Pendant la pandémie de COVID-19, les restaurants du monde entier ont remplacé leurs menus par des codes QR collés sur les tables. Les menus physiques étaient jugés trop difficiles à nettoyer et pouvaient être des vecteurs de contamination. Comme de nos jours, tout le monde possède un téléphone intelligent, les codes QR représentent une alternative pratique. En effet, les clients n’ont ainsi pas à taper l’adresse URL du restaurant dans leur téléphone.
Auparavant, les codes QR étaient surtout utilisés dans le domaine de la publicité. Ils permettaient aux consommateurs d’accéder rapidement à un site Web lors de la lecture d’un magazine papier. Plusieurs start-ups ont également tenté de lancer des produits de paiement par code QR au fil des ans. Bien que cette technologie ait connu un succès phénoménal en Chine et dans d’autres pays d’Asie, elle ne s’est jamais réellement implantée ailleurs dans le monde.
Ces usages demeurent toutefois bien éloignés de la vraie raison pour laquelle les codes QR ont été inventés en 1994. À l’origine, ils étaient destinés au suivi et à la surveillance de la qualité sur les chaînes de production de voitures. Ils sont rapidement devenus populaires pour ancrer des sites Web dans le monde réel, mais comme il ne s’agissait pas de leur fonction initiale, ils présentaient également des lacunes au niveau de la sécurité.
Les codes QR, pour « Quick Response » (code à réponse rapide) sont suffisamment aléatoires pour générer des millions d’images uniques. Cependant, la technologie elle-même est tellement simple qu’elle n’est pas en mesure de détecter des problèmes évidents, comme une adresse URL qui ne pointe pas dans la bonne direction. Les codes QR constituent donc d’excellents outils pour les attaques d’hameçonnage, d’autant plus que les cybercriminels sont de plus en plus habiles à détecter les fraudes potentielles.
Cet article présente cinq éléments que vous devriez toujours garder à l’esprit lorsque vous voyez un code QR. Ces cinq comportements permettront de vous protéger et de faire face à toute situation impliquant un faux code QR.
Ne scannez pas n’importe quel code QR
Les codes QR sont aujourd’hui tellement répandus que nous les scannons sans hésiter. C’est dans ce contexte que des arnaques de stationnement utilisant de faux codes QR sont apparues à San Antonio, au Texas, et à Atlanta. Les fraudeurs n’ont eu qu’à poser des autocollants sur les parcomètres de la ville. Lorsque les victimes numérisaient le code, elles étaient dirigées vers un site Web où leurs informations de carte de crédit étaient dérobées, puis vendues. Des fraudes similaires impliquant des codes QR ont également vu le jour en France, via de faux avis de livraison.
Des arnaques qui se multiplient alors que les vérifications à faire sur les codes QR sont aussi simples que celles qui s’appliquent aux attaques d’hameçonnage par courriel.
Évitez de numériser un code QR reçu par courriel
Premier conseil, ne scannez jamais un code QR transmis par courriel. La seule raison d’envoyer un code QR par courriel est pour dissimuler un lien frauduleux afin de contourner les mesures de sécurité mises en place par une organisation.
Les fraudeurs utilisant cette méthode essaient normalement de se faire passer pour une grosse organisation, comme une banque. En effet, celles-ci sont plus susceptibles de susciter la confiance et d’introduire de nouvelles mesures technologiques, comme l’utilisation de codes QR. Pourtant, il n’existe aucune raison valable permettant de justifier l’envoi d’un code QR par courriel. À moins que l’expéditeur du code QR n’espère que le destinataire clique sur l’URL.
Assurez-vous donc que l’adresse URL qui s’affiche dans votre navigateur après avoir numérisé le code est bien la bonne. De plus, examinez la page de près pour vous assurer qu’il n’y a pas d’erreur au niveau de sa conception.
Usez de précautions lors des paiements par code QR
Le paiement par code QR est une pratique que bon nombre d’entreprises ont tenté de mettre en place, sans succès. Ironiquement, la faible adhésion des consommateurs et les problèmes de sécurité sont les principales raisons pour lesquelles ces jeunes entreprises n’ont jamais réussi. Non seulement les codes QR étaient-ils rares, mais ils étaient également tellement faciles à utiliser à des fins malveillantes que les investisseurs ont hésité à financer ces types de projets.
Pourtant, le paiement par codes QR est aujourd’hui la norme en Chine et dans plusieurs parties de l’Asie. Autant les grandes entreprises que les vendeurs ambulants les utilisent au quotidien pour effectuer les transactions avec leurs clients. Que vous soyez en voyage ou que vous tombiez sur l’une des rares applications de paiement par code QR dans le monde, il est préférable de demander un autre mode de paiement aux commerçants.
Si le marchand insiste pour utiliser le paiement par code QR, méfiez-vous. S’il s’agit de votre seule option, assurez-vous que le paiement soit fait par l’entremise d’une application reconnue. Par exemple, en Asie, ces paiements passent généralement par WeChat ou AliPay. Ces plateformes sont fiables puisqu’elles contrôlent des milliards de dollars de transactions chaque année.
Toutes autres plateformes ou applications ne devraient pas être utilisée pour les paiements par code QR.
Utilisez toujours la caméra de votre téléphone pour numériser le code
Il existe plusieurs applications pour scanner les codes QR. Si certaines d’entre elles sont bel et bien de vrais logiciels bien conçus, beaucoup sont des arnaques. Il peut s’agir de simples maliciels, mais la plupart essaieront d’injecter un code lors du balayage du code QR afin de vous diriger vers un site Web frauduleux.
La solution est simple : utilisez l’application incluse dans la caméra de votre téléphone intelligent. Que vous soyez avec Android ou iOS, votre appareil photo peut lire les codes QR et vous montre un aperçu de l’URL avant que vous cliquiez dessus. Les applications conçues par Apple ou Google sont dignes de confiance, et vous pouvez déjouer la plupart des tentatives d’hameçonnage avec la fonction d’aperçu.
Méfiez-vous des codes QR sur les médias sociaux
Tout comme dans le cas des codes QR reçus par courriel, vous devriez éviter de cliquer sur un code QR transmis par la messagerie d’un réseau social. Toutefois, certaines plateformes, comme Spotify et Snapchat, utilisent une version des codes QR pour permettre à leurs utilisateurs de connecter plus facilement entre eux.
Cela a conduit les pirates à modifier numériquement les images des codes QR pour tromper les utilisateurs et les diriger vers un autre site Web lorsqu’ils numérisent le code. Seuls les codes QR affichés sur le site Web ou l’application officielle de la plateforme de média social concernée devraient être numérisés. Ainsi, vous pouvez être sûr qu’il n’a pas été modifié avec une intention malveillante.
En bref
Les codes QR continueront vraisemblablement à faire partie de nos vies dans un avenir rapproché. Que leur utilisation demeure limitée ou qu’elle devienne généralisée, vous devriez savoir comment vous protéger contre les arnaques liées à cette technologie. Les comportements présentés dans cet article devraient couvrir presque toutes les situations impliquant un code QR.
Le Hub de Cyber Security : accès à des contenus exclusifs en cybersécurité
Inscrivez-vous dès maintenant pour accéder à des contenus informatifs, partageables et multiformats sur la cybersécurité.