Ce n'est pas ma fonction première, mais j'ai été amené à participer à un audit de sécurité dans une entreprise un peu sensible recevant des gens. Les accès aux différentes applications du backoffice de leur application/site Web nécessitant de longues adresses, et (bon point) les adresses n'étant pas gardées en mémoire dans le navigateur convenablement réglé, l'un des chefs a eu l'idée ingénieuse de faire des QR Codes avec. Ils lisent ces codes avec des scannettes.
L'idée est "excellente" quand on sait que non seulement, les étiquettes avec ce fameux QR Code sont collées la plupart du temps en bas de l'écran, donc visibles par pas mal de monde, mais qu'en plus, le code personnel de chacun des agents y est directement accessible, en clair, ces codes étant ainsi lisibles par tout smartphone avec l'application gratuite. Et ils reçoivent les gens directement dans leurs bureaux.
Je me permettrai de penser qu'à un moment, le responsable de cette gaffe a été un… PEBKAC.
- Les PCs sont réservés au agent de l'entreprise ou sont-ils aussi utilisés par le public ?
- Si les PCs ne sont pas personnels il y a une liste avec tous les codes personnels des agents dessus ?
- Si les PCs sont personnels et que les applications nécessitent des code d'accès, est-ce vraiment une bonne idée de ne pas avoir des favoris vers les applications dans les navigateurs ? Il faut bien que les employés les trouvent ses applis.
- Si c'est des applis backoffice, on ne peut pas y accéder depuis sont smartphone (à moins que son smartphone soit sur le réseau de l'entreprise avec un wifi ouvert mais ça serait ça le pebkac).
- Ils ont des scannets à QRCode (ou webcam) sur tous les PCs ? C'est uniquement à ça qu'elles servent ?
Sinon je vois une autre faille de sécurité dans ce système. Il suffit de coller une étiquette qui redirige sur un site choisit pour que la prochaine fois qu'un utilisateur scan l'étiquette il soit redirigé sur un site qui tentera d'exploiter une faille quelconque pour installer un virus ou sur un site ressemblant à l'appli de backoffice pour capturer son mot de passe.