Codes QR et vie privée : ce que vous devez savoir

Comment expliquer la renaissance soudaine d’une technologie apparue il y a 28 ans? Avec la pandémie de COVID-19, le « sans contact » est devenu un moyen d’éviter la contamination. L’utilisation des codes QR, qui trouve ses origines dans le secteur manufacturier, s’est ainsi généralisée presque du jour au lendemain.

Preuve de vaccination, retour sur le territoire Canadien, identification des contacts, menus de restaurants, paiements sans contact : les codes QR sont désormais partout, ce qui soulève des enjeux de protection de la vie privée.

Quelle est l’incidence des codes QR sur notre vie privée? Que pouvons-nous faire pour protéger celle-ci?

Les origines des codes QR

Les codes QR (de l’anglais « Quick Response ») ont été inventés en 1994 par un ingénieur japonais, Hara Mashiro, pour assurer le suivi des véhicules au fil de leur fabrication. Renfermant davantage de données que les codes-barres classiques, ils ont vraiment facilité la numérisation et le suivi des produits. D’abord exploités à titre expérimental par les spécialistes du marketing pour aiguiller les acheteurs potentiels vers tel ou tel site web, les codes QR connaissent une popularité inégalée depuis l’éclatement de la pandémie, en 2020. S’inscrivant dans la vague d’innovations liée à la COVID-19, ils se sont révélés très utiles pour communiquer des données sans contact. Eric Rescorla, directeur de la technologie, Firefox, à Mozilla, explique le fonctionnement des codes QR sur son blogue, educatedguesswork.org :

• Chaque code QR contient des données encodées. Il peut, par exemple, s’agir de l’adresse URL du site web d’un restaurant ou d’un détaillant quelconque
• Pour lire cette adresse URL, il suffit de pointer l’appareil photo de son téléphone intelligent vers le code QR en question
• Ce dernier permet alors, si on le souhaite, d’accéder directement à l’adresse en question
• Le site web correspondant s’affiche ensuite dans le navigateur de l’utilisateur

Qu’en est-il de la protection de la vie privée?

Les menaces pour la vie privée ne viennent pas forcément des codes QR eux-mêmes, mais de l’écosystème dans lequel ils s’inscrivent. Selon un article du Washington Post intitulé « QR codes are a privacy problem, but not for the reasons you’ve heard », les codes QR « transforment les commandes analogiques en commandes numériques, qui peuvent ensuite être suivies par le commerce (restaurant ou autre) auprès duquel elles sont passées. De plus, lorsque les codes QR entraînent l’ouverture du navigateur de l’utilisateur, les entreprises peuvent utiliser ce navigateur pour faire le lien entre les activités en ligne et hors ligne. » Il arrive par ailleurs souvent que les sites web utilisent des témoins (ou « cookies »), qui stockent des données sur votre ordinateur ou votre appareil afin de vous suivre à la trace. Ces témoins sont souvent utilisés par les spécialistes du marketing et les annonceurs pour surveiller l’activité en ligne des consommateurs et cerner leurs intérêts afin de leur proposer des publicités ciblées. M. Rescorla souligne sur son blogue la complexité de ce moyen en apparence simple et pratique d’accéder à des renseignements. Les témoins font partie de l’équation, mais l’aspect le plus délicat est le contenu de l’URL. Prenons l’exemple du site d’un restaurant. Si vous entrez un numéro de table, ou si le lien sur lequel vous cliquez conduit à un système de commande plutôt qu’à un menu consultable, le site peut garder en mémoire la table où vous vous êtes assis et ce que vous avez commandé. En fonction du système utilisé en arrière-plan, il est même possible que vous fassiez l’objet d’un suivi par d’autres restaurants. Des problèmes de sécurité liés aux codes QR ont également été signalés. En août 2021, plusieurs politiciens québécois, parmi lesquels le premier ministre, François Legault, et le ministre de la Santé, Christian Dubé, ont vu les codes QR de leurs passeports vaccinaux piratés. Même si les données piratées se résumaient au nom et à la date de naissance des personnes concernées ainsi qu’aux vaccins reçus par celles-ci, cet événement a suscité des inquiétudes quant à la sécurité des codes QR et à la protection des données qu’ils renferment.

Comment se protéger?

Les codes QR sont devenus presque incontournables. De nombreuses entreprises, en particulier des restaurants, les utilisent pour réduire leurs coûts et leurs effectifs : plus besoin de mettre à jour les menus inscrits sur une ardoise ou de réimprimer des menus chaque fois qu’ils sont modifiés. Comment protéger sa vie privée et assurer sa sécurité tout en profitant de la commodité des codes QR?

• Restez vigilants : si vous tombez sur un code QR affiché dans un lieu public, ne pointez pas votre téléphone sur celui-ci, ou du moins ne suivez pas le lien qui s’affiche
• Méfiez-vous de l’hameçonnage par code QR (ou « quishing »), car des pirates ont en effet commencé à insérer dans des courriels et des textos des codes QR qui mènent à des sites web frauduleux invitant l’utilisateur à entrer des renseignements personnels. Évitez également de lire les codes QR reçus, à moins d’avoir vérifié qu’ils proviennent d’une source fiable
• N’utilisez que des applications vérifiées, car de nombreuses applications de lecture de codes QR sont vectrices de maliciels. Utilisez plutôt l’appareil photo de votre téléphone intelligent
• Configurez votre appareil de façon à ce qu’il demande toujours votre permission avant d’effectuer la moindre action liée à un code QR
• Enfin, soyez attentifs au stockage des codes QR contenant des renseignements personnels nominatifs : preuve de vaccination, cartes d’embarquement, données ArriveCan, etc. Conservez-les soit sur votre appareil dans un dossier protégé, soit en ligne dans un dossier chiffré

Comme toute activité en ligne, l’utilisation des codes QR comporte des risques. La prise de quelques précautions toutes simples vous aidera à protéger votre vie privée et votre sécurité lorsque vous commandez une pizza, franchissez les douanes ou communiquez une preuve de vaccination.