<section>
<h2>Perdez de l’argent en scannant un QR code : attention !</h2>
<p>Les codes QR, connus sous le nom de « Quick Response codes » (QR), ont parcouru un long chemin depuis leur invention en 1994 par une filiale de Toyota.</p>
<p>Initialement conçus pour résoudre certaines limitations des codes-barres lors de la fabrication automobile, ces codes QR sont devenus un élément clé de notre quotidien.</p>
<p>Avec l’introduction de caméras haute résolution dans la plupart des smartphones modernes, ces codes ont trouvé de nouvelles utilisations. Faciles à créer et sans coût, ils offrent une solution pratique pour rediriger les utilisateurs vers des liens longs ou complexes.</p>
<p>Malgré un démarrage lent, leur utilisation s’est largement répandue, allant de la publicité aux menus de restaurants.</p>
<p>Toutefois, la prolifération de faux codes QR a conduit à une augmentation significative des cyberattaques. En septembre 2023, ces attaques ont augmenté de 51 %.</p>
<p>Comment les pirates utilisent-ils les codes QR pour mener des attaques frauduleuses, quelles en sont les conséquences, et quelles sont les meilleures pratiques de sécurité ?</p>
</section>
<section>
<h2>Le phishing par codes QR</h2>
<p>Les fraudes utilisant des codes QR sont appelées « quishing », un terme combinant « phishing » (hameçonnage) et « QR », exposant les utilisateurs à des programmes et liens malveillants via un code QR. Les victimes sont ensuite redirigées vers un site web frauduleux.</p>
<p>Les codes QR malveillants sont diffusés par divers moyens, tels que des stickers dans des lieux publics, des courriers ordinaires, des emails, voire des autocollants placés sur les codes QR originaux dans les restaurants.</p>
<p>Avec l’usage croissant des codes QR, les gens deviennent moins vigilants. Bien qu’ils puissent hésiter à cliquer sur un lien suspect, les codes QR n’inspirent pas encore la même méfiance.</p>
</section>
<section>
<h2>Comment les attaques de quishing peuvent coûter des milliers d’euros</h2>
<p>Les attaques de quishing utilisant des codes QR sont particulièrement dangereuses car la plupart des gens ne prennent pas la peine de vérifier la validité des codes QR. Par conséquent, il est probable qu’un code QR soit scanné sans réflexion, redirigeant la victime vers n’importe quel site inclus dans le code.</p>
<p>Ce manque de vigilance permet aux pirates de cibler les lieux où les gens utilisent des codes QR pour effectuer des paiements. Le pirate étudie le site vers lequel pointe le code original, en crée une copie, puis remplace le code QR pour rediriger l’utilisateur vers le faux site.</p>
<p>Lorsque la victime scanne le faux code, elle est dirigée vers le site du pirate tout en croyant visiter le site original. Le faux site demande ensuite des informations personnelles, y compris des détails de paiement. Une fois ces informations obtenues, le pirate peut utiliser le compte bancaire de la victime pour faire des achats.</p>
</section>
<section>
<h2>Exemples d’attaques par codes QR</h2>
<p>Les codes QR sont incroyablement polyvalents, offrant une commodité considérable et étant souvent utilisés dans des situations où leur rapidité est cruciale. Voici les formes les plus courantes de fraudes par code QR :</p>
<h3>Connexion avec un code QR</h3>
<p>Avec la dépendance accrue à l’ordinateur, beaucoup d’applications comme WhatsApp proposent une connexion alternative via un code QR. Les pirates créent des faux codes QR, souvent envoyés par email, dissimulés en application standard, pour amener les utilisateurs à les scanner. Une fois scanné, la victime est dirigée vers un site web frauduleux demandant de ré-entrer ses identifiants pour les voler.</p>
</section>
<section>
<h2>Codes QR physiques</h2>
<p>Cette méthode implique de placer un code QR sur une affiche, un courrier ou un sticker, comme une carte cadeau ou un menu. Ces attaques dirigent souvent les victimes vers des sites web nuisibles qui téléchargent des applications malveillantes sur le téléphone pour voler des informations.</p>
<p>Certains parkings et points de charge utilisent des codes QR pour le paiement, redirigeant à un site web ou une application de paiement après scan. Les pirates remplacent les codes QR originaux avec leurs propres codes pour intercepter les paiements. Un exemple frappant est relaté par ITV, où une personne a perdu 13 000 livres sterling, soit environ 16500 dollars, après avoir scanné un faux code QR sur un parcmètre.</p>
</section>
<section>
<h2>Attaques par codes QR via email</h2>
<p>Les pirates envoient des emails contenant un code QR et essaient de persuader l’utilisateur de le scanner. Par exemple, l’email peut prétendre au téléchargement d’une application essentielle ou être un agent des forces de l’ordre demandant un paiement. Après le scan, l’utilisateur est redirigé vers un faux site demandant des données de carte bancaire.</p>
<p>Une recherche par HP Threat Research a montré une augmentation notable de ces attaques en Chine en 2022, où des emails affirmaient que le destinataire avait droit à une subvention gouvernementale, demandant les détails complets de la carte de crédit et du solde actuel.</p>
</section>
<section>
<h2>Générateurs de codes QR frauduleux pour voler des cryptomonnaies</h2>
<p>Dans certains cas, les pirates créent des générateurs de codes QR frauduleux pour tromper les gens. Cela se produit lorsque les gens utilisent des codes QR pour demander des paiements, et les fraudeurs parviennent à infiltrer leurs comptes via des générateurs faux.</p>
<p>BitDefender, spécialisé en cybersécurité, a rapporté des exemples où des sites web créaient de faux générateurs de codes QR pour des portefeuilles Bitcoin. Le site demandait l’adresse du portefeuille et promettait de générer un code QR destiné aux bénéficiaires, mais il redirigeait en réalité vers un autre portefeuille contrôlé par le pirate.</p>
</section>
<section>
<h2>Se protéger contre les attaques de quishing</h2>
<p>Il peut être difficile de détecter une attaque de quishing, mais il est crucial de combiner des stratégies génériques de prévention de phishing avec des mesures spécifiques aux défis posés par les codes QR. Voici quelques mesures de sécurité à suivre :</p>
<ul>
<li>Vérifiez la source du code QR : Soyez prudent lors du scan de codes QR, surtout s’ils proviennent de sources inconnues ou promettent des offres trop belles pour être vraies. Si le code vient d’une source officielle ou d’un ami, confirmez directement sa légitimité.</li>
<li>Utilisez un lecteur de code QR fiable : Bien que la plupart des smartphones puissent scanner les codes QR, si vous optez pour une application tierce, assurez-vous qu’elle soit de confiance.</li>
<li>Attention aux informations personnelles : Après avoir scanné un code QR, restez vigilant si la page associée au code demande des informations personnelles. Vérifiez l’URL complète du site.</li>
<li>Utilisez des lecteurs de code QR avec des fonctionnalités de sécurité : Certains lecteurs peuvent alerter sur des codes malveillants. Des lecteurs comme ceux de Kaspersky disposent de cette fonctionnalité.</li>
<li>Méfiez-vous des codes QR inattendus : Si vous trouvez un code QR dans un lieu improbable, surtout en public, ne le scannez pas.</li>
</ul>
</section>