Retrait de gâteaux Pat’Patrouille après la manipulation d’un QR Code

Posted On 12 Sep 2023

ABONNEZ-VOUS GRATUITEMENT À NOS ACTUALITÉS

Vous aimez nos actus inédites ? ABONNEZ-VOUS A ZATAZ VIA GOOGLE NEWS Recevez gratuitement, le samedi, PAR MAIL LES ACTUS ZATAZ de la semaine écoulée.

La géante des supermarchés, Lidl, a émis un rappel concernant les gâteaux à l’effigie de la Pat’Patrouille. Le QR Code affiché sur les boîtes dirigeait les enfants vers des sites pour adultes !

« Papa, Papa, Chase et Ruben, ils sont à poil ! » Voilà le type de messages que certains parents ont dû gérer après que le plus jeune de la famille a visité le site web proposé par le QR code affiché sur les boîtes de gâteaux pour enfants aux couleurs de la Pat’Patrouille.

Lidl, qui compte plus de 12 000 magasins dans le monde, a alerté ses clients au Royaume-Uni à la fin du mois d’août pour qu’ils retournent les boîtes en vue d’un remboursement complet. Les produits touchés comprennent les délices Pat’Patrouille et les mini-biscuits Pat’Patrouille, des collations recommandées pour les enfants de deux ans et plus. L’avis de rappel de Lidl indique que l’emballage du produit contient une adresse Web qui a été « compromise » pour afficher un contenu « non adapté à la consommation par les enfants […] « Nous recommandons aux clients de ne pas consulter l’URL et de retourner ce produit au magasin le plus proche, où un remboursement complet sera accordé« , déclare Lidl.

Le site chinois s’active une fois visité via un téléphone portable – capture : zataz.com

Oublier de renouveler l’adresse web et c’est la cata !

Lidl n’a pas précisé comment ni pourquoi le site Web aurait été prétendument compromis. Pour être honnête, le plus simplement du monde ! l’URL a été enregistrée en mai 2023 et activée en juin de la même année, soit quelques jours après la mise en rayon des boîtes avec le QR Code détourné. Vicieusement, l’URL, lorsqu’elle est consultée via un ordinateur, affiche un avertissement du ministère de l’Industrie et des Technologies de l’information chinois. La visite, via un smartphone, facilitée par le QR Code, redirige vers un annuaire de sites pour adultes. Le QR code et le site interdit aux moins de 18 ans sont toujours actifs au moment de la publication de cet article sur ZATAZ.

Le site Web original appartenait auparavant au fabricant des produits Pat’Patrouille, une sous-marque d’Appy Food & Drinks nommée Appy Kids Co, une société dissoute en juin 2022. En somme, un scénario de black hat SEO classique parmi les professionnels de la récupération de noms de domaine. Il n’est même pas évident que le « pirate » chinois sache que derrière cette adresse web récupérée se cachait un QR Code imprimé sur des boîtes de gâteaux pour enfants.

Preuve, une fois de plus, qu’un enfant ne devrait pas naviguer seul sur un smartphone et l’utiliser sans la supervision d’un adulte. Un téléphone portable, tout comme une console de jeux ou un ordinateur, ne sont pas des « nounous ». La nounou 2.0 pourrait dissimuler bien des problèmes.

Exemple de boutons de « renouvellement automatique d’url » chez des registars.

Il n’est pas rare de croiser des sites web d’artisans piégés de la sorte après que le propriétaire légitime ait oublié de renouveler son URL. À noter que pour éviter ce genre de problème, n’oubliez pas d’utiliser l’option « renouvellement automatique » proposée par votre registrar.

L’un des cas les plus « drôle » concernant le détournement d’une adresse web oubliée aura visé Donald Trump, ancien Président des États-Unis d’Amérique. Nous sommes en 2017, je vous laisse découvrir cette manipulation au dépend du politique. Une manipulation pour moins de 10€ !

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.