Comment faire planter un lecteur de codes-barres avec un QR code ? Adieu au Pass-sanitaire avec la chaîne EICAR?

Publié le 11 Août 2021

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

le hacker Richard Henderson

Les gens qui créent ces systèmes n’imaginent pas de quelle façon les gens peuvent utiliser leurs machines

le hacker Richard Henderson

Ces appareils ne filtrent pas toujours l’information qu’ils reçoivent. Certains petits farceurs ont eu l’idée d’encoder la chaîne EICAR qui est utilisée pour tester les antivirus. Une idée simple, mais efficace.

Notre quotidien est de plus en plus rempli de codes-barres et de QR code. On les trouve sur les produits de supermarché, les paquets de livraison, les billets de train ou d’avion, les tickets de concert, les cartes de parking, etc. Et bien sûr aussi sur nos justificatifs de vaccination Covid-19. Et forcément, on est de plus en plus confronté à des lecteurs de codes.

Le hic, c’est que ces appareils ne filtrent pas toujours très bien l’information qu’ils reçoivent. Ainsi, à l’occasion de la conférence DEF CON 29, le hacker Richard Henderson a montré qu’il était possible de faire planter certains lecteurs en leur montrant un code QR qui encode la chaîne de caractères suivante :

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Ces 68 caractères sont utilisés dans l’industrie informatique pour tester le bon fonctionnement des antivirus. Dès qu’un tel logiciel tombe dessus, il pense qu’il est en présence d’un malware et va procéder à son élimination : mise en quarantaine, redémarrage, blocage logiciel, etc. Cela dépend du système et de la politique de sécurité sous-jacente. Généralement, cette chaîne est insérée dans un fichier appelé « fichier de test EICAR ».

Mais rien n’interdit de l’intégrer sous un autre format, comme le code QR.

 

DEF CON 29 - Richard Henderson - Old MacDonald Had a Barcode, E I E I CAR

For decades, the EICAR test string has been used by antivirus and security vendors to safely test their detection engines without having to use live virulent samples which could cause harm. What would happen if you took that string, encoded it into a machine readable format like a QR code and started scanning various devices with the QR code? This talk shows how there are a lot of systems out there that aren't expecting an input string like EICAR and how many of them just collapse when shown the code. We will also discuss the types of systems you can target and how you may be able to extend this to more than a nuisance attack.

Durant sa conférence, M. Henderson a montré plusieurs vidéos et images de plantage « que des amis lui ont transmis ». Confronté à un QR code « EICAR », un lecteur de codes-barres d’une grande chaîne de supermarché américaine devient ainsi inopérant. Même résultat pour un lecteur de passeport d’un aéroport, avec en prime une énorme alerte en rouge. Et à la sortie d’un parking, une caisse automatique tombe totalement en rade, bloquant la sortie des automobilistes pendant au moins 20 minutes.

Comment est-ce possible ? Selon M. Henderson, les lecteurs de codes-barres sont en réalité multifonctionnels et savent également lire les codes QR. L’information scannée arrive sur la base de données d’un serveur qui tourne généralement sous Windows et sur lequel est — par conséquent — installé un antivirus. Et c’est là que le drame arrive. « Les gens qui créent ces systèmes n’imaginent pas de quelle façon les gens peuvent utiliser leurs machines », souligne M. Henderson, qui s'est d'ailleurs commandé tout un pack d'autocollants avec le fameux code QR EICAR.

Des actions à ne pas imiter

D’autres attaques sont imaginables, estime-t-il, comme les lecteurs de prix dans les supermarchés, les scanners de bagages dans les aéroports ou les lecteurs de plaques minéralogiques. Mais dans ces derniers cas, difficile de savoir si l’on provoque un plantage ou pas. Les organismes qui en sont responsables ne risquent pas d’en parler.

De toute façon, il n’est pas recommandé d’imiter ce genre d’action. Faire planter volontairement un lecteur de code-barre pourrait être considéré comme un délit, au regard de l’article 323-1 du Code pénal. « Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 150 000 euros d’amende », peut-on lire dans la loi.

Sachez toutefois qu’il est possible d’acheter de t-shirts avec un code QR EICAR imprimé dessus. Après tout, s’il y a des caméras de surveillance qui scannent des codes QR, ce n’est pas votre problème…

source : https://www.01net.com/actualites/des-hackers-font-planter-des-lecteurs-de-code-barre-avec-un-qr-code-2046788.html

Scannez pour obtenir la Brochure Eté 2021
Scannez pour obtenir la Brochure Eté 2021

AMI RESEAU est le Leader des Amortisseurs gonflables, Amortisseurs renforcés, Suspension renforcée, Suspension pneumatique , Suspensions Pneumatiques, Vérins hydrauliques, Vérin hydraulique pour camping car , 4x4 et poids-lourds

AMI RESEAU est le Leader des Amortisseurs gonflables, Amortisseurs renforcés, Suspension renforcée, Suspension pneumatique , Suspensions Pneumatiques, Vérins hydrauliques, Vérin hydraulique pour camping car , 4x4 et poids-lourds
AMI RESEAU est le Leader des Amortisseurs gonflables, Amortisseurs renforcés, Suspension renforcée, Suspension pneumatique , Suspensions Pneumatiques, Vérins hydrauliques, Vérin hydraulique pour camping car , 4x4 et poids-lourds

 

AMI RESEAU est le Leader des Amortisseurs gonflables, Amortisseurs renforcés, Suspension renforcée, Suspension pneumatique , Suspensions Pneumatiques, Vérins hydrauliques, Vérin hydraulique pour camping car , 4x4 et poids-lourds
AMI RESEAU est le Leader des Amortisseurs gonflables, Amortisseurs renforcés, Suspension renforcée, Suspension pneumatique , Suspensions Pneumatiques, Vérins hydrauliques, Vérin hydraulique pour camping car , 4x4 et poids-lourds

 

Repost0
Commenter cet article