Problèmes de confidentialité concernant les codes QR sans contact utilisés dans les restaurants

Les convives pourraient servir bien plus que leur commande de hamburgers s’ils utilisent les codes QR sans contact soudainement disponibles dans de nombreux restaurants et bars, prévient David Choffnes, qui étudie la cybersécurité à Northeastern.

Les codes pixelisés carrés, noir et blanc sont devenus omniprésents dans de nombreux restaurants à la suite de COVID-19, éliminant le besoin de menus imprimés conventionnels et parfois les serveurs qui prennent les commandes. Mais les consommateurs qui scannent les codes faciles à utiliser peuvent involontairement autoriser le restaurant ou d’autres entreprises à collecter des informations personnelles. Ces données offrent des informations sur les achats et les emplacements des clients, qui peuvent être utilisées pour leur vendre d’autres biens et services sur la route.

« C’est un peu comme une boîte mystère », explique Choffnes, professeur agrégé d’informatique, à propos du code de « réponse rapide » apparemment inoffensif. « Vous ne savez pas vraiment ce que vous allez obtenir. Et pour la plupart, les gens ne le voient pas se produire. »

Choffnes, directeur exécutif du Cybersecurity and Privacy Institute de Northeastern, explique les codes QR et explique comment les consommateurs peuvent protéger leurs informations.

Que sont les codes QR et comment fonctionnent-ils ?

L’idée de base est qu’au lieu d’avoir à taper l’adresse d’un site Web, puis à fournir tout un tas d’informations, comme la table à laquelle vous vous trouvez dans un restaurant, le code-barres encode simplement toutes ces informations dans un carré. C’est ce que sont ces sections en noir et blanc, juste un moyen d’encoder des informations. Votre téléphone, grâce à son appareil photo, peut facilement le lire et le traduire en un site Web, une URL ou une application sur votre téléphone. C’est donc vraiment tout.

Comment la numérisation d’un code QR permet-elle à un restaurant ou à un créateur de logiciel de suivre nos informations ?

Les codes-barres eux-mêmes ne stockent rien, c’est juste une image. Mais cela a une signification spécifique pour nos téléphones, et le suivi a lieu une fois que le téléphone interprète le code QR. Par exemple, disons que vous avez cliqué sur un e-mail marketing, comme une annonce. Vous avez probablement remarqué que lorsque la page se charge, elle ne lit pas seulement GAP.com, elle contient l’adresse du site Web et également un tas de déchets à la fin. Ce courrier indésirable à la fin suit les informations qu’ils transmettent au site Web à partir de votre courrier électronique. Avec le code-barres QR, une fois qu’ils ouvrent un lien sur votre téléphone, ils peuvent collecter toutes les informations sur votre téléphone qui sont exposées à votre navigateur Web, ou s’il ouvre une application, il peut alors collecter votre géolocalisation ou tout autre élément de l’application. l’autorisation d’accès.

Qu’est-ce qui rend les codes QR si préoccupants ?

Ils sont pratiques et n’ont pas l’air dangereux, mais comme ils peuvent ouvrir des applications ou des sites Web arbitraires et leur fournir des informations, cela permet un suivi quelque peu arbitraire. Ce n’est pas comme si vous aviez les 20 pages de politique de confidentialité ou quelque chose comme ça à côté du code QR, donc il n’y a pas de transparence. C’est toujours une préoccupation majeure. Ils sont conçus de manière à vous permettre de simplement numériser et de passer à autre chose. Ils sont conçus pour protéger les entreprises plutôt que les individus. Ce qui nous manque ici, c’est exactement ce que fait le code QR et ce qui se passe une fois que vous activez ce code, c’est donc définitivement un angle mort.

Quel est le pire des cas en termes d’utilisation des informations obtenues à partir d’un scan de code QR ?

Un exemple est l’assurance de toute nature. S’il s’agit d’une assurance maladie, ils pourraient remarquer que vous mangiez de la restauration rapide et que vous étiez dans ce restaurant plusieurs fois, alors ils décident d’augmenter vos tarifs d’assurance maladie. Ou votre compagnie d’assurance automobile voit que vous étiez dans un bar et que vous buviez, et peut-être juste parce que vous buvez une certaine quantité par an, elle vous place dans une catégorie de risque plus élevée et augmente vos tarifs, ou refuse carrément de vous assurer. De plus en plus, nous voyons la police acheter l’accès aux données collectées par d’autres entreprises et ensuite utiliser ces preuves devant les tribunaux. Donc, essentiellement, parce que nous sommes dans une société où nous avons été contraints de renoncer à nos droits sur nos données pour pouvoir utiliser les services, la police peut désormais contourner le quatrième amendement. Pour la grande majorité des gens, ces préoccupations ne sont probablement pas quelque chose qui surgit, mais il y a toujours d’autres utilisations potentiellement nocives.

Avez-vous des exemples plus courants ?

Un restaurant peut utiliser ces informations pour essayer de vous vendre d’autres choses, comme des articles plus chers au menu. Votre menu est désormais numérique au lieu d’un menu fixe, et il y a toutes sortes de recherches sur la façon de concevoir un menu et de faire plus de ventes. C’est une chose importante dans l’industrie de la restauration, ils peuvent donc adapter ce menu à chaque personne. Ces restaurants, quant à eux, n’utilisent probablement pas leur propre logiciel. Ils passent probablement un contrat avec une autre entreprise et cette entreprise recueille probablement des données au nom de tout un tas de restaurants. Et pendant qu’ils y sont, ils peuvent aller de l’avant et prendre ces données et probablement les emballer et les revendre à d’autres et gagner encore plus d’argent en parallèle.

Comment se protéger face aux QR codes ?

De manière générale, je n’utiliserais pas de code QR si j’avais une autre option. Donc, vous savez, s’il y a un menu normal, je le ferais probablement. Parfois, vous n’avez pas le choix, donc pour le consommateur moyen, vous ne pouvez pas faire grand-chose de plus à ce stade, à part essayer de connaître les autorisations que vous avez accordées aux applications ou aux sites Web auxquels ils accèdent. Je pense qu’il faut régler ce problème et qu’il doit y avoir de meilleures façons de divulguer aux consommateurs ce qui se passe et de leur donner un meilleur contrôle. Si nous n’avons pas le choix, vous ne pouvez pas faire grand-chose. Je souhaite que nous ayons de meilleures options. Parfois, c’est juste un trombone triste en boucle.