À quoi servent les codes QR et comment peut-on se faire arnaquer ?
Les codes QR sont présents dans le monde technologique depuis 2009. Cependant, ce qui au départ devrait avoir la même fonctionnalité qu’un code-barres, devient aujourd’hui une ressource indispensable dans notre quotidien. Il s’agit non seulement d’un code permettant d’obtenir davantage d’informations sur les produits, mais aussi d’une ressource permettant de consulter ou de contracter certains services.
On le trouve dans les restaurants (menu numérique), les aéroports (passeport, visa ou certificat de vaccination) et même dans les publicités télévisées. Mais les autorités ont récemment mis en garde contre une augmentation inquiétante des cyber-escroqueries utilisant les codes QR.
Les cybercriminels profitent souvent des lieux publics, où il est courant de trouver cette source d’information. La cyber-attaque commence par l’apposition d’un autocollant comportant un code QR conçu par le cybercriminel qui, s’il est scanné, nous dirige vers un faux site web (Pharming ; cyber-attaque évoquée dans les précédents TIP) ou le téléchargement d’un fichier ou d’une application, apparemment inoffensifs, mais qui peuvent causer de nombreux dommages à notre appareil ou fournir des données personnelles ou de paiement à ce tiers sans que nous en soyons conscients.
Comment éviter cela ?
- Avant de l’utiliser, demandez-vous s’il est vraiment indispensable et s’il n’existe pas d’autres solutions d’information : il se peut qu’il ne soit pas nécessaire du tout. Surtout si nous ne sommes pas sûrs de son authenticité. En cas de doute, il est donc préférable de continuer à consulter les informations par d’autres moyens (site web officiel, brochures d’information, etc.).
- S’assurer que le code QR est correct : avant de scanner un code QR à la terrasse d’un restaurant, sur un panneau d’affichage, sur un dépliant, à un arrêt de bus, il faut s’assurer qu’il n’a pas été altéré. Parfois, les cybercriminels superposent un autocollant à leur faux QR, masquant ainsi le vrai QR. En cas de doute ou si une éventuelle fraude de ce type est détectée, il est préférable d’avertir de la manipulation et de consulter les mêmes informations par d’autres moyens (employés de l’établissement, site web, etc.).
- Méfiez-vous de l’authenticité du code QR si vous constatez que la page web à laquelle il renvoie n’a pas de lien, n’est pas sécurisée (elle comporte un cadenas ou un « S » à la fin dehttps) ou est très peu informative : la fonction des codes QR est principalement publicitaire et informative. La chose habituelle est qu’ils redirigent vers une carte de localisation, un e-mail, un menu de restaurant, un site Web ou un profil sur un réseau social. Cependant, si la demande consiste à saisir des informations personnelles, bancaires ou de paiement ou encore télécharger un fichier, une application ou cliquer sur un lien sur une page vierge, nous pourrions être confrontés à une possible technique de cyber arnaque.
NOTE IMPORTANTE : Si vous pensez avoir été victime de cette cyber-attaque, signalez-la au département informatique, au RSSI ou au DPO dans le cadre professionnel et aux autorités de police dans le cadre personnel.