{"id":10828,"date":"2022-07-07T09:57:38","date_gmt":"2022-07-07T07:57:38","guid":{"rendered":"https:\/\/www.lesmonts.ch\/wp_fr\/?p=10828"},"modified":"2022-07-07T18:20:49","modified_gmt":"2022-07-07T16:20:49","slug":"qr-prune","status":"publish","type":"post","link":"https:\/\/www.lesmonts.ch\/wp_fr\/qr-prune\/","title":{"rendered":"QR-prune"},"content":{"rendered":"\n

Une personne de ma connaissance s’est r\u00e9cemment vu infliger un proc\u00e8s-verbal pour un stationnement jug\u00e9 inad\u00e9quat par l’autorit\u00e9 locale. Jusque l\u00e0, rien de tr\u00e8s original, sauf que le proc\u00e8s-verbal se r\u00e9duisait \u00e0 un papier format carte postale agr\u00e9ment\u00e9 d’un code QR et d’une l\u00e9gende que je reproduis ci-dessous (les zones masqu\u00e9es de rouge vif sont de mon fait, de mani\u00e8re \u00e0 assurer l’anonymat de la personne en question).<\/p>\n\n\n\n

\"\"<\/a>
Amende d’ordre QR<\/figcaption><\/figure>\n\n\n\n

L’utilisation de codes QR pour tout et pour rien n’est certes pas une nouveaut\u00e9, et l’usage risque de se g\u00e9n\u00e9raliser \u00e0 d’autres cantons ou r\u00e9gions dans le proche futur (ou, plus probablement, c’est d\u00e9j\u00e0 fait !). Je ne connais pas les diverses impl\u00e9mentations qui ont pu \u00eatre effectu\u00e9es, mais celle de Neuch\u00e2tel appelle tout de m\u00eame quelques commentaires.<\/p>\n\n\n\n

La personne qui a re\u00e7u cet avis d’infraction a tout d’abord cru qu’il s’agissait d’un code QR de facturation, comme les codes figurant sur les bulletins de versement, et qui seront bient\u00f4t (\u00e0 l’automne 2022) les seuls utilisables; cette personne a donc tent\u00e9 de le lire avec son logiciel de paiement, ce qui bien s\u00fbr a \u00e9chou\u00e9 avec un message d’erreur sibyllin, genre \u00ab\u00a0Code QR invalide<\/em>\u00ab\u00a0. Cet \u00e9chec l’a pouss\u00e9e \u00e0 se renseigner aupr\u00e8s d’un sp\u00e9cialiste (enfin, suppos\u00e9 tel), en l’occurrence votre serviteur, les explications donn\u00e9es sur le site mentionn\u00e9 dans le bulletin d’amendes ne lui ayant apparemment pas permis de r\u00e9pondre aux questions qu’elle se posait.<\/p>\n\n\n\n

L’id\u00e9e du code QR est de rediriger l’utilisateur vers un site web qui permettra d’acc\u00e9der \u00e0 l’avis d’infraction; la d\u00e9marche correcte est donc de scanner le code QR, d’en extraire l’adresse (URL) de la page web correspondant au paiement d’infractions, de visiter cette page et de r\u00e9gler le montant d\u00fb. Parfait. Mais il y a quelques d\u00e9tails d’impl\u00e9mentation qui d\u00e9rangent. Tout d’abord, ce n’est pas n’importe quel smartphone qui peut scanner et interpr\u00e9ter un code QR; des mod\u00e8les plus anciens n\u00e9cessitent un logiciel sp\u00e9cialis\u00e9, comme le v\u00e9n\u00e9rable Barcode scanner<\/a> pour Android. Et pour les r\u00e9fractaires \u00e0 l’informatique mobile, il faut donc introduire \u00e0 la main l’URL mentionn\u00e9e dans le texte au-dessous du code QR, puis, arriv\u00e9 sur la bonne page web, introduire son num\u00e9ro d’immatriculation et un num\u00e9ro de r\u00e9f\u00e9rence (appel\u00e9 maladroitement \u00ab\u00a0r\u00e9f\u00e9rence web<\/em>\u00a0\u00bb sur le bulletin) relativement malais\u00e9 \u00e0 manipuler. Ce n’est d’ailleurs qu’\u00e0 ce stade que l’on peut prendre connaissance de la somme \u00e0 payer. Il semble que cette information e\u00fbt pu \u00eatre donn\u00e9e plus t\u00f4t, mais bon…<\/p>\n\n\n\n

M\u00eame en disposant d’un smartphone de derni\u00e8re g\u00e9n\u00e9ration, les ennuis ne sont pas termin\u00e9s pour autant. Comme mentionn\u00e9 pr\u00e9c\u00e9demment, le montant \u00e0 payer n’est pas mentionn\u00e9 sur le bulletin d’amende d’ordre; il ne peut \u00eatre connu qu’au travers du site web. Arriv\u00e9 sur ce site au moyen de son smartphone, le malheureux contrevenant sera donc amen\u00e9 \u00e0 payer le montant de l’infraction, probablement au moyen de ce m\u00eame smartphone. Il devra donc ouvrir une deuxi\u00e8me session, scanner un deuxi\u00e8me code QR dans une deuxi\u00e8me application pour effectuer son paiement, par exemple avec une application comme TWINT<\/a>. Les interfaces utilisateurs de smartphones ne sont pas vraiment con\u00e7us pour faciliter la gestion du multit\u00e2ches<\/a>, m\u00eame si ce dernier est support\u00e9 de mani\u00e8re native par les syst\u00e8mes d’exploitation; il y a donc quelque chance pour que l’une des sessions actives se ferme intempestivement, au grand dam de l’utilisateur ! Au mieux, il peut tout recommencer; au pire il abandonnera, ou pensera avoir effectu\u00e9 un paiement et recevra un rappel surfactur\u00e9 dans quelques jours. Voil\u00e0 une source d’erreurs pour l’utilisateur qu’une proc\u00e9dure plus intuitive e\u00fbt sans doute permis d’\u00e9viter !<\/p>\n\n\n\n

Il y a un autre souci, beaucoup plus pr\u00e9occupant, celui-l\u00e0. L’URL contenu dans le code QR n’est pas identique \u00e0 celui qui est propos\u00e9 pour l’acc\u00e8s \u00ab\u00a0manuel\u00a0\u00bb au site. La diff\u00e9rence qui interpelle, c’est que le site d\u00e9fini par le code QR est un site \u00ab\u00a0http<\/strong>\u00a0\u00bb (donc non s\u00e9curis\u00e9 et ne proposant aucun certificat garantissant son authenticit\u00e9), alors que le site indiqu\u00e9 pour l’acc\u00e8s manuel est un site en \u00ab\u00a0https<\/strong>\u00a0\u00bb (donc s\u00e9curis\u00e9 !). Voil\u00e0 qui n’est pas fait pour inspirer confiance, surtout quand votre smartphone vous gratifie d’un avertissement p\u00e9remptoire du genre \u00ab\u00a0Attention, vous allez visiter un site non s\u00e9curis\u00e9, \u00eates-vous s\u00fbr de vouloir prendre ce risque ?<\/em>\u00a0\u00bb ou similaire. Il n’y a aucune raison valable pour utiliser un site non s\u00e9curis\u00e9 alors qu’un pendant s\u00e9curis\u00e9 existe, \u00e0 moins qu’une erreur de programmation ne se soit gliss\u00e9e dans le d\u00e9veloppement, ou que le \u00ab\u00a0s\u00a0\u00bb de https n’aie rendu l’URL trop longue pour la capacit\u00e9 du code QR (ce qui ne constitue en aucun cas une raison valable, bien s\u00fbr). Cette erreur est loin d’\u00eatre b\u00e9nigne, et t\u00e9moigne d’un manque de rigueur dans le d\u00e9veloppement et dans les tests qui laisse perplexe.<\/p>\n\n\n\n

Une autre question que je me pose, c’est de savoir quand un petit fut\u00e9 amateur de programmation web s’amusera \u00e0 cr\u00e9er de fausses amendes d’ordre sur ce mod\u00e8le, redirigeant la proc\u00e9dure vers un site qu’il contr\u00f4le, lui (site de phishing ou Hame\u00e7onnage<\/a>) et d\u00e9velopp\u00e9 sur le mod\u00e8le du site original; c’est beaucoup plus facile \u00e0 r\u00e9aliser que ce que l’on veut bien pr\u00e9tendre : un de mes dipl\u00f4mants (brillant, certes) avait en son temps r\u00e9alis\u00e9 un tel site en deux heures pour les besoins d’une d\u00e9monstration lors de sa d\u00e9fense de dipl\u00f4me, et l’expert n’y avait vu que du feu… S’il r\u00e9alise ceci, il n’aura plus qu’\u00e0 imprimer de fausses \u00ab\u00a0prunes\u00a0\u00bb \u00e0 placer de ci, de l\u00e0 sur des pare-brise en ville de Neuch\u00e2tel, et attendre que son compte en banque se remplisse.<\/p>\n\n\n\n

Je continue \u00e0 penser que l’on doit aller vers une plus grande num\u00e9risation des proc\u00e9dures; mais cette num\u00e9risation devrait simplifier la vie des utilisateurs, et leur garantir une meilleure s\u00e9curit\u00e9 des transactions. Dans le cas pr\u00e9sent, j’ai quelques doutes.<\/p>\n\n\n\n

<\/p>\n","protected":false},"excerpt":{"rendered":"

Une personne de ma connaissance s’est r\u00e9cemment vu infliger un proc\u00e8s-verbal pour un stationnement jug\u00e9 inad\u00e9quat par l’autorit\u00e9 locale. Jusque l\u00e0, rien de tr\u00e8s original, sauf que le proc\u00e8s-verbal se r\u00e9duisait \u00e0 un papier format carte postale agr\u00e9ment\u00e9 d’un code QR et d’une l\u00e9gende que je reproduis ci-dessous (les zones masqu\u00e9es de rouge vif sont … Continuer la lecture de QR-prune<\/span> →<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_crdt_document":"","ngg_post_thumbnail":0,"footnotes":""},"categories":[1],"tags":[106,105],"class_list":["post-10828","post","type-post","status-publish","format-standard","hentry","category-non-classe","tag-amendes","tag-qr-code"],"_links":{"self":[{"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/posts\/10828","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/comments?post=10828"}],"version-history":[{"count":8,"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/posts\/10828\/revisions"}],"predecessor-version":[{"id":10844,"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/posts\/10828\/revisions\/10844"}],"wp:attachment":[{"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/media?parent=10828"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/categories?post=10828"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/tags?post=10828"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}