QR Code : code à réponse rapide ou plutôt risqué ?

Nous expliquons comment ne pas se faire avoir avec les QR codes.

Les QR codes se trouvent partout, que ce soit sur les pots de yaourts, dans les expositions des musées, ou encore sur les factures des services publics ou bien sur les tickets de loterie. Ils sont utilisés pour aller sur des sites Internet, télécharger des applications, collecter les points des programmes de fidélité, faire des paiements et transférer de l’argent et même faire des dons à des associations. Cette technologie, accessible à tous et pratique, est utilisée par beaucoup de gens et, bien entendu, par les cybercriminels qui ont déjà développé plusieurs techniques qui exploitent les QR codes. Voici ce que ces carrés noirs et blancs présents un peu partout peuvent engendrer et comment vous pouvez les utiliser sans crainte.

Qu’est-ce qu’un QR code et comment l’utiliser

De nos jours, quasiment tout le monde possède un smartphone. La plupart des nouveaux modèles sont équipés d’un scanner QR mais n’importe qui peut télécharger une application qui scanne les QR codes, ou bien en choisir une spécifique, qui sert par exemple dans un musée.

Pour lire un QR code, l’utilisateur doit simplement ouvrir l’application du scanner et diriger la caméra du téléphone vers le QR code. La plupart du temps, le smartphone vous demandera d’aller sur un site Web en particulier ou de télécharger une application. Il y a d’autres fonctionnalités, mais nous en parlerons un peu plus tard.

Les scanners spécialisés utilisent un ensemble spécifique de QR codes. Vous pouvez, par exemple, en trouver un sur un panneau dans un parc pour un arbre historiquement important. En le scannant avec l’application officielle du parc, vous pourrez faire une visite guidée. Un scanner standard, quant à lui, ouvre seulement la description sur le site Web du parc.

De plus, certaines applications peuvent créer des QR codes afin de donner certaines informations à ceux qui les scannent. Par exemple, ces codes pourraient permettre la réception du nom et du mot de passe de votre réseau Wi-Fi invité, ou de vos coordonnées bancaires.

Comment les cybercriminels utilisent les QR codes

Les QR codes sont une version plus avancée des codes-barres, alors qu’est-ce qui pourrait mal tourner ? Et bien beaucoup de choses en fait. Les humains ne peuvent pas lire les QR codes ni savoir à l’avance ce qu’il se produira si on les scanne, donc nous nous fions à l’honnêteté de leurs créateurs. De même, nous ne pouvons pas savoir tout ce que contient un QR code, même quand nous le créons nous-même. Le système peut être largement exploité.

Faux liens

Un QR code créé par les cybercriminels pourrait rediriger vers un site d’hameçonnage qui ressemble à la page de connexion d’un réseau social ou d’une banque en ligne. C’est pour cette raison que nous conseillons de toujours vérifier les liens avant d’y accéder. Cependant, un QR code n’offre pas cette possibilité. De plus, les hackers utilisent souvent des liens courts pour qu’on ne puisse pas savoir qu’il s’agit d’un faux lorsque le smartphone demande une confirmation.

Une méthode semblable peut inciter les utilisateurs à commettre des erreurs lors du téléchargement d’une application, par exemple en téléchargeant un malware au lieu de l’application voulue. À partir de là, il n’y a plus de limites : un malware peut voler les mots de passe, envoyer des messages malveillants à vos contacts, et bien plus.

Ordres codés dans les QR codes

En plus de rediriger vers un site Web, un QR code permet de déclencher plusieurs actions. Ici encore, les possibilités sont infinies. En voici quelques exemples :

  • Ajouter un contact ;
  • Passer un appel ;
  • Écrire un e-mail, renseigner le destinataire et l’objet ;
  • Envoyer un message ;
  • Partager votre localisation avec une application ;
  • Créer un compte sur les réseaux sociaux ;
  • Planifier un événement dans le calendrier ;
  • Ajouter un réseau Wi-Fi préféré avec les identifiants pour une connexion automatique.

Leur point commun est qu’ils permettent d’automatiser les actions courantes. En scannant un QR code, il est par exemple possible d’ajouter les coordonnées d’une carte de visite, de payer le parking, ou bien de se connecter à un réseau Wi-Fi invité.

Tout cet éventail de fonctionnalités fait des QR codes un support parfait pour réaliser différentes manœuvres. Les escrocs peuvent par exemple ajouter leurs coordonnées à votre répertoire sous le nom « Banque » afin qu’un appel visant à vous arnaquer paraisse plus crédible, appeler un numéro payant ou bien savoir où vous vous trouvez.

Comment les cybercriminels cachent les QR codes

Les cybercriminels, afin de vous nuire via un QR code, doivent d’abord vous convaincre de le scanner. Pour parvenir à leurs fins, ils sont pleins de ressources.

Sources malveillantes. Les cybercriminels peuvent insérer un QR code avec un lien redirigeant vers un site Web dans une bannière, un e-mail et même dans une publicité sur papier. Le but est d’inciter la victime à télécharger une application malveillante. La plupart du temps, les logos de Google Play et de l’App Store sont placés à côté du code pour donner plus de crédibilité.

Substitution. Il n’est pas rare qu’un pirate informatique se serve du travail et de la réputation de parties légitimes et remplace un vrai QR code sur une affiche ou un panneau par un faux.

Par ailleurs, l’utilisation des QR codes à des fins malveillantes n’est pas propre aux cybercriminels. Les militants sociaux sans scrupules ont également commencé à substituer les vrais QR codes pour propager leurs idées. En Australie par exemple, un homme a récemment été arrêté pour avoir prétendument substitué les QR codes placés sur les panneaux d’enregistrement dans les centres de vaccination contre la COVID-19 pour rediriger les visiteurs vers un site Web anti-vaccination.

Encore une fois, les possibilités sont quasiment sans limites. Les QR codes sont courants sur les factures des services publics, les brochures, la signalisation dans les bureaux ainsi que dans tous les endroits où vous trouverez des informations ou des instructions.

Comment éviter les problèmes liés aux QR codes

Pour vous protéger, suivez ces quelques règles toutes simples à chaque fois que vous utilisez un QR code :

  • Ne scannez pas les QR codes provenant de sources qui n’ont clairement pas l’air fiables ;
  • Faites attention aux liens qui s’affichent lorsque vous scannez le code, et méfiez-vous en particulier si l’URL a été raccourcie, car avec les QR codes, il n’y a nul besoin de raccourcir les liens. Utilisez plutôt un moteur de recherche ou une boutique en ligne officielle pour trouver ce que vous cherchez ;
  • Vérifiez vous-même si le code n’a pas été collé par-dessus le code originel sur une affiche ou un panneau avant de le scanner ;
  • Utilisez un programme tel que Kaspersky QR Scanner (disponible pour Android et iOS) qui analyse les codes QR afin de savoir s’ils ne sont pas malveillants.

Les QR codes peuvent également contenir des informations très importantes comme le numéro de votre billet électronique. C’est pour cette raison que vous ne devriez jamais publier les QR codes sur les réseaux sociaux.

Conseils