Qu’est ce qu’un QR code?
Un QR Code (code Quick Response) est un code-barres en deux dimensions. Il renvoie vers une page web ou un autre contenu normalement optimisé pour l’accès mobile et tablette. Le QR code est constitué de modules généralement noirs disposés dans un carré à fond blanc.
Il est inventé en 1994 par Denso Wave, une société japonaise qui travaillait autrefois pour Toyota. Il apparaît sur les flyers, cartes de visite, affiches ou revues et même depuis la pandémie sur les tables des bars et restaurants. Son utilisation permet de donner accès à des informations complémentaires, des contenus audio ou vidéo, de participer à un jeu-concours ou même de réaliser un achat à partir de son smartphone.
Depuis quelques années, le QR-code peut être personnalisé et ainsi permet aux marques de se mettre en avant ou d’intégrer le QR code à leur charte graphique.
Le QR code, une cyber-menace en vogue.
Omniprésents dans nos vies, les utilisateurs n’ont pas pleinement conscience des risques liés à l’utilisation des QR codes. Les hackers exploitent cette technologie en partageant une URL malveillante vers un site de phishing. Ils peuvent également propager un malware ou encore collecter des données personnelles.
Ces agissements malveillants peuvent déclencher différentes actions :
- Ajouter une liste de contacts et s’en servir pour lancer des campagnes de phishing
- Lancer des appels téléphoniques vers des services payants
- Envoyer des SMS aux personnes avec une mauvaise réputation ou recherchées par les forces de l’ordre
- Écrire des e-mails
- Effectuer des paiements
- Accéder à vos comptes bancaires
- etc..
La difficulté est de ne pas savoir où mènera ce code avant de l’avoir scanné.
Une attaque de ce genre concerne aussi les organisations. Par exemple : lorsqu’un employé scanne un QR code au restaurant sur son temps personnel, il peut se faire hameçonner. Cela ne l’affectera pas seulement personnellement, mais pourrait également compromettre l’infrastructure de son organisation.
Lors d’une étude menée par MobileIron, “71 % des personnes interrogées ne font pas la distinction entre un QR code légitime et un QR code malveillant, alors que 67 % affirment faire la distinction entre une URL légitime et une URL malveillante.” (source : informatiquesnews.fr).
Simple et rapide, cette nouvelle menace est une réelle aubaine pour les cybercriminels. Les chiffres montrent en effet, un manque de sensibilisation des utilisateurs et l’urgence d’y remédier.
Comment s’en protéger ?
80% des utilisateurs possèdent un smartphone et la quasi-totalité peuvent lire les QR codes en natif, c’est-à-dire sans qu’une application tierce soit nécessaire.
Pour ce faire voici quelques recommandations :
- Restez prudent avant de scanner un QR Code apposé sur la table d’un bar ou d’un restaurant. Avant de scanner, assurez-vous qu’il s’agit bien de celui de l’établissement et non d’un piège tendu par un cybercriminel.
- Vérifiez l’URL indiquée sur la notification avant de cliquer pour être redirigé. Si l’URL vous semble différente ou n’est pas d’une source fiable, quittez la notification immédiatement.
- Pour les organisations qui équipent leurs salariés en mobile : empêcher l’installation automatique des applications.
- Favorisez une authentification multi-facteurs pour accéder aux applications professionnelles, ou préférez le cloud.
- Installez une solution de défense contre les menaces mobiles.
En réalité, pour se protéger de cette menace de plus en plus fréquente, le mot d’ordre est la vigilance.
