Les QR Codes existent depuis très longtemps et pourtant ils n'ont été démocratisés que depuis le Covid-19 afin de limiter le contact physique entre les humains. La hausse de leur utilisation est aussi accompagnée de la propagation de codes frauduleux visant à vous soutirer vos informations personnelles ou à diffuser les logiciels malveillants. On fait le point.
Les QR Code depuis la pandémie.
Depuis la crise sanitaire, des moyens techniques ont été mis en œuvre pour limiter le contact physique entre humains et donc limiter la propagation du virus. Les QR Codes ont donc été installés dans la quasi-totalité des restaurants et bars lors de leur réouverture, permettant aux clients de prendre connaissance des menus directement depuis leur smartphone. Pourtant, ils existent depuis les années 1990 et ont été utilisés pour la première fois dans les usines Toyota afin de suivre plus efficacement les transferts de pièces détachées pour la construction des automobiles. Ils sont également un atout pour les publicités et les documents officiels, permettant de faciliter l'accès à des données. On ouvre l'appareil photo, on vise le code, et on est redirigé vers le lien qui s'affiche. C'est d'une simplicité déconcertante, ce qui a grandement facilité les transferts de données entre les individus.
Malheureusement, ce code virtuel n'est pas sans risque. Motivés par la hausse conséquente de leur utilisation depuis quelques années, les pirates informatiques s'en donnent à cœur joie pour dérober des données sensibles aux moins prévoyants. Sans loi pour régir l'utilisation des codes QR, les plus fragiles sont laissés à la merci des hackers.
Utilisation malveillante des QR Codes.
Avec le temps, il est possible de reconnaître les courriers électroniques frauduleux, en vérifiant l'adresse email et les potentiels fautes de grammaire qui peuvent se glisser dans le corps du texte. Mais avec les QR Codes, c'est quasiment mission impossible de distinguer les codes légitimes ou frauduleux, car ils sont tous représentés sous la forme de pixels blancs et noirs encadrés au sein d'un motif carré. Avec la hausse de son utilisation, les hackers en profitent pour exploiter cette technologie pour vous induire en erreur, puisqu'il est impossible de savoir à l'œil nu si le QR code est frauduleux. De plus, si la prévention sur les arnaques via SMS, email et autres fonctionnalités internet existe pour protéger les moins connaisseurs d'entre nous, il n'existe quasiment pas d'alertes afin de limiter leur utilisation de façon malveillante. Leur utilisation est également motivée par leur facilité à être générés. N'importe qui peut générer un code QR via les nombreux sites mis à disposition sur le web, et ainsi rediriger l'utilisateur vers un faux site, ou tout simplement vers un logiciel afin de voler vos données personnelles.
Flasher un code peut également laisser l'accès à des données potentiellement sensibles de votre vie privée. Les pirates peuvent tout savoir de vous en un rien de temps : le navigateur que vous utilisez, le modèle de votre smartphone, votre situation géographique ainsi que votre historique de navigation. Vos données bancaires peuvent également être dérobées par le biais d'un simple flash code, mais aussi vos adresses. Ils peuvent de même, falsifier de véritables QR Codes dans les établissements pour rediriger les paiements vers un compte bancaire externe, donc la prudence est d'autant plus importante, notamment dans des espaces publics. Pourtant, selon une étude d'ExpressVPN, les utilisateurs de smartphones font principalement confiance aux grandes surfaces. En effet, 46 % des personnes interrogées se sentent en sécurité en flashant des codes lorsqu'ils sont dans un supermarché. A l'inverse, ils ne sont que 19 % à être enclins à scanner des codes dans une salle de sport.
Se prémunir efficacement.
Néanmoins, il est largement possible de se prémunir face à ce fléau, et ainsi garantir votre vie privée. Tout d'abord, il est fortement déconseillé de scanner n'importe quoi. Évitez donc les affiches dans la rue car elles peuvent être vecteurs de logiciels malveillants. Aux Etats-Unis, plus précisément à San Antonio, une vingtaine de codes-barres 2D frauduleux ont été retirés des parcmètres. De nombreux automobilistes ont en effet transféré de l'argent sans le savoir à un compte bancaire externe, pensant simplement payer leur place de parking. Ils ont en effet été redirigés vers un faux site pour régler la note.
Ensuite, si vous vous trouvez dans un établissement comme un restaurant, la prudence est aussi de mise. Il est quasiment impossible de distinguer un code authentique d'un faux. Il va donc falloir examiner l'affiche manuellement pour savoir si un code n'a pas été collé par-dessus un autre. Il est également nécessaire de vérifier l'URL avant d'ouvrir le lien. Votre smartphone vous affiche en général un aperçu de l'adresse avant de vous rediriger vers le site. Rien ne vous empêche par ailleurs de demander confirmation à un responsable de l'établissement. Il est aussi conseillé de toujours utiliser le logiciel intégré à l'application officielle appareil photo de votre smartphone. De nombreux utilisateurs pensent qu'il est nécessaire d'installer un lecteur de code, à tort, puisque tous vos smartphones en sont normalement équipés, directement dans votre appareil photo. Si la plupart des applications sur le store sont fiables, d'autres sont malveillantes et peuvent transférer des malwares.
Les paiements via QR Codes sont également à proscrire dans la mesure du possible. Si cette méthode est peu utilisée en France, certains individus ont surement été confrontés à ce type de transfert d'argent. Il est nécessaire de redoubler de vigilance et de n'utiliser que des sources fiables, comme votre banque ou une application de paiement réputée. En Chine, cette méthode est devenue extrêmement populaire, mais passe par des applications très contrôlées comme Alipay.
Il est également nécessaire de refuser systématiquement l'accès à vos données personnelles lors du flash d'un code, car celles-ci peuvent être dérobées sans que vous n'y prêtiez attention. Pour terminer, il ne faut jamais flasher un QR Code envoyé via un mail. Il n'existe aucune raison valable de devoir numériser un code reçu par courrier électronique, et cette pratique est généralement utilisée pour masquer un lien frauduleux afin de contourner les mesures de sécurité, et ainsi se faire passer pour un organisme réputé.
En résumé, la numérisation d'un code-barres 2D est généralement fiable. Les experts en cybersécurité d'ExpressVPN sont catégoriques. Leur utilisation frauduleuse vient d'un manque de vigilance des utilisateurs de smartphones. La hausse de l'utilisation de ces scans amènent les possesseurs de terminaux mobiles à flasher tout et n'importe quoi, sans se rendre compte qu'un code peut aussi être corrompu.