Scannez avec prudence, les arnaques aux QR codes fleurissent
Les QR codes font fureur et les escrocs l’ont remarqué. Méfiez-vous de ces petits carrés noirs et blancs.
Les QR codes ont le vent en poupe. Ces modestes carrés existent peut-être depuis 1994, mais ils sont réellement devenus célèbres depuis la crise du COVID-19. Aujourd’hui, vous pouvez les apercevoir partout, les codes étant utilisés pour l’affichage des menus de restaurants jusqu’aux transactions sans contact en passant par des applications de partage de contacts.
Toutefois, comme toute autre technologie courante, l’utilisation généralisée des QR codes a également attiré l’attention des escrocs, à des fins criminelles. Cette tendance a même suscité une alerte de la part du Federal Bureau of Investigation (FBI) des États-Unis. Comment les fraudeurs utilisent-ils les codes à des fins illicites ?
Qu’est-ce qu’un QR code et comment fonctionne-t-il ?
Abréviation de “Quick Response”, un QR code est un type de code-barres interprétable par une machine instantanément. Un QR code peut contenir jusqu’à 4 296 caractères alphanumériques, ce qui permet un décodage facile par l’appareil photo d’un smartphone.
Les chaînes de texte qui sont codées dans un QR code peuvent contenir une variété de données. L’action déclenchée par la lecture d’un QR code dépend de l’application qui interagit avec ledit code. Les codes peuvent être utilisés pour naviguer vers un site web, télécharger un fichier, ajouter un contact, se connecter à un réseau Wi-Fi et même effectuer des paiements. Les QR codes sont très polyvalents et peuvent être personnalisés pour inclure des logos. Les versions dynamiques des QR codes vous permettent même de modifier le contenu ou l’action à tout moment. Cette polyvalence peut toutefois être une arme à double tranchant.
Comment les QR codes peuvent être exploités ?
Le grand nombre de cas d’utilisation des QR codes (et le potentiel d’utilisation abusive) n’échappe pas aux fraudeurs. Voici comment les cybercriminels peuvent détourner les codes pour voler vos données et votre argent :
- Redirection vers un site web malveillant pour voler des informations sensibles : Les attaques d’hameçonnage ne se propagent pas uniquement par e-mails, des messages instantanés ou des SMS. Tout comme les attaquants peuvent utiliser des publicités malveillantes et d’autres techniques pour vous diriger vers des sites frauduleux, ils peuvent faire de même avec les codes QR.
- Téléchargement d’un fichier malveillant sur votre appareil : De nombreux bars et restaurants utilisent des QR codes pour télécharger un menu au format PDF ou installer une application vous permettant de passer une commande. Les attaquants peuvent facilement falsifier le QR code pour vous inciter à télécharger un fichier PDF malveillant ou une application mobile malveillante.
- Déclencher des actions sur votre appareil : Les QR codes peuvent déclencher des actions directement sur votre appareil, ces actions dépendant de l’application qui les lit. Cependant, il existe certaines actions de base que tout lecteur QR est capable d’interpréter. Il s’agit notamment de la connexion de l’appareil à un réseau Wi-Fi, de l’envoi d’un e-mail ou d’un SMS avec un texte prédéfini, ou de l’enregistrement des informations de contact sur votre appareil. Bien que ces actions ne soient pas malveillantes en soi, elles peuvent être utilisées pour connecter un appareil à un réseau compromis ou envoyer des messages en votre nom.
- Détourner un paiement : La plupart des applications financières permettent aujourd’hui d’effectuer des paiements au moyen de codes QR contenant des données appartenant au destinataire de l’argent. De nombreux magasins vous affichent ces codes pour ainsi faciliter la transaction. Cependant, un attaquant pourrait modifier ce QR avec ses propres données et recevoir des paiements sur son compte. Il pourrait également générer des codes avec des demandes de collecte d’argent pour vous tromper.
- Voler votre identité : De nombreux QR codes sont utilisés comme certificat pour vérifier vos informations, comme votre carte d’identité ou votre carnet de vaccination. Dans ces cas, les QR codes peuvent contenir des informations aussi sensibles que celles contenues dans votre pièce d’identité ou votre dossier médical, qu’un attaquant pourrait facilement obtenir en scannant le QR code.
Nous avons adopté les QR codes dans notre vie quotidienne. Et comme avec toutes les nouvelles pratiques, il nous faut prendre de nouvelles habitudes pour rester vigilants. Chaque nouvelle technologie amène son lot d’avantages mais aussi de menaces.
9 conseils pour rester en sécurité lors de l’utilisation de QR codes
Voici quelques conseils pour scanner vos QR codes en toute sécurité.
En 2022, nombre d’entre nous utilisons régulièrement les QR Codes, si ce n’est quotidiennement. D’autant plus, depuis la pandémie et leur utilisation massive que ce soit pour les pass sanitaires ou les cartes de restaurants. Mais ceux-ci ne sont pas dépourvus de risques. Les cyberattaquants l’ont bien compris et font aujourd’hui appel à l’ingénierie sociale pour nous inciter à réaliser des actions malencontreuses.
Voici ce que vous devriez prendre en compte avant de scanner un QR code :
- Vérifiez systématiquement qu’il n’a pas été altéré ; par exemple, vérifiez qu’il ne recouvre pas un autre QR code.
- Abstenez-vous de scanner des QR codes trouvés au hasard ou des codes figurant dans des messages non sollicités.
- Faites preuve de la même prudence avec les codes que lorsque vous manipulez des liens ou des pièces jointes dans des e-mails ou des applications de messagerie.
- Soyez très prudent lorsqu’il s’agit d’utiliser un QR code pour payer une facture ou effectuer un autre type de transaction financière. Envisagez, si possible, d’utiliser une autre option de paiement.
- Désactivez l’option permettant d’effectuer des actions automatiques lors de la numérisation d’un QR code, comme la visite d’un site Web, le téléchargement d’un fichier ou la connexion à un réseau Wi-Fi.
- Après le scan, analysez l’URL pour vérifier qu’elle est légitime. Malgré tout, il est souvent préférable d’éviter de saisir vos données de connexion ou vos informations personnelles sur un site sur lequel vous avez atterri via un QR code. Si quelque chose vous semble anormal, ouvrez un navigateur et tapez vous-même l’URL.
- Ne partagez pas les QR codes contenant des informations sensibles, comme ceux utilisés pour accéder à des applications ou ceux inclus dans des documents et des certificats de santé.
- Lorsque vous générez un QR code, utilisez un service réputé. Un tel service peut également vérifier que le QR est authentique et effectue l’action souhaitée.
- Maintenez vos applications à jour et utilisez des logiciels de sécurité.