Des chercheurs de l'Université de Rochester ont développé un nouveau type de QR code, appelé SDMQR, qui pourrait empêcher les arnaques en ligne basées sur ces codes. Grâce à une signature cryptographique, il serait possible de vérifier l'authenticité d'un lien avant de l'ouvrir. Une technologie en cours d'étude pour une adoption plus large.

Les QR codes sont désormais partout dans notre quotidien - © Lee Charlie / Shutterstock
Les QR codes sont désormais partout dans notre quotidien - © Lee Charlie / Shutterstock

Ils sont partout, ils servent à tout : payer un achat, obtenir des informations ou accéder à un service en quelques secondes. Les QR codes permettent d'accéder rapidement à des sites Web ou d'effectuer des paiements.

Ils sont tellement pratiques qu'ils sont devenus une des cibles favorites des hackers, qui s'en servent pour développer des attaques de « quishing ». Ils remplacent des codes légitimes par des liens frauduleux.

Et si l'on vous disait que ce ne sera bientôt plus qu'un mauvais souvenir ? Des chercheurs de l'Université de Rochester ont conçu une nouvelle version des codes QR, appelée SDMQR (Self-Authenticating Dual Modulation QR). Cette technologie intègre une signature cryptographique. Elle permet de signaler si un lien provient d'une source vérifiée. En collaboration avec UR Ventures, les chercheurs ont déposé un brevet et explorent les possibilités de commercialisation, notamment pour remplacer les codes-barres UPC vieillissants sur les emballages de produits.

Des chercheurs inventent un QR code auto-authentifiant pour renforcer la sécurité

Les attaques par quishing exploitent notre confiance presque aveugle pour les QR codes. En scannant un code modifié par un cybercriminel, nous pouvons à notre insu être redirigés vers un site frauduleux qui imite celui d'une banque ou d'un service officiel. Là encore, sans le savoir, vous entrez vos identifiants ou donnez des informations personnelles ou vos coordonnées bancaires et vous faites piéger.

Le SDMQR propose de mettre fin à cette cyberfraude. Il permet aux entreprises de préenregistrer leurs URL et d'y associer une signature cryptographique. Lorsqu'un utilisateur scanne un SDMQR, son smartphone peut vérifier si le lien est authentique et alerter en cas de risque.

Côté utilisateur, rien ne change. Cette amélioration ne modifie pas la manière d’interagir avec les QR codes. Les SDMQR conservent la même fonctionnalité que les QR classiques tout en ajoutant une vérification automatique. Selon Gaurav Sharma, professeur en génie électrique et informatique, le principal défi était de garantir la compatibilité avec les systèmes existants afin de faciliter leur adoption.

L'un des changements visibles est l'utilisation d'ellipses allongées au lieu des traditionnels carrés noirs et blancs. Cette modification permet aux capteurs des smartphones de différencier plus d'informations et d'intégrer un mécanisme de validation directement dans le code.

Le SDMQR promet de mettre un terme au quishing - © Université de Rochester / J. Adam Fenster
Le SDMQR promet de mettre un terme au quishing - © Université de Rochester / J. Adam Fenster

Une technologie adaptable à d'autres usages

Au-delà de la cybersécurité, les chercheurs explorent d'autres applications des SDMQR. En plus de la vérification des liens, cette technologie pourrait remplacer les codes-barres traditionnels UPC utilisés sur les emballages de produits. Les QR codes sont déjà privilégiés par certaines entreprises pour leur robustesse et leur capacité à contenir plus d'informations sur une surface réduite.

Le SDMQR pourrait aussi introduire de nouvelles possibilités. Il intégrerait la couleur pour stocker davantage de données et rediriger vers plusieurs destinations. Un même code pourrait ainsi mener à différentes pages selon le contexte de l'utilisateur. Il faciliterait, par exemple, l'accès à des informations localisées ou personnalisées.

Des tests sont en cours pour évaluer la faisabilité industrielle du SDMQR. Une subvention I-Corps de la National Science Foundation a été obtenue. Elle permet d'étudier les intérêts du marché et d'identifier les entreprises susceptibles d'adopter cette technologie. Selon Gaurav Sharma, plusieurs industriels cherchent déjà à se détourner du code-barre traditionnel au profit de solutions plus flexibles et sécurisées.

Bien sûr, tout n'est qu'à l'étape de l'évaluation, mais tout porte à croire que le QR code SDMQR pourrait se faire un nom dans le domaine de l'identification produit. Encore faut-il que les besoins du marché l'intérêt des entreprises suivent. Mais ne dit-on pas qu'il faut laisser sa chance au produit ?

À découvrir
Meilleur antivirus, le comparatif en février 2025

06 février 2025 à 09h45

Comparatifs services

Source : Futurity