Unfurlr rend les lecteurs de QRcode intelligents

Unfurlr dessine peut être l'avenir des futurs lecteurs de QRcode.

Unfurlr n'est pas un lecteur de QRcode à proprement parlé mais un service de sécurité qui fonctionne en interface avec un lecteur "standard" et qui propose des fonctions de sécurité contre les "EvilQR", c'est à dire, des QRcodes malveillants renvoyants sur des sites contenant des malwares, virus, etc.. (Je vous invite à relire à ce sujet le billet "QRcode et sécurité : les EvilQR").

La première fonction sécurité est classique puisque déjà présente nativement sur de nombreux lecteurs de QRcode. Elle consiste à ne pas ouvrir directement l'adresse contenue dans le QRcode directement dans le navigateur de votre smartphone. Ceci permet de faire un contrôle visuel de l'adresse.

La deuxième fonction sécurité de Unfurlr est quant à elle plus originale. Il s'agit de la traduction de l'url courte.

Afin d'optimiser la densité des QRcodes, il est très fortement recommandé d'utiliser un raccourssiseur d'url comme par exemple bit.ly ou goo.gl. L'inconvénient est que, même si votre lecteur de QRcode classique vous protège en n'ouvrant pas directement l'url dans le navigateur web de votre smartphone, une url raccourcie ne donne aucune information sur l'adresse finale.

Unfurlr propose cette traduction et crée ainsi une étape de sécurité visuelle. 

La troisième fonction sécurité proposée est un contrôle du lien sur la base de données en ligne "Web of Trust". Comme le montre l'image ci-dessus, des informations sur la réputation et la confiance du site sont analysées, évaluées puis communiquées sous la forme d'un rapport adapté à l'écran de votre smartphone.

UnFurlr est un produit développé par MailChimp Labs, une branche de Rocket Science Group, c'est à dire une bande de nerds passionnés qui développent des projets dont on ne sait pas s'ils s'inscriront de manière durable dans le paysage technologique. Unfurlr est donc encore au stade expérimental et uniquement disponible pour les smartphones Android et iOS. Les fonctions proposées par cette application sont également disponibles en ligne à l'adresse suivante : http://unfurlr.com

J'ai testé Unfurlr sur un Android.

Premier constat, le scan du QRcode est réalisé avec le lecteur Barcode Scanner (Unfurlr vous proposera de le télécharger l'application si celle-ci n'est pas déjà installée sur votre smartphone). Aucun problème donc pour lire le QRcode, même customisé, car Barcode Scanner est un très bon lecteur de QRcode.

Deuxième constat, l'analyse est assez longue : Une poignée de secondes, presque une dizaine sur une adresse raccourcie avec bit.ly.

L'adresse de destination finale est bien traduite (www.qrdresscode.com pour l'occasion), par contre, je m'aperçois que mon blog à un rapport de confiance proche du zéro degrè farhenheit dans la base "Web of Trust" avec un zéro pointé sur les 4 critères de confiance.

Au delà de la pertinence de l'analyse, je pense que les éditeurs de lecteurs de QRcode intègreront bientôt nativement ce type de service dans leurs applications. Reste à trouver la bonne base de données et les bons critères pour mesurer la confiance des sites.

(via l'excellent blog Ballajack)

.

Comments

[Benjamin]

Salut,<br /> <br /> je pense qu'il existe aussi un moyen simple et efficace pour ralentir le phénomène "evilQR", sans pour autant contraindre les utilisateurs (grand public) avec les solutions évoquées (nouvelle app,<br /> contrôle des liens => délai de traitement…).<br /> <br /> Il s'agit évidement de la customisation graphique des QR Codes… en y encodant des url claires et "transparentes" (sous-domaines du site officiel de l'annonceur, par ex.).<br /> <br /> [HS] C'est ma première intervention sur le bog, j'en profite donc pour féliciter l'équipe.

[qrdresscode.over-blog.com]

<br /> <br /> Bienvenue Benjamin,<br /> <br /> <br /> en effet, c'est une solution.<br /> <br /> <br /> <br />

[eQRoeil]

Bonjour Laurent,<br /> <br /> WOT fonctionne sur des rapports faits par les utilisateurs. Il existe par exemple une extension firefox (et chrome je crois) qui signale par un code couleur (vert, orange, rouge + gris si pas<br /> d'infos )le degré de "sûreté" du lien.<br /> Le fait qu'il n'y ait pas d'info sur qrdresscode ne me surprend pas et à moins que chaque visiteur de ton [toujours aussi pertinent] blog créé un rapport avec WOT la situation ne changera pas.<br /> <br /> Au final, les QR codes étant utilisés souvent pour des opé marketing avec une URL dédiée à l'opération, il y a peu de chances qu'un rapport existe (et si un rapport positif existe sur le NDD cela<br /> ne sgnifie pas qu'une page plus profonde ne contient pas une ********* )<br /> <br /> J'ai peur que les utilisateurs de ce service (que l'on peut considérer comme prudents [qui a dit parano?] a priori) soient refroidis s'il rencontre un "pas de donnée"<br /> <br /> Il existe une autre solution utilisant google safe browsing api qui me semble (peut-être à tort) une solution plus réactive en cas de problème.<br /> <br /> La dernière version de qrafter utilise ce service...<br /> <br /> <br /> Dans tous les cas le risque de "tomber" sur un "evilQR" me semble assez léger (tous les supports marketing seront plutôt "safe", à moins bien sûr d'un hack du site de destination). Restent quelques<br /> QR codes "sauvages" (street art etc.)<br /> <br /> Mais la question à se poser est celle là :<br /> <br /> Quel intérêt pour un hacker de diffuser un evilQR ?<br /> <br /> Si je devais pirater des mobiles je choisirais plutôt les réseaux sociaux pour diffuser mes liens ou je tenterais de hacker un site à fort trafic mobile.<br /> La diffusion d'un QR code par affichage (ou coller un qrcode sur une affiche pub) ? La mise en oeuvre à grande échelle me semble difficile à réaliser.<br /> Diffusion sur le net ? Il faudrait que le QR code soit bien joli et le contenu derrière bien intéressant pour espérer une large diffusion et des scans "efficaces"<br /> <br /> Les premiers à avoir relayé les infos concernant les evilQR sont des vendeurs d'antivirus (ne seraient-ils pas à l'origine des quelques exemples que l'on a pu voir... je me pose vraiment la<br /> question)<br /> <br /> Bref... le but des arnhackers est d'avoir un maximum de victimes... scannez sereins ;-)

[qrdresscode.over-blog.com]

<br /> <br /> merci pout ton commentaire Pascal... toujours aussi pertinent. 5/5 pour moi<br /> <br /> <br /> <br />