Attention si vous trouvez un colis anonyme ou un courrier mystérieux avec un QR code dans votre boîte aux lettres ! Il s'agit d'une nouvelle technique des escrocs pour vous arnaquer en vous dirigeant vers un site piégé.

Autrefois réservé à quelques initiés, le QR Code s'est popularisé au fil des années. On l'a vu au premier plan avec le pass sanitaire durant la crise du Covid-19, mais il s'est aussi glissé dans le quotidien. Aujourd'hui, il sert à partager un code Wi-Fi, à télécharger une application en un instant ou à rediriger vers un site Web. C'est bien simple, on le retrouve décliné sous toutes les formes, sur les menus des restaurants, les titres de transport, les emballages de produits alimentaires, les notices des médicaments, les affiches dans le métro, les étiquettes de vêtements, les publicités des magazines, les panneaux d'information, les cartes de visite ou encore à la télévision. Une adoption accélérée par sa simplicité d'usage : il suffit de le scanner, tout se fait automatiquement, sans effort ni manipulation compliquée.

Malheureusement, comme à chaque fois qu'une nouvelle technologie gagne en popularité, les pirates s'en sont emparés par le biais du quishing – c'est comme le phishing, mais avec un QR code. Ainsi, les escrocs n'hésitent pas à en coller sur les parcmètres ou sur les bornes de recharge pour les voitures électriques, afin de détourner les paiements. Ils ont également modernisé l'arnaque du faux SMS de l'ANTAI en déposant de faux PV contenant le petit graphique sur les pare-brises, ou peuvent s'en servir pour détourner le système de paiement sécurisé de plateformes comme Leboncoin. Mais des pirates ont trouvé une nouvelle astuce pour voler des données personnelles : passer directement par la boîte aux lettres des victimes, notamment via des colis ou des courriers de l'Assurance maladie.

Arnaques au QR code : colis étranges et courriers menaçants

La première méthode a été signalée par le FBI. Certains escrocs envoient actuellement des colis contenant un QR code directement au domicile de leurs victimes. Ces derniers ne contiennent absolument aucune information sur l'expéditeur, si ce n'est un QR code. Pour savoir d'où proviennent les paquets, elles n'ont d'autres choix que de scanner le petit graphique. Grave erreur, car celui-ci redirige la cible vers une page de phishing qui, sous un prétexte quelconque, se chargera de récolter ses informations personnelles et bancaires. La page ouverte peut également télécharger et installer automatiquement un logiciel malveillant sur son smartphone.

© Reddit

Il serait naïf de croire que cette arnaque ne sévit qu'en Outre-Atlantique. Ce week-end, un internaute a lancé une alerte sur Reddit après avoir reçu un courrier en provenance soi-disant de l'Assurance maladie et exigeant une validation urgente de son identité via un QR code. La lettre est extrêmement convaincante : elle affiche le logo de l'Assurance maladie, a recours à des numéros de dossiers fictifs, et se permet même plusieurs mentions du "service sécurité des comptes". Il s'agit là d'une "nouvelle procédure de sécurisation" qui, si elle n'est pas effectuée dans les 72 heures, entraînera la suspension temporaire du compte Ameli et le blocage des remboursements. Cela ne rigole pas ! Cerise sur le gâteau : le courrier rappelle qu'il ne faut "jamais communiquer vos identifiants ou mots de passe à des tiers", ni "cliquer sur des liens non vérifiés reçus par e-mail ou SMS".

Arnaques au QR code : comment s'en prémunir ?

Ces arnaques sont redoutables car, en passant par un objet réel, les escrocs parviennent à contourner la méfiance de la victime. Si nous avons, pour la plupart, compris qu'il ne fallait surtout pas cliquer sur un lien suspect reçu dans un e-mail ou un SMS, nous sommes beaucoup plus susceptibles de scanner instinctivement un QR code sur quelque chose de physique. Une étude de NordVPN réalisée en France, Belgique et Pays-Bas révèle que "43 % des utilisateurs ne prennent aucune précaution avant de scanner un QR code".

Aussi, nous vous recommandons de respecter quelques règles de sécurité à chaque fois que vous vous apprêtez à en scanner un. Tout d'abord, ne scannez jamais ceux que vous recevriez sans raison valable, et ce, quel que soit le support. Si vous recevez un courrier suspect, contactez directement l'organisme en question – ici, la CPAM. Plus simplement, ne scannez jamais de QR code dont vous ne connaissez pas la provenance. Enfin, assurez-vous d'avoir toujours un smartphone à jour, de protéger vos comptes avec des mots de passe complexes uniques et, lorsque c'est possible, d'activer la double authentification.