Arnaque au QR Code : une nouvelle technique inquiétante

Arnaque au QR Code : une nouvelle technique inquiétante

La popularité du QR Code a inspiré les escrocs, qui utilisent le fameux code graphique pour entraîner leurs victimes vers des sites malveillants. La prudence s'impose pour éviter de tomber dans ce nouveau piège, très à la mode.

Longtemps réservé à quelques initiés, le QR Code a sensiblement gagné en popularité ces dernières années, notamment depuis l'apparition de la Covid-19, où il a été utilisé pour le fameux pass sanitaire, mais aussi sur les tables des restaurants, pour éviter que les clients touchent les cartes de menu, par exemple. Plus largement, ce code graphique numérique est largement utilisé désormais pour obtenir un code Wi-Fi, pour télécharger directement une application ou pour envoyer vers un site Web. Une démocratisation d'autant plus rapide que ce système est très simple d'utilisation, puisque tout se fait automatiquement, de façon transparente, sans manipulation complexe. 

Malheureusement, comme à chaque fois qu'une nouvelle technologie gagne en popularité, les pirates s'en emparent. En effet, les victimes ne connaissant pas encore très bien le fonctionnement de ce système, il est plus facile de les leurrer. C'est pour ces raisons que des experts en cybersécurité alertent sur la multiplication de QR Codes frauduleux, capables de voler les données des utilisateurs ou d'installer un logiciel malveillant sur leurs appareils, comme Len Noe, chercheur en cybersécurité chez CyberArk, le raconte dans Le Parisien.

QR Code : un nouvelle technique d'hameçonnage peu connue

Le principe du QR Code est simple. Grâce à l'appareil photo ou une application de scan sur un smartphone, il renvoie l'utilisateur vers une page internet ou une application. Or il suffit simplement de coller un autocollant – sur un menu, une affiche ou un flyer, par exemple – pour que des milliers de personnes se fassent avoir sans s'en rendre compte. En le scannant, les victimes sont soit amenées à télécharger une application contenant un malware, soit redirigées vers une page ressemblant à l'original et qui va, d'une façon ou d'une autre, les inviter à rentrer leurs données personnelles et/ou bancaires.

Les campagnes de phishing sont de plus en plus ingénieuses, et il est plutôt difficile de déceler un faux QR Code, bien que certains détails puissent mettre la puce à l'oreille, comme un autocollant en surcouche ou une adresse Internet qui ne correspondrait pas. En plus, il est très facile, grâce à des sites internet, de générer rapidement un QR Code pour une adresse URL. "Il a fallu des années pour sensibiliser les gens à ne pas cliquer sur un lien douteux envoyé par e-mail, il faut tout recommencer avec ces QR Codes qui sont des campagnes d'hameçonnage sous une nouvelle forme physique", déplore un chercheur en cybersécurité au Parisien.

QR Code : une arnaque qui visent les touristes

Les faux QR Codes sont redoutables car, comme l'explique le spécialiste, "la cyberattaque passe par l'appareil photo et contourne ainsi les antivirus et les filtres de sécurité." Ce type de fraude a déjà été détecté en Asie, en Allemagne et aux États-Unis, ce qui a conduit le FBI à lancer des alertes. Il s'agit d'une cybercriminalité de proximité qui vise surtout des sites touristiques. Mais pas seulement.

Au Texas, dans la ville d'Austin, des automobilistes ont été victimes de phishing via des QR Codes collés sur des parcmètres. Mais au lieu d'être redirigés vers le site Web ou l'application officielle de la ville pour régler leur stationnement, les automobilistes ont atterri sur un faux site qui recueillait les informations relatives à leur carte de crédit. Une arnaque similaire a été recensée dans la ville de San Antonio. Ces QR Codes commencent également à apparaître dans des courriels de phishing et des publicités en ligne. Un moyen qui peut paraître étrange puisque pourquoi nous rediriger vers un site internet, alors que nous y sommes déjà ? Tout simplement parce qu'ils ne sont souvent pas détectés par les logiciels de sécurité, ce qui leur donne plus de chances d'atteindre leurs cibles que les pièces jointes ou les liens dangereux. En plus, il est beaucoup plus rapide d'envoyer des milliers d'e-mails frauduleux que d'aller coller des QR Codes en ville.

Il faudra rester vigilant durant ces vacances, que ce soit en France ou à l'étranger. Bien qu'aucune victime n'ait été recensée en France, le site cybermalveillance.gouv.fr se tient à l'affût, surtout pendant les vacances d'été. Par précaution, il est recommandé un moteur de recherche ou un VPN lors d'une connexion à un réseau Wi-Fi public. De même, mieux vaut ne pas télécharger d'applications en dehors des stores officiels –le Play Store de Google et l'App Store d'Apple. Il faut garder à l'esprit que de nombreux QR Codes intégrés dans les e-mails sont  frauduleux, et que si un QR Code renvoie vers un site demandant des informations qui ne semblent pas nécessaires, mieux vaut ne pas les transmettre.