08/10/2021

BLOG | Exclusif, l’interrogatoire carré d’un QR Code

Par Philippe Chrétien, CTO

La déferlante QR Code

 

C’est l’été, vous avez décidé d’entamer votre cure de cyber détox. Elle commence dans un charmant petit restaurant et s’arrête quand le serveur vous dit « la carte est ici », en vous montrant un QR Code collé au milieu de la table. Et vous voilà obligé de ressortir votre mobile, que vous aviez déjà précédemment dû sortir pour montrer votre pass sanitaire. Pour la détox numérique c’est raté !
Il y a deux ou trois ans, la situation était pourtant saine. La folie WeChat qui combine allégrement Facebook, WhatsApp, Twitter, PayPal et Amazon, avait certes envahi la Chine et avec cette vague, une belle poussée de QR Codes. Mais la France d’Astérix était alors épargnée.


 

malaysie et jardin QR code chine image blog klee group

Jardin QR Code en chine.

 

Alors pourquoi ce revirement ?

Nos enquêteurs sont allés à la chasse au QR code. C’est au milieu d’une application Pokemon Go qu’ils en en ont attrapé un.

Voici les minutes de l’interrogatoire du suspect et ses photos codométriques.

 

image article de blog qrcode interrogatoire klee group

 

Transcription Interrogatoire

  • Suspect : QR code
  • Date    : 26 08 2021
  • Lieu    : Hackerspace
  • Motif   : Invasion de l’espace public

 

Déclinez votre identité : nom, date, et lieu de naissance

QR code.
Je suis né en 1994, l’année de la mort d’Ayrton Senna.
Mon papa s’appelle Masahiro Hara, il était ingénieur chez Toyota.

Il m’a conçu pour identifier et suivre des pièces de voitures.

Je suppose que vous savez pourquoi vous êtes-ici. Vous êtes accusé d’invasion de l’espace public
Pas du tout, moi je voulais voir le monde alors j’ai fugué. Je voulais
sortir de l’usine de papa.
Puis, les chinois ont flashé sur moi, et depuis c’est la folie.
Mais je n’y suis pour rien, j’ai rien fait de mal.

Pourquoi ce pseudo, « QR » ?
Ça signifie Quick Response, parce qu’il suffit qu’on me flashe pour que je donne les infos.
Bon comme c’était un peu long, tout le monde s’est mis à m’appeler QR.

Ça sonnait comme JR. Une vieille série que mon père regardait sur sa télé à tube…
Moi, j’aime qu’on me flashe, je vis avec mon temps, clic clac.

Parlez-moi de votre relation avec votre cousin code-barres ?
Le zèbre vous voulez dire ?
C’est un cousin éloigné, pas très futé. Pour commencer il est beaucoup plus vieux que moi. Il est né en 1952, un an avant le couronnement de la reine Elisabeth II. C’est tout dire !
Il ne contient que quelques dizaines d’octets, alors que moi j’ai une mémoire d’éléphant. Je peux retenir plusieurs milliers d’octets.
Pour faire simple quand lui retient un mot, moi je retiens une chanson.
Et puis il a un sérieux problème : dès qu’il est griffé, il devient illisible alors que moi… j’inclus de la redondance ! Je résiste mieux. Je suis plus résilient.


Vous parlez de quoi exactement ?
Mon cousin c’est simple, il a des dizaines de rayures verticales. Mais il est susceptible. Si on le raye un peu, alors il se vexe et ne répond plus !
Moi je supporte mieux le travail, les taches, l’abrasion. Je continue à répondre vite. QR !
Et puis je suis facile à imprimer, à reproduire.
Sans vouloir l’accabler, c’est un horizontal, un 1D alors que moi je vis en 2D.
A l’heure des caméras, c’est plus simple.
Plus simple en tout cas que la batterie de lasers souvent utilisée pour lire un code-barres d’une dizaine de caractères.
[note de nos experts : en fait un seul laser est utilisé, ce sont des miroirs oscillants qui, tels une boule à facettes, multiplient les rayons]

 

Vous sentez-vous libre ?
Complètement !  Vous savez, je me suis émancipé, très tôt.
Je suis devenu open source. Libéré !
Tous les téléphones intègrent désormais un lecteur de QR code.
J’aime la célébrité, je rencontre des gens, je les mets en relation.

 

RFID, NFC, vous connaissez ?
Bien sûr, ce sont des geeks américains.
Moi je suis un artiste, juste une image.
Eux ils contiennent des « puces » qui s’activent quand un lecteur s’approche.
Je n’ai pas de problème avec eux, chacun son métier.
Tu veux identifier un arbre ? Tu lui enfonces une puce dans l’écorce.
Pareil si tu veux identifier un oiseau : tu lui mets une bague RFID.
Idem pour les vaches et ça fonctionne avec les équipements (portes de tri, robot de traite et autres distributeurs automatiques de lait – DAL pour les intimes -).

Les animaux, la nature, ce n’est pas franchement mon truc ; moi je fais de l’info, du marketing, de la finance.
Je ne vais quand même pas ouvrir les portes aux prim’holsteins ! à l’heure d’insta.

Mais si tu veux plus d’informations sur des vêtements, tu flashes un QRCode. Ça c’est mon kiff.

Tu veux échanger tes coordonnées ? Tu me flashes. Comme je le dis, chacun son métier.

Et puis eux, les pucés ils coûtent chers, moi je suis libre, une image, un smartphone et clic on m’affiche, et clac on me lit.


Et UBleam ?
J’en ai entendu parler, ce sont des frenchies un peu timides.
On ne va pas se mentir, pour un menu en réalité augmentée ils assurent.
La French touch(e). L’élégance à la française, comme vous dites. Je vous poste une petite vidéo.
Ils se spécialisent sur la maintenance d’équipements.
https://www.youtube.com/watch?v=udlYNByQiC0&ab_channel=UbleamFrance


Vous êtes sécurisé ?

Je sens la question piège. C’est une question politique ?
Je vous le dis tout de suite : je suis agnostique.
Je suis un simple carré avec des pixels. Alors la question, de mon point de vue, n’a pas trop de sens…
Vous savez moi au fond je suis juste une image.

Vous ne répondez pas à la question !

Mais oui je suis sécurisé parce que, comme je vous le dis je suis juste une image…
Mais je dois avouer que j’ai des frères et des sœurs qui se laissent corrompre et renvoient celui qui flashe vers des sites malveillants (Phishing comme l’appellent les experts en cyber sécurité).
Le vrai truc c’est que vous ne devez pas flasher n’importe qui, ni n’importe où.
Soyez vigilants ; c’est tout !


On peut vous cloner ?

Je n’aime pas cette question, je me sens unique.
Mais oui c’est vrai qu’on peut me copier, me dupliquer.

Je n’ai pas dit que j’aimais ça et c’est pour cette raison qu’il ne faut pas faire confiance aux QR codes papier qui trainent.

D’ailleurs je vous fais remarquer que pour m’utiliser il faut me prendre en photo, donc me dupliquer !


Vous êtes tous en noir et blanc ?
Bien sûr que non !
On est de toutes les couleurs.
L’essentiel c’est le contraste. On reste des binaires.

Il y a même des sœurs et des frères qui se font tatouer des logos en plein milieu.
Moi, je n’aime pas trop, c’est trop bling-bling. Je préfère la sobriété. N&B. Elégance.

 

Binaire ?
Oui. Carrément.
Les petits carrés, ce sont des bits. Des 0 et des 1. Tu les assembles, tu obtiens un octet et ça se convertit en chiffres et en lettres.
Bon, tu as vu qu’il y avait trois gros carrés dans les coins ? Eh bien ils servent à donner l’orientation donc l’ordre de lecture (le haut - le bas et la gauche - la droite).
Plus le quadrillage est fin, plus il y a d’informations !
Et il y a même des codes d’erreur inclus. Comme ça, si un petit carré n’est pas lisible, on corrige ; comme sur les vieux CD. Nostalgie.

Quelle est la chose dont vous êtes le plus fier ?

Je suis très bon pour mettre les gens en contact les uns avec les autres. Facilité.

Je suis aussi utile pour donner le fameux code WiFi. Simplicité.
Il suffit de me flasher et le code cryptique à 45 chiffres écrits en minuscules avec des Q, des 0 et des O est automatiquement renseigné. Efficacité.

Je donne accès aux menus dans les restaurants. Rapidité.
Un accès 100% numérique, donc plus touche aux menus papier. Santé

Et le restaurateur peut changer facilement la carte sans réimpression. Ecologie
D’ailleurs Metro ne s’y est pas trompé :
https://www.metro.fr/service/digital/menu-digital-restaurant

Je suis partout, je suis le boss.

C’est ça Humilité ! Oui on vous voit partout, trop
Yep.
Là j’ai un gros contrat dans la santé. Je g
ère des infos chiffrées sur des vaccins et des tests. Et dès qu’on va boire un coup c’est à moi qu’on fait appel.

Chiffré, vous pouvez préciser ?
Oui ça veut juste dire que les infos ne sont pas lisibles par vous, il faut une clé pour les déchiffrer, les lire. Et cette clé, il n’y a que le ministère qui la possède.

Vous êtes donc sécurisé ? Je ne comprends plus !?

Non moi je suis une image qui contient des infos qui elles sont sécurisées. Je suis le messager.
En revanche l’image, donc le QRCode c’est facile à dupliquer !
On n’est pas comme un billet de banque à se la jouer avec des hologrammes, des encres invisibles et du papier magique.
On n’est pas non plus comme des cartes d’identité fabriquées pour être infalsifiables.
Nous on est de  simples messagers. Un peu comme des cartes de visite.

Vous allez me retenir encore longtemps ? Parce que j’ai du business.


Je contrôle vos propos avec mes experts

Notes :
Cette interview m’a permis d’en savoir plus.
Issus de l’industrie automobile dans la société qui a inventé le lean, les QR codes ont progressivement été intégrés aux mobiles, sûrement de par leur aspect open source. Ils ont certes des alternatives spécialisées mais dans les faits, ils ne se font pas trop concurrence.
 

Une chose me titille pourtant. QR me dit qu’il est une simple image, et je dois avouer que c’est vrai : alors je me pose deux questions

  • Peut-on utiliser un QRCode pour certifier, authentifier quelque chose ?
  • Comment gérer des paiements sécurisés avec un QRCode ? Ce que fait WeChat.

 

Je vais contacter nos experts en cybersécurité, David et Renaud du pôle cybersécurité :

Extrait rapport cyber suite propos QR Code 
« En réalité, un QR Code n'est pas sécurisé ou vulnérable en lui-même. Il n'est qu'un moyen de transport de données et, la plupart du temps, il s'agit d'un simple identifiant (une URL, un ensemble de données d'identité - penser au badge lors de la visite d'un salon, etc.).

Comme le QR Code est clonable à volonté, il n'y a pas de lien entre le porteur du code et son contenu. Il ne peut donc servir en soi de système d'authentification. Pour rappel, un QRCode est public, ce n'est ni quelque chose que l'on est (il ne fait pas partie de notre corps), ni quelque chose que l'on sait (on peut le copier), ni quelque chose que l’on possède (on peut le copier, encore une fois).

Cependant, il peut, comme dans le cas de WeChat, contenir des informations servant dans un processus d'authentification, comme un One Time Password (code temporaire que vous recevez par mail ou par SMS pour accéder à un service).

Accessoirement, il peut contenir des informations elles-mêmes sécurisées par d'autres moyens : des octets de données signés électroniquement, des données chiffrées, lisibles uniquement par un destinataire autorisé, etc. »
 

Bon,  ça se confirme, QR n’est pas méchant, même si son côté « matuvu » commence à m’énerver. Il ne m’a pas menti. Je vais donc le relâcher pour qu’il continue à enchanter nos vies numériques. 😉.
 

Enquêteur adjoint,

Philippe Chrétien, CTO