Les QR codes font fureur et les escrocs l'ont remarqué. Méfiez-vous de ces petits carrés noirs et blancs.
Par Benoit Grunemwald, Expert en Cyber sécurité chez ESET France
Les QR codes ont le vent en poupe. Ces modestes carrés existent peut-être depuis 1994, mais ils sont réellement devenus célèbres depuis la crise du COVID-19. Aujourd'hui, vous pouvez les apercevoir partout, les codes étant utilisés pour l'affichage des menus de restaurants jusqu’aux transactions sans contact en passant par des applications de partage de contacts.
Toutefois, comme toute autre technologie courante, l'utilisation généralisée des QR codes a également attiré l'attention des escrocs, à des fins criminelles. Cette tendance a même suscité une alerte de la part du Federal Bureau of Investigation (FBI) des États-Unis. Comment les fraudeurs utilisent-ils les codes à des fins illicites ?
Qu'est-ce qu'un QR code et comment fonctionne-t-il ?
Abréviation de "Quick Response", un QR code est un type de code-barres interprétable par une machine instantanément. Un QR code peut contenir jusqu'à 4 296 caractères alphanumériques, ce qui permet un décodage facile par l'appareil photo d'un smartphone.
Les chaînes de texte qui sont codées dans un QR code peuvent contenir une variété de données. L'action déclenchée par la lecture d'un QR code dépend de l'application qui interagit avec ledit code. Les codes peuvent être utilisés pour naviguer vers un site web, télécharger un fichier, ajouter un contact, se connecter à un réseau Wi-Fi et même effectuer des paiements. Les QR codes sont très polyvalents et peuvent être personnalisés pour inclure des logos. Les versions dynamiques des QR codes vous permettent même de modifier le contenu ou l'action à tout moment. Cette polyvalence peut toutefois être une arme à double tranchant.
Comment les QR codes peuvent être exploités ?
Le grand nombre de cas d'utilisation des QR codes (et le potentiel d'utilisation abusive) n'échappe pas aux fraudeurs.
Voici comment les cybercriminels peuvent détourner les codes pour voler vos données et votre argent :
- Redirection vers un site web malveillant pour voler des informations sensibles : Les attaques d’hameçonnage ne se propagent pas uniquement par e-mails, des messages instantanés ou des SMS. Tout comme les attaquants peuvent utiliser des publicités malveillantes et d'autres techniques pour vous diriger vers des sites frauduleux, ils peuvent faire de même avec les codes QR.
- Téléchargement d’un fichier malveillant sur votre appareil : De nombreux bars et restaurants utilisent des QR codes pour télécharger un menu au format PDF ou installer une application vous permettant de passer une commande. Les attaquants peuvent facilement falsifier le QR code pour vous inciter à télécharger un fichier PDF malveillant ou une application mobile malveillante.
- Déclencher des actions sur votre appareil : Les QR codes peuvent déclencher des actions directement sur votre appareil, ces actions dépendant de l'application qui les lit. Cependant, il existe certaines actions de base que tout lecteur QR est capable d'interpréter. Il s'agit notamment de la connexion de l'appareil à un réseau Wi-Fi, de l'envoi d'un e-mail ou d'un SMS avec un texte prédéfini, ou de l'enregistrement des informations de contact sur votre appareil. Bien que ces actions ne soient pas malveillantes en soi, elles peuvent être utilisées pour connecter un appareil à un réseau compromis ou envoyer des messages en votre nom.
- Détourner un paiement : La plupart des applications financières permettent aujourd'hui d'effectuer des paiements au moyen de codes QR contenant des données appartenant au destinataire de l'argent. De nombreux magasins vous affichent ces codes pour ainsi faciliter la transaction. Cependant, un attaquant pourrait modifier ce QR avec ses propres données et recevoir des paiements sur son compte. Il pourrait également générer des codes avec des demandes de collecte d'argent pour vous tromper.
- Voler votre identité : De nombreux QR codes sont utilisés comme certificat pour vérifier vos informations, comme votre carte d'identité ou votre carnet de vaccination. Dans ces cas, les QR codes peuvent contenir des informations aussi sensibles que celles contenues dans votre pièce d'identité ou votre dossier médical, qu'un attaquant pourrait facilement obtenir en scannant le QR code.
Nous avons adopté les QR codes dans notre vie quotidienne. Et comme avec toutes les nouvelles pratiques, il nous faut prendre de nouvelles habitudes pour rester vigilants. Chaque nouvelle technologie amène son lot d’avantages mais aussi de menaces.