Tout le monde ne jure que par les code QR. Mais attention à la numérisation facile

Security Awareness
3 avril 2022
qr-code

Si jusqu’à il y a quelques années, le code QR était un mot étrange et un dessin assez incompréhensible, aujourd’hui, tout le monde sait ce que c’est et on ne semble plus pouvoir se passer. Il y en a même qui aiment s’en faire tatouer un sur la peau pour l’avoir toujours avec eux.

Qu’est-ce qu’un code QR exactement ?

C’est un code-barres carré et bidimensionnel dont la fonction principale est le stockage d’informations et de données. Un seul code peut contenir jusqu’à 7 089 caractères numériques et 4 296 caractères alphanumériques.

QR est l’acronyme de « Quick Response », réponse rapide. C’est précisément parce que le code se caractérise par la vitesse à laquelle il fournit des informations qui sont décodées via des appareils mobiles. Ainsi, pour accéder à n’importe quelle archive d’informations (qui peut aussi être le menu d’un restaurant), il vous suffira de scanner le code avec l’appareil photo de votre téléphone portable et, en un rien de temps, vous serez redirigé vers la page souhaitée.

Son invention remonte au début des années 1990, lorsqu’un ingénieur de la société Denso Wave a mis au point une méthode pour suivre les composants des véhicules dans l’industrie automobile lors de leur assemblage. Pour ce faire, il s’est inspiré des tables utilisées dans le jeu de Go, un jeu traditionnel chinois, le même employé pour le développement de l’intelligence artificielle AlphaGo de DeepMind (Google).

Son usage s’est d’abord répandu au Japon, où il a été principalement utilisé dans la publicité de journaux, de magazines et d’affiches de rue. En Europe et aux États-Unis, ce type de technologie 2D ne s’est répandu qu’à la fin des années 2000 en raison de l’expansion du marché des smartphones. Ces derniers sont en effet les outils parfaits pour véhiculer les informations intelligentes des codes QR.

Les codes QR sont devenus aujourd’hui un outil couramment utilisé qui permet de véhiculer des informations de toutes sortes. Jusqu’à l’escalade finale du passe sanitaire. Un code QR qui peut contenir nos informations de santé et qui nous permet d’accéder aux différents services publics et privés.

Qishing, les risques cachés du code QR

Cet outil qui, comme toute la technologie, peut grandement faciliter la vie de tous les jours et l’accès à de nombreux services, doit cependant être « manipulé » avec soin car il présente également des zones d’ombre.

Dans un récent rapport, McAfee a classé le Qishing, c’est-à-dire l’abus et l’utilisation malveillante des codes QR, comme l’une des cinq principales menaces pour les années à venir. La technique utilisée est plus ou moins la suivante. Les victimes scannent les codes QR malveillants et se retrouvent sur des sites Internet frauduleux. Presque toujours pour y accéder, vous devez fournir des informations « essentielles » telles que le nom d’utilisateur, le mot de passe et les informations de paiement. Inutile de dire que toutes ces informations finissent entre les mains de cybercriminels. Dans d’autres cas, il suffit de scanner le code QR pour télécharger un logiciel malveillant sur votre appareil.

La question est devenue de plus en plus préoccupante au point qu’en janvier dernier, le FBI a publié un avertissement, recommandant aux Américains de faire très attention à ce type d’attaques. En particulier, il faut faire très attention aux codes QR utilisés comme moyen de paiement. Le FBI a annoncé que les criminels peuvent voler de l’argent à des victimes très naïves simplement en redirigeant les paiements vers des sites malveillants.

Cet avertissement est arrivé juste après que la police de l’État du Massachusetts ait rendu public le fait que certains codes QR utilisés sur les parcmètres étaient en fait liés à des sites de paiement frauduleux. Au lieu de payer pour le stationnement, la victime a donc fini par envoyer les informations de paiement aux escrocs.

Que peut-on faire pour se protéger du Qishing ?

Le postulat de base c’est justement l’erreur humaine qui ouvre la porte aux criminels, quand nous avons affaire, comme dans ce cas, à une technologie nouvelle et très répandue, nous devons porter conscience et attention à ce que nous faisons. Le fait que la plupart des utilisateurs ignorent les côtés occultes de l’utilisation des codes QR, est un avantage conséquent pour les pirates qui sont toujours à la recherche de nouvelles voies pour agir.

En général, tout code QR devrait donc être considéré comme suspect et, avant de le scanner, il faudrait s’assurer de sa fiabilité.

Dans son avertissement, le FBI lui-même énumère un certain nombre de précautions à prendre pour éviter les mauvaises surprises. Bonnes pratiques conseillées :

  • Après avoir scanné un code QR, vérifiez l’URL pour vous assurer qu’il s’agit bien du site prévu et qu’il semble authentique. Un nom de domaine frauduleux peut sembler similaire à l’authentique, mais avec des fautes de frappe ou des lettres mal placées.
  • Faites toujours très attention avant de saisir des données sensibles, personnelles ou financières, sur un site. Mais encore plus si vous avez utilisé un code QR pour vous rendre sur le site.
  • Avant de scanner un code QR, assurez-vous que le code n’a pas été altéré, par exemple à l’aide d’un autocollant placé au-dessus du code d’origine.
  • Évitez de télécharger des APPLICATIONS à partir d’un code QR. Pour un téléchargement plus sûr, utilisez l’APP Store officiel.
  • Méfiez-vous toujours si quelqu’un vous demande d’effectuer un paiement en utilisant un code QR. Surtout s’il s’agit d’un achat effectué récemment et dont le paiement échouerait. Dans ces cas, privilégiez le contact direct, en utilisant uniquement les canaux officiels, avec l’entreprise qui réclame le paiement pour demander des éclaircissements.
  • N’oubliez pas qu’il n’est pas nécessaire de télécharger une APPLICATION pour scanner les codes QR. La plupart des téléphones mobiles disposent d’un scanner intégré à l’appareil photo. Cela réduit les risques de téléchargement d’APPLICATIONS malveillantes sur votre appareil.
  • Même lorsqu’un code QR semble provenir d’une source connue, avant de l’utiliser, vérifiez toujours son origine réelle.
Formation et simulations pour éviter les scans inconscients

Étant donné que le Qishing représente aujourd’hui l’un des principaux risques informatiques, il est clair que cela doit être inclus, sans aucun doute, dans les programmes de formation en entreprise sur la sensibilisation à la cybersécurité. Une formation efficace sur les risques liés à l’utilisation de ces outils peut garantir que tous les employés, en particulier ceux qui utilisent des appareils professionnels, y compris pour un usage personnel, sont formés, conscients et réfléchissent à deux fois avant de cliquer ou de scanner des codes QR.

En savoir plus sur les parcours de formation de Cyber Guru

Articles connexes

Rapport Clusit 2024 : données préoccupantes

Rapport Clusit 2024 : données préoccupantes

En Italie, l'industrie manufacturière est visée, mais les attaques contre les soins de santé augmentent de 83 % par rapport au premier semestre 2023. La centralité du facteur humain. Aucune bonne nouvelle ne vient du front cybernétique. Au contraire, la guerre (car...

lire plus