Autrefois la Tranche

Méfiez vous des QR codes

Nous avions publié un article sur le fonctionnement des QR Codes, mais l'imagination des cybercriminels est sans limite voilà pourquoi vous devez vous méfier. Voir l'article : Le QR Code

On voit des QR codes un peu partout de nos jours : annonces immobilières, publicités télévisées, messages sur les réseaux sociaux, applications, mode d’emploi d’appareils… Par ailleurs, la pandémie a entraîné une forte augmentation de l’utilisation des codes QR, à commencer par le pass sanitaire et le pass vaccinal. Pour réduire les risques de transmission, les restaurants ont remplacé les menus physiques par des versions en ligne accessibles depuis un smartphone en scannant un QR code.

Après le phishing, cette arnaque qui consiste à voler des informations (identifiants, coordonnées bancaires…) aux internautes en leur envoyant un e-mail ou un SMS contenant un lien frauduleux, voici le quishing.

Cette fois, les escrocs répandent leur lien via un QR code.

Un prétendu remboursement de la part des impôts, un faux conseiller bancaire ou support technique, une soi-disant amende à payer dans les plus brefs délais… Les escrocs ne manquent pas d’imagination quand il s’agit de cacher des tentatives de phishing !

Si l’internaute prend le courriel ou le SMS au sérieux, clique sur le lien joint au message et, s’il va au bout, il révèle de précieuses informations, comme des coordonnées bancaires ou des identifiants à un service, à des escrocs qui finissent par lui voler son argent.

Des experts en cybersécurité alertent aujourd’hui sur une nouvelle arnaque inspirée du phishing, appelée quishing. En fait, le procédé et l’intention sont les mêmes : l’idée reste de vous faire cliquer sur un lien pour vous dérober des informations. Seulement cette fois, le lien frauduleux est dissimulé derrière un QR code (d’où le nom, contraction de « QR code » et de « phishing »).

Ce QR code peut être envoyé par courriel, auquel cas les filtres antispams ne les détectent pas forcément (contrairement aux e-mails de phishing, désormais assez bien repérés). Mais il peut aussi être imprimé pour être scanné par tous, sur tous les supports imaginables, dans des lieux publics ou privés (sur une borne de parking pour payer son stationnement, dans les transports, sur une affiche publicitaire, un prospectus, une carte de restaurant, etc.).

Un QR code peut être généré très facilement par n’importe qui. Il existe en effet de nombreux générateurs gratuits accessibles en deux clics sur Internet ; il est ensuite facile d’intégrer le QR code frauduleux dans une communication aux couleurs d’une entreprise. Heureusement, les plateformes qui proposent des QR codes gratuits limitent le plus souvent le nombre de scans possibles du QR code à une centaine. Cette restriction limite la menace.

Mais les hackers sont malins ils parviennent parfois à détourner ces QR code.

Certains services permettent à leurs clients de s’identifier par l’intermédiaire d’un QR code. C’est par exemple le cas d’ING Bank (qui s’est retiré du marché français début 2023), souvent citée comme exemple quand il s’agit de quishing.

Le site Securitymagazine.com relate la mésaventure de la banque, dont les QR code d’authentification destinés aux clients ont été détournés, donnant accès aux comptes bancaires aux escrocs. Des milliers d’euros ont disparu des comptes des victimes. Vincent Biret, PDG d’Unitag, l’une des grandes plateformes de QR codes, se veut rassurant : « Ce type de détournement est de plus en plus complexe. Un QR code contient de multiples encodages, avec une redondance des différents modules difficile à déchiffrer, explique l’expert, qui précise que le piratage de QR codes reste marginal. On estime que dans le monde, 2,4 milliards de courriels par jour sont des tentatives de phishing. À titre de comparaison, chez Unitag, nous avons généré 25 millions de QR codes en 2023 et seuls 1 500 se sont avérés frauduleux. » N’empêche, mieux vaut faire preuve de prudence avant de scanner.

Les conseils des experts :

• Réfléchissez avant de scanner. Méfiez-vous surtout des codes affichés dans les lieux publics. Observez bien. S’agit-il d’un autocollant ajouté ou d’une partie d’un panneau ou d’une affiche ? Si le code ne semble pas s’intégrer dans le décor, demandez une copie papier du document auquel vous essayez d’accéder ou tapez l’URL manuellement.
• Lorsque vous scannez un QR code, regardez bien le site web vers lequel il vous conduit. Ressemble-t-il à ce que vous attendiez ? S’il vous demande des informations de connexion ou bancaires qui ne semblent pas nécessaires, ne les transmettez pas.
• Les codes intégrés dans les courriels sont presque toujours douteux. Mieux vaut les ignorer systématiquement. Il en va de même pour les codes que vous recevez dans des courriers publicitaires papier.
• Prévisualisez l’URL du code. De nombreux appareils photo de smartphones, y compris les iPhone équipés de la dernière version d’iOS, donnent un aperçu de l’URL d’un code lorsque vous commencez à le scanner. Si l’URL semble étrange, mieux vaut vous abstenir.
• Vous pouvez également utiliser une application d’analyse sécurisée, conçue pour repérer les liens malveillants avant que votre téléphone ne les ouvre. Trend Micro en propose une gratuite, tout comme d’autres grands éditeurs d’antivirus. Mais là encore prudence, ne faites confiance qu’à des marques connues. Car il existe aussi de fausses applications d’analyse qui siphonnent les données.
• Utilisez un gestionnaire de mots de passe. Comme pour tous les types d’hameçonnage, si un QR code vous conduit à un faux site internet particulièrement convaincant, un gestionnaire de mots de passe saura faire la différence et ne remplira pas automatiquement vos coordonnées.

Rédaction ALT - JP Bouchet  - 11-2023

Source : UFC Que choisir ; CNET