Le coup marketing de Coinbase Super Bowl suscite un débat sur la sécurité du code QR

La plate-forme de trading de crypto-monnaie Coinbase a été abattue par sa propre publicité pour le Super Bowl dimanche après qu'un énorme afflux d'utilisateurs ait afflué sur le site après avoir utilisé un code QR pour diriger les spectateurs vers sa promotion Bitcoin gratuite.

Imitant l'écran de veille DVD classique dans lequel un logo rebondissait sur un écran, le propre riff de Coinbase sur l'idée a vu un code rebondir pendant 60 secondes et a dirigé les utilisateurs vers son site où il offre actuellement 15 $ en Bitcoin à tous les comptes nouvellement enregistrés, avec l'offre expire le 15 février.

Cependant, un grand nombre d'individus scannant le code a entraîné un volume de trafic trop important pour que la plate-forme puisse le gérer, forçant finalement son application hors ligne.

"Coinbase vient de voir plus de trafic que nous n'en avons jamais rencontré, mais nos équipes se sont mobilisées et n'ont dû limiter le trafic que pendant quelques minutes", a déclaré Surojit Chatterjee, directeur des produits chez Coinbase via Twitter.

"Nous avons eu plus de 20 millions de visites sur notre page de destination en une minute", a-t-il ajouté. "C'était historique et sans précédent. Nous avons également constaté un engagement six fois plus élevé que nos références précédentes."

Bien que considéré comme un succès chez Coinbase, l'incident a déclenché des discussions en ligne dans la communauté de la cybersécurité autour des implications liées à l'utilisation des codes QR.

Il existe des craintes autour de la technologie concernant la nature cachée du service Web qu'elle dissimule. Certains experts estiment qu'il ne faut pas leur faire entièrement confiance en raison du potentiel de piratage par des cybercriminels.

"La technologie de code QR est sûre en soi, mais à mesure que l'on s'y fie de plus en plus, les cybercriminels en prennent note", a déclaré Anna Chung, chercheuse principale, Palo Alto Networks Unit 42 to IT Pro . "Ces codes pourraient offrir une porte d'entrée à des cyberattaques potentielles car ils n'offrent pas de visibilité sur la page Web, l'application, etc. derrière eux.

"Au lieu de cela, ils redirigent automatiquement les utilisateurs vers des pages Web, des magasins d'applications pour télécharger des applications, effectuer des paiements, etc., ce qui offre aux cybercriminels la possibilité de s'insérer dans le processus."

D'autres estiment que l'inquiétude suscitée par la technologie est exagérée et que la menace réelle pour les individus dans des scénarios normaux est relativement faible.

"Il est important de ne pas trop se laisser emporter par la menace des codes QR", a déclaré Chris Boyd, chercheur principal sur les menaces chez Malwarebytes à IT Pro. "Il existe des exemples de victimes connectant des escrocs à leurs comptes bancaires via des applications, et vous pouvez facilement trouver des explications sur la façon de créer des charges utiles liées à la numérisation QR.

"Cependant, toute rencontre avec un faux code impliquera probablement de diriger les gens vers des pages de phishing. Certains téléphones affichent des liens avant la visite, et même s'ils ne le font pas, les conseils de prudence standard en matière de phishing s'appliquent."

La conversation autour de l'utilisation des codes QR est devenue plus pressante ces dernières années, car des industries telles que l'hôtellerie ont eu recours à la technologie pour faciliter la commande à table dans des scénarios de restauration en plein air, par exemple.

Pas plus tard qu'en janvier 2022, le Federal Bureau of Investigation (FBI) a publié une annonce d'intérêt public alertant les gens sur les dangers de scanner des codes trouvés dans des endroits apparemment inoffensifs dans le monde, et sur la façon dont ceux-ci peuvent être utilisés à mauvais escient par des cybercriminels.

L'annonce faisait suite à des rapports une semaine plus tôt selon lesquels des codes QR apparaissaient plus souvent à Austin, au Texas, en particulier sur les automates de stationnement, conçus pour diriger les conducteurs vers un faux site Web de paiement de stationnement.

"HTTPs n'est pas une garantie que le site est légitime car les certificats HTTPs sont disponibles gratuitement", a déclaré Boyd. "Tout site accessible à partir d'un code dans la rue ou ailleurs doit être vérifié auprès de l'entreprise avec laquelle vous pensez faire affaire avant d'entrer des informations de connexion ou bancaires."

Coinbase a répondu aux discussions qui ont eu lieu immédiatement après le succès de l'annonce en disant que la sécurité "est super importante pour nous", pointant les utilisateurs vers un lien direct et les avertissant que si le lien ne provenait pas directement de l'entreprise, cela pourrait être une arnaque.