(\text{données})

2. Signer le haché avec la clé privée :

s = \text{Signature}(h, K)

Le haché et la signature peuvent être intégrés dans le QR code. Lors du scan, la clé
publique du générateur de QR code peut être utilisée pour vérifier l’authenticité :

\text{Vérifier}(h, s, \text{clé publique}) = \text{True/False}

Cela garantit que les informations n’ont pas été modifiées après leur création.

3. Probabilités et Détection de Phishing

Les attaques de phishing utilisant des QR codes peuvent être modélisées statistiquement.
Considérons un système où l’utilisateur a une probabilité P_t de tomber sur un QR code
malveillant parmi tous les QR codes scannés. Supposons également qu’il existe un taux de
détection P_d pour identifier un QR code frauduleux avant qu’il ne soit ouvert.

On peut modéliser le risque d’infection par une attaque de phishing par la probabilité
conditionnelle que l’utilisateur scanne un code malveillant non détecté :

P(\text{infection}) = P_t \times (1 - P_d)

En augmentant le taux de détection P_d avec des applications de sécurité performantes,

on réduit le risque d’infection.

4. Théorie de l’Information et Correction d’Erreurs

Les QR codes reposent sur la théorie de l’information pour encoder et décoder des données
de manière efficace et tolérante aux erreurs. En utilisant des techniques de correction
d’erreurs, on optimise la redondance pour résister à des taux d’erreur donnés.
Les codes de Reed-Solomon, utilisés pour corriger les erreurs dans les QR codes, sont
basés sur des polynômes. Par exemple, les données sont converties en un polynôme P(x)
de degré k , et les symboles de correction d’erreur ajoutés sont des évaluations de P(x) à
différents points, de sorte que si certains symboles sont corrompus, ils peuvent être corrigés
en résolvant un système d’équations linéaires.

En utilisant ces techniques mathématiques, on peut non seulement renforcer la fiabilité des
QR codes mais aussi améliorer leur sécurité en réduisant les vulnérabilités aux attaques et
en protégeant les informations sensibles.