Titre: Réfléchir avant de scanner : comment les escrocs peuvent exploiter les codes QR pour voler de l'argent (08/02/2022 Par cda)
Les codes QR ont le vent en poupe. Ils existent depuis environ 1994, mais ce n'est que depuis la pandémie qu'ils sont devenus vraiment familier. Aujourd’hui, on peut les trouver partout, utilisés pour tout, de l'affichage des menus au restaurant à la facilitation des transactions sans contact en passant par l'intégration dans des applis de suivi de contacts.
Comme toute technologie populaire, l'utilisation généralisée des codes QR a également attiré l'attention des escrocs, qui les ont adoptés à des fins frauduleuses. Cette tendance a même déclenché une alerte du FBI (Federal Bureau of Investigation) aux USA. Ici, on voit comment les escrocs utilisent les codes à leur avantage et à quoi faire attention lorsqu’on scanne un code QR.
Qu'est-ce qu'un code QR et comment ça marche ?
Abréviation de ‘Quick Response’, le code QR est un code-barres scannable par machine qui, comme son nom l'indique, est fait pour être lu et interprété instantanément par un appareil digital. Un code QR peut stocker jusqu'à 4 296 caractères alphanumériques, mais ceux utilisés couramment en contiennent moins et permettent ainsi un décodage facile par la caméra d'un smartphone.
Les chaînes de texte codées dans un code QR peuvent contenir diverses données. L'action déclenchée lors de la lecture d'un code QR dépend de l'application qui interagit avec ledit code. Ces codes peuvent être utilisés pour ouvrir un site Web, télécharger un fichier, ajouter un contact, se connecter à un réseau Wi-Fi et même effectuer des paiements, parmi des tas d’autres actions. Les codes QR sont polyvalents et peuvent inclure des logos. Les versions dynamiques des codes QR permettent même d’en modifier le contenu ou l'action à tout moment, mais ceci peut être une arme à double tranchant.
Comment les codes QR peuvent-ils être exploités ?
Le grand nombre d'utilisations du code QR (et le potentiel d'utilisation abusive) n'échappe pas aux escrocs. Voici comment ils peuvent coopter les codes pour voler des données et de l'argent :
1. Rediriger vers un site Web malveillant pour voler des informations sensibles
Les attaques de phishing ne se propagent pas que par e-mails, messages instantanés ou SMS. Les escrocs peuvent utiliser des publicités malveillantes et d'autres techniques pour diriger les victimes vers des sites frauduleux et ils peuvent le faire avec les codes QR. C’est fort préoccupant si les codes sont affichés dans des publicités dans des zones très fréquentées ou à proximité de banques ou autres institutions financières. Dans un cas récent, des autocollants avec un code frauduleux ont été placé sur des parcmètres publics dans plusieurs villes du Texas, renvoyant vers de faux sites de paiement. https://twitter.com/Austin_Police/status/1478122920371232770
2. Télécharger un fichier malveillant sur son appareil
Beaucoup de bars et restaurants utilisent des codes QR pour télécharger un menu en format PDF ou installer une appli permettant aux clients de passer commande. Les escrocs peuvent aisément altérer le code QR incitant l'utilisateur à télécharger un PDF ou une appli mobile malveillant.
3. Déclencher des actions sur l’appareil
Les codes QR peuvent déclencher directement des actions sur un appareil. Celles-ci dépendent de l'appli qui les lit (attention aux fausses applis de lecture de codes). Il existe des actions de base que tout lecteur QR basic est capable d'interpréter. Il s'agit de connecter l'appareil à un réseau Wi-Fi, d'envoyer un mail ou un SMS avec texte prédéfini ou d'enregistrer des informations de contact sur l'appareil. Bien que ces actions ne soient pas malveillantes, elles peuvent être utilisées pour enfermer un appareil dans un réseau compromis ou envoyer des messages au nom de la victime.
4. Détourner un paiement ou demander des fonds
Aujourd’hui, la plupart des applis financières permettent d'effectuer des paiements par codes QR contenant des données appartenant au destinataire de l'argent. De nombreux magasins affichent ces codes pour faciliter les transactions. Un escroc peut donc modifier ce QR avec ses propres données et recevoir des paiements sur son compte. Il peut également générer des codes avec des demandes de collecte d'argent pour tromper les acheteurs. C’est arrivé à des utilisateurs qui ont signalé avoir été arnaqués par de faux codes QR (fake payment QR codes).
5. Voler l'identité d'un utilisateur ou l'accès à une appli
De nombreux codes QR sont utilisés comme certificat pour vérifier les informations d'une personne, sa carte d'identité ou son carnet de vaccination. Ici, les codes QR peuvent contenir des informations aussi sensibles que les informations contenues dans leur carte d'identité ou leurs dossiers médicaux. Un escroc peut donc les obtenir facilement en scannant le code QR.
Beaucoup d’applis, telles que WhatsApp, Telegram ou Discord, utilisent parfois des codes QR pour authentifier les sessions des utilisateurs et permettre aux utilisateurs d'accéder à leurs comptes. Cela s'est produit avec WhatsApp avec des attaques comme QRLjacking. Ils peuvent tromper l’ utilisateur en usurpant l'identité du service et en incitant l’utilisateur à scanner le QR fourni par l'escroc.
Dans la plupart des cas, l'escroc générera un code QR malveillant qui remplacera le code original qui doit être scanné par la victime. Les escrocs utilisent alors une ingénierie sociale et trompent la victime pour qu'elle fasse une action malheureuse. Voici ce qu'il faut considérer avant de scanner un code QR.
Conseils pour rester en sécurité lors de l'utilisation des codes QR
• Avant de scanner un code QR, vérifiez qu'il n'a pas été falsifié ; vérifiez, par exemple, que l'autocollant ne recouvre pas l'autocollant d'origine.
• Ne pas scanner des codes QR trouvés au hasard ou des codes dans des messages non sollicités.
• Etre très prudent lorsqu'il s'agit d'utiliser un code QR pour payer une facture ou effectuer un autre transaction financière. Envisager d'utiliser une autre option de paiement.
• Faire preuve de la même prudence avec les codes que lorsque l’on manipule des liens ou des pièces jointes dans des mails ou applis de messagerie.
• Désactiver l'option permettant d'effectuer des actions automatiques lors de la digitalisation d'un code QR, comme la visite d'un site Web, le téléchargement d'un fichier ou la connexion à un réseau Wi-Fi.
• Après la digitalisation, regarder l'URL pour vérifier sa légitimité. Même alors, il peut souvent être préférable d'éviter de mettre son identifiant ou informations personnelles sur un site sur lequel on a atterri via un code QR. Si quelque chose ne va pas, ouvrir un navigateur et saisir soi-même l'URL.
• Ne partagez pas les codes QR contenant des informations sensibles, comme celles utilisées pour accéder aux applis ou celles incluses dans les documents et les certificats de santé.
• Lors de la génération d'un code QR, utiliser un service réputé. Un tel service peut également vérifier que le QR est authentique et effectue l'action souhaitée.
• Maintenir les applis à jour et utiliser un logiciel de sécurité.

Depuis plus de 30 ans, ESET®développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez nous sur LinkedIn, Facebook, Twitter et https://www.eset.com/be-fr/ .
Retour