Un scan de trop :
pourquoi il faut être vigilant avec les codes QR ?
Sécurité sur Internet
Comment as-tu atterri sur cette page ? Tu as peut-être scanné un code QR (Quick Response Code) que tu as vu quelque part ? Dans ce cas, cela n'a pas eu de conséquences graves pour toi. Cependant, tu devrais réfléchir à tout ce que tu scannes avec ton téléphone portable. L'exemple suivant montre pourquoi.
Un scan de trop : pourquoi il faut être vigilant avec les codes QR ?
Comment as-tu atterri sur cette page ? Tu as peut-être scanné un code QR (Quick Response Code) que tu as vu quelque part ? Dans ce cas, cela n'a pas eu de conséquences graves pour toi. Cependant, tu devrais réfléchir à tout ce que tu scannes avec ton téléphone portable. L'exemple suivant montre pourquoi.
En fait, tu voulais juste aller chercher de la farine au supermarché. Bien sûr, ce n'est que lorsque tu arrives devant le parcmètre que tu réalises que ton porte-monnaie est resté sur le canapé à la maison. Pas de problème, pense-t-on, le parcmètre a un code QR. Le téléphone portable est vite dégainé, le code bloquant rapidement scanné et la taxe de stationnement rapidement payée. Même au supermarché, l'oubli du porte-monnaie n'est pas un problème - merci à Twint & Co. Sors, scanne et paie.
Sur le chemin du retour vers la voiture, tu aperçois une affiche d'un super groupe. Il y a un code QR qui doit mener à la boutique de billets. Tu le sors, tu le scannes ... et tu le regrettes. Tu réalises trop tard que le code QR n'est qu'un autocollant et qu'il ne fait pas partie du poster. Au lieu de mener à la boutique de billets, le code menait à un site d'hameçonnage frauduleux.
Ce qui peut mal tourner
Les codes QR sont comme des œufs surprise : tu ne sais jamais vraiment ce que tu vas recevoir. Contrairement aux tentatives de phishing traditionnelles, où les liens falsifiés peuvent souvent être reconnus, le contenu d'un code QR est invisible pour l'œil humain.
Depuis que les cybercriminels ont eux aussi découvert les avantages des codes QR, scanner ces codes n'est parfois pas synonyme de jeu, d'amusement, d'excitation, mais de mauvaise surprise. Les codes QR peuvent mener à un site Web frauduleux par lequel les cybercriminels veulent récupérer les données de leurs victimes. Mais un code QR peut aussi contenir un lien de téléchargement pour un programme malveillant, des informations d'inscription pour des hotspots WLAN douteux ou une instruction pour transmettre des données de position. La créativité des cybercriminels est malheureusement sans limite.
Lorsque les codes QR sont utilisés pour induire délibérément les victimes en erreur, on parle de QR phishing, de QR code phishing, de quishing ou encore de QRishing.
En bref
Au lieu d'accéder au site web souhaité, un code QR peut ...
- Te diriger vers un site de phishing,
- Contenir un lien de téléchargement pour un programme malveillant,
- Transmettre des informations d'inscription à des hotspots WLAN douteux,
- Ou envoyer une instruction pour transmettre des données de position.
Pourquoi cela me concerne
Les codes QR font partie de notre quotidien depuis longtemps. Lire un code est devenu une routine pour beaucoup - c'est exactement ce que les cybercriminels exploitent. Dès que quelque chose devient banal, on ne se pose plus de questions. C'est pourquoi les fraudeurs envoient par exemple de fausses factures avec des codes QR manipulés. Pour cela, ils fouillent aussi les comptes e-mail déjà piratés pour imiter les vraies factures qu'ils contiennent et y changer le numéro IBAN pour le leur. Entre-temps, les cybercriminels ont déjà perfectionné cette arnaque QR : ils créent des codes QR à partir de caractères spéciaux (ASCII/Unicode), ce qui peut empêcher les programmes de sécurité de reconnaître les codes QR en tant que tels.
Mais le danger ne se cache pas seulement dans la boîte aux lettres numérique, mais aussi dans le monde réel. Des codes QR falsifiés et manipulés sont déjà apparus - en Suisse également - sur les parcmètres, les distributeurs automatiques de billets, les stations-service ainsi que sur les vitrines et dans les restaurants. Il n'est pas très difficile pour un fraudeur d'imprimer un faux code QR et de le coller sur un code existant - ou d'ajouter un code QR là où il n'y en avait pas auparavant.
Comment se protéger des dangers QR
Pour se protéger des dangers potentiels derrière les codes QR, il n'est pas nécessaire d'acheter des produits de sécurité informatique coûteux. Au lieu de cela, il faut faire preuve d'une vigilance constante :
- Dois-je vraiment scanner ce code QR ? On ne peut pas être sûr de ce qui se cache derrière un code QR, c'est pourquoi il faut y réfléchir à deux fois avant de le scanner. Si l'on ne sait pas qui est l'auteur du code, il ne faut pas prendre de risques inutiles et ne pas le faire.
- Le code QR a-t-il été collé ou manipulé ? Avant de scanner un code, il faut le vérifier. Il se peut qu'il s'agisse d'un autocollant collé qui n'a rien à faire là. En cas de doute, il est préférable de ne pas scanner le code.
- Le code QR appelle-t-il le site web souhaité ? Si tu veux quand même scanner un code QR, il est recommandé d'utiliser l'application standard de caméra d'Android ou d'iPhone. Les applications sérieuses comme celles-ci indiquent d'abord quel site web le code veut appeler ou quelle action il veut effectuer. Il ne se passe donc rien jusqu'à ce que l'utilisateur ou l'utilisatrice vérifie et confirme l'action. Scanner, penser et cliquer !
- Le site sur lequel j'ai atterri est-il vraiment digne de confiance ? Même si le code QR et le site web semblent sérieux, il faut rester vigilant. De plus en plus de codes QR dynamiques apparaissent, dans lesquels une courte URL est intégrée. Celle-ci redirige ensuite vers le véritable site web cible. Et comme les tentatives d'escroquerie deviennent de plus en plus sophistiquées, il faut rester vigilant même sur les sites qui semblent fiables (plus d'informations dans la section "Autres informations").
Plus d'informations
- BACS : Codes QR - applications et risques: https://www.ncsc.admin.ch/ncsc/de/home/infos-fuer/infos-private/aktuelle-themen/qr-code-anwendungen-und-risiken.html
- SwissCybersecurity.net : Codes QR composés de blocs ASCII/Unicode: https://www.swisscybersecurity.net/news/2024-10-11/barracuda-identifiziert-neue-qr-phishing-methoden
- SwissCybersecurity.net : Des escrocs falsifient les codes QR sur les distributeurs automatiques de tickets de parking: https://www.swisscybersecurity.net/news/2024-07-11/gauner-faelschen-qr-codes-auf-parkautomaten
- E-banking mais en toute sécurité : code de réponse rapide (code QR): https://www.ebas.ch/quick-response-code-qr-code/
- E-banking mais en toute sécurité : QR-facture: https://www.ebas.ch/qr-rechnung/
- iBarry : comment nous sommes trompés dans le monde numérique: https://www.ibarry.ch/de/risiken-im-internet/social-engineering-fake-news/
- SKP : Informations sur le phishing et la situation juridique en Suisse: https://www.skppsc.ch/de/themen/internet/phishing/
- SwissCybersecurity.net : Comment reconnaître le phishing: https://www.swisscybersecurity.net/cybersecurity/2022-03-30/wie-sie-phishing-erkennen/0lt0
- SwissCybersecurity.net : Comment reconnaître les fausses boutiques en ligne ? https://www.swisscybersecurity.net/news/2023-08-09/wie-man-fake-onlineshops-erkennt/0lt0