Méfiez-vous des QR codes que vous scannez - des escrocs les utilisent pour vous piéger
Attention si vous avez l'habitude de scanner des QR codes à tout-va ! De plus en plus d'escrocs exploitent cette technologie pour propager des liens malveillants. Il est facile de tomber dans ce nouveau piège très en vogue !
Aujourd'hui, nous sommes obligés de nous méfier de tout, car les arnaqueurs redoublent d'ingéniosité pour piéger leurs victimes. Mails et SMS de phishing, fausses pages de connexion, lettres recommandées frauduleuses, appels téléphoniques avec usurpation d'identité, offres d'emploi montées de toutes pièces... C'est bien simple, chaque message, chaque lien, chaque appel doit être étudié avec précaution, même ceux qui paraissent les plus banals. C'est aussi le cas des QR codes, dont nous vous recommandons fortement de vous méfier. Ce petit code graphique numérique a pourtant l'air inoffensif ! Utilisé pour obtenir un code Wi-Fi, pour télécharger directement une application ou pour envoyer vers un site Web, on le retrouve aujourd'hui décliné sous toutes les formes, sur les menus des restaurants, les titres de transport, les emballages de produits alimentaires, les notices des médicaments, les affiches dans le métro, les étiquettes de vêtements, les publicités des magazines, les panneaux d'information, les cartes de visite ou encore à la télévision. Pourtant, ils sont de plus en plus utilisés par les cybercriminels, qui pratiquent ce que l'on nomme le quishing – c'est comme le phishing, mais avec un QR code.
Aussi, on vous déconseille fortement de scanner ces petits code-barres 2D à tout-va, sans forcément prêter attention aux plateformes vers lesquelles ils vous renvoient. La plupart du temps, ils redirigent automatiquement vers un site Web ou installent un malware sur votre appareil, et, malheureusement, rien ne permet de distinguer un QR code malveillant d'un QR code légitime. Et c'est là que repose tout le problème. D'autant plus qu'il est très facile, grâce à des sites internet, de générer rapidement un QR code pour une adresse URL. C'est une technique redoutable, car la cyberattaque passe par l'appareil photo et contourne ainsi les antivirus et les filtres de sécurité habituels.
Ainsi, les escrocs n'hésitent pas à coller des QR codes sur les parcmètres, ce qui leur permet d'empocher le paiement pour la place de stationnement. Idem avec les bornes de recharge pour les voitures électriques – la petite commune de Lorris, dans le Loiret, en a récemment fait les frais. Ils ont également modernisé l'arnaque du faux SMS de l'ANTAI en déposant de faux PV contenant le petit graphique sur les parebrises, ou peuvent s'en servir pour détourner le système de paiement sécurisé de plateformes comme Leboncoin pour soutirer de l'argent à leurs victimes. Le QR code commence également à apparaître dans des courriels de phishing et des publicités en ligne. Un moyen qui peut paraître étrange : pourquoi nous rediriger vers un site Internet, alors que nous y sommes déjà ? Tout simplement parce qu'ils ne sont souvent pas détectés par les logiciels de sécurité, ce qui leur donne plus de chances d'atteindre leurs cibles que les pièces jointes ou les liens dangereux. En plus, il est beaucoup plus rapide d'envoyer des milliers d'e-mails frauduleux que d'aller coller des QR codes en ville.
Aussi, nous vous recommandons de respecter quelques règles de sécurité à chaque fois que vous vous apprêtez à en scanner un. Tout d'abord, ne scannez jamais ceux que vous recevriez sans raison valable par e-mail ou par SMS. Gardez à l'esprit que de nombreux QR codes intégrés dans les e-mails sont frauduleux, et que si l'un d'entre eux renvoie vers un site demandant des informations qui ne semblent pas nécessaires, mieux vaut ne pas les transmettre. De plus, évitez d'utiliser des applications tierces pour scanner des QR codes. Tous les smartphones, sur iOS comme sur Android, sont capables de les lire nativement depuis l'application appareil photo native. Et si jamais vous voulez absolument une autre appli, n'en téléchargez pas en dehors des stores officiels –le Play Store de Google et l'App Store d'Apple –, même si cela n'est pas un gage de sécurité absolu. Enfin, assurez-vous d'avoir toujours un smartphone à jour, de protéger vos comptes avec des mots de passe complexes uniques et, lorsque c'est possible, d'activer la double authentification.