Détournement par redirection de QR : l'intermédiaire invisible

Chaque QR dynamique que vous avez scanné impliquait un tiers que vous n'avez jamais choisi. Entre la caméra du téléphone et le site de destination, un serveur de redirection appartenant au fournisseur de QR a transmis la requête en silence. La plupart des utilisateurs ne le remarquent jamais. C'est tout l'intérêt.

Cet article explique à quoi ressemble le détournement par redirection en pratique, ce que fait réellement l'intermédiaire et ce qui est en jeu.

La séquence de redirection

Quand vous scannez un QR statique pour https://shop.example.com :

1. La caméra lit le QR
2. L'OS le reconnaît comme URL
3. Le navigateur ouvre https://shop.example.com

Trois étapes. Aucun tiers.

Quand vous scannez un QR dynamique pour la même destination :

1. La caméra lit le QR, qui encode quelque chose comme https://qr-provider.com/r/x7n2
2. L'OS ouvre cette URL
3. qr-provider.com reçoit une requête, la journalise, cherche x7n2 dans sa base
4. qr-provider.com émet une redirection 301 ou 302 vers https://shop.example.com
5. Le navigateur suit la redirection et arrive à la vraie destination

Cinq étapes. Un tiers supplémentaire à l'étape 3 — un que vous n'avez jamais accepté, jamais payé et que vous ne voyez pas.

Ce que récupère l'intermédiaire

Chaque scan produit une entrée de journal serveur contenant :

• Horodatage du scan
• Adresse IP du scanner
• Chaîne user-agent (appareil, OS, navigateur)
• En-tête Referrer (d'où vient le scanner, le cas échéant)
• En-tête Accept-Language (langue préférée)

De là, le fournisseur déduit : géolocalisation approximative, type d'appareil, version de l'OS, et en agrégé, des motifs de scan dans le temps. On le vend aux clients comme des « analytics ». C'est tout autant de la surveillance des gens qui scannent vos codes — qui n'ont jamais consenti.

Ce que peut faire l'intermédiaire

Changer la destination

La destination de la redirection vit dans la base de données du fournisseur. Le propriétaire du QR peut généralement l'éditer via un tableau de bord. C'est vendu comme une fonctionnalité, et pour certains cas ça l'est vraiment. Mais cela signifie que le QR n'est plus ce qu'il semble être. L'artefact physique dit « scannez pour visiter notre site ». Le comportement réel est ce que dit la base de données du fournisseur aujourd'hui.

Désactiver la redirection

Si l'abonnement du propriétaire expire, que le compte est fermé ou que les CGU sont violées, la redirection peut être retirée. Chaque copie imprimée du QR cesse immédiatement de fonctionner. Les scanneurs voient soit une page d'erreur générique, soit un 404.

Injecter une page intermédiaire

Certains fournisseurs font passer les scans de QR dynamiques par une page intermédiaire aux couleurs de leur marque avant la redirection finale — montrant des publicités, demandant un consentement, collectant des e-mails. Le propriétaire du QR n'a généralement pas signé pour ça. C'est ajouté plus tard, à mesure que le fournisseur monétise plus agressivement.

Vendre ou perdre les données de scan

Les journaux de scan ont de la valeur. Ils ont été vendus à des courtiers en analytics, utilisés pour entraîner des modèles de ciblage publicitaire et — dans au moins quelques brèches documentées — fuités lors de compromissions de fournisseurs. Vos clients ont scanné un menu ; maintenant leur empreinte d'appareil vit dans un jeu de données de fuite.

Pourquoi les utilisateurs ne le remarquent jamais

Les navigateurs modernes suivent les redirections automatiquement. Sans les outils de développement ouverts, vous ne voyez pas le saut intermédiaire. Le scan semble instantané parce qu'une redirection est rapide (quand elle marche). Du point de vue de l'utilisateur, un QR dynamique se comporte de façon identique à un statique.

Jusqu'à ce que le serveur de redirection tombe. Là, l'expérience diverge brutalement — mais à ce moment, le QR est déjà imprimé sur mille surfaces.

Implications pour la sécurité

Un serveur de redirection est un point de défaillance unique pour chaque QR qui en dépend. Trois surfaces d'attaque à considérer :

• Prise de contrôle de compte. Si un attaquant obtient l'accès au compte du propriétaire chez le fournisseur, il peut rediriger chaque QR vers une page de phishing. Les clients scannent le code physique en s'attendant au menu du restaurant ; ils atterrissent sur un clone collecteur d'identifiants.
• Compromission du fournisseur. Si le fournisseur de QR lui-même est piraté, chaque QR dynamique en circulation peut potentiellement être repointé vers du contenu contrôlé par l'attaquant. Ce n'est pas théorique — des divulgations de brèches existent chez plusieurs fournisseurs QR-as-a-service.
• Panne DNS ou TLS chez le fournisseur. Si le domaine de redirection cesse de résoudre ou que le certificat TLS expire, chaque QR qui en dépend échoue. Pas d'acteur malveillant — simple risque opérationnel que le propriétaire du QR ne contrôle pas.

Les QR statiques n'ont aucun de ces modes d'échec, parce qu'il n'y a aucun serveur tiers entre le scan et la destination.

Comment vérifier si vous scannez une redirection

Utilisez un scanner qui montre le contenu décodé avant de l'ouvrir — notre scanner web le fait. Scannez le QR et inspectez l'URL décodée. Si c'est votre destination réelle, le QR est statique. Si c'est quelque chose comme qrco.de/xyz ou un domaine court que vous ne reconnaissez pas, c'est une redirection — et un tiers est au milieu.

L'alternative

Générez des QR qui encodent votre destination directement. Pas de serveurs tiers, pas de journaux de redirection, pas d'abonnement. Comparaison complète dans QR statiques vs dynamiques, et pourquoi le modèle de l'intermédiaire domine l'industrie dans La vérité sur les arnaques aux QR codes.

Ou simplement générez un QR statique et arrêtez de vous inquiéter.