Dans les restaurants, les hôtels, les administrations, ou pour louer un vélo… les QR codes, ces petits carrés à pixels noirs et blancs font désormais partie du quotidien. Flashés à l’aide de l’appareil photo, ils permettent d’accéder directement à un site web. Par leur facilité d’usage, ils ont gagné une place à part dans le paysage administratif, commercial ou même éducatif. Mais ils sont également devenus un outil inépuisable pour les escrocs à la pêche aux coordonnées bancaires ou aux données personnelles. C’est ce que l’on appelle le «quishing».
Sur les contraventions ou les avis de passage de La Poste, les QR codes peuvent être falsifiés afin de rediriger vers un site malveillant, mais pas seulement. Dernier épisode en date : dans le département du Loiret, à la mi-décembre, des usagers de voitures électriques se sont fait voler leurs informations de paiement en scannant un QR code collé sur une borne de recharge. L’autocollant renvoyait en fait vers une copie du site du prestataire. Mauvaise surprise : les délinquants ont récupéré les données, prélevé de l’argent… et les voitures n’ont jamais été chargées.
Les risques sont les mêmes que ceux liés au «phishing» (ou hameçonnage). Cette pratique consiste à se faire passer pour un tiers (banque, opérateur télécom, entreprise) afin de pousser l’internaute à cliquer sur un site et lui demander ses coordonnées bancaires ou ses informations, comme son mot de passe et son identifiant. Selon une étude de l’entreprise Kaspersky, qui commercialise des antivirus pour particuliers, 65 % des Français continuent de se faire arnaquer par des attaques de phishing, et le phénomène aurait augmenté de 61% en Europe cette année.
Les sites sont souvent très ressemblants et peuvent donc naturellement induire en erreur. «Cela s’appelle le mirroring. Des logiciels permettent de reproduire les sites à la perfection. Si le hacker est mauvais, les erreurs de la réplique se voient, mais s’il est bon, on ne peut pas faire la différence», explique Fériel Bouakkaz, enseignante-chercheuse en cybersécurité à l’EFREI. «Parfois, le site télécharge un logiciel malveillant directement sur l’appareil».
Le procédé n’est pourtant pas plus compliqué que celui d’une arnaque classique. «N’importe qui peut générer un QR code, il n’y a pas besoin de formation ou de connaissances spécifiques. Cela peut se faire avec un simple site web, c’est donc la technologie parfaite pour les cybercriminels», souligne l’experte.
Cependant, cette méthode est bien plus vicieuse, car l’on se méfie moins d’un QR code que d’un SMS ou d’un mail suspect, sources de nombreuses campagnes de sensibilisation. D’autant plus que le QR code s’est largement développé après la pandémie de Covid-19 et le passe sanitaire. «Après le Covid-19 s’est instaurée comme une relation de confiance avec le QR code car on a pris l’habitude de le voir partout. Il était censé nous protéger contre le virus… désormais il peut nous exposer aux virus informatiques».
À lire aussiFaux PV et QR code : attention aux arnaques pour stationnement interdit
Par mail, dans la boîte aux lettres ou par SMS, et maintenant collés sur des bornes de recharge ou sur des vitrines… les cybercriminels font toujours preuve d’inventivité pour subtiliser des données sensibles. Il faut donc redoubler de vigilance. Pour se protéger face à ce type d’arnaques, il y a plusieurs paliers de protection. «D’abord, ne pas flasher tout et n’importe quoi dans l’espace public. Il est tentant de scanner un QR code qui annonce 10% de réduction au supermarché en échange d’informations personnelles. Dans ces cas-là, il faut demander si l’offre est vraie au magasin».
Mais il est également important de vérifier l’URL, c’est-à-dire l’adresse web qui apparaît au moment du scan du QR code. Enfin, en cas de «phishing» (par un faux site de l’Assurance Maladie, de la CAF ou d’un opérateur par exemple), «il faut se rendre dans son espace personnel ou contacter directement le service en question».
À lire aussiCybersécurité : face aux arnaques, les Français ne font pas assez attention en ligne
Car ici l’arnaqueur n’a pas besoin d’aller vers sa victime via un SMS ou un e-mail mentionnant un «colis non livré» ou un «solde CPF qui arrive à expiration». La victime vient, sans le savoir, directement à lui. D’autant plus que si des mécanismes de protection existent déjà pour rediriger automatiquement mails et SMS frauduleux dans les «spams» (indésirables), ce n’est pas le cas pour les QR codes. Les usagers sont laissés à eux-mêmes.
Et ces escroqueries risquent de croître à l’approche des Jeux Olympiques de Paris cet été, alors que le QR code y sera incontournable. En effet, il faudra en présenter un pour circuler aux abords des sites olympiques. Les escrocs pourraient tenter de piéger les Français et les quelque 15,3 millions de touristes étrangers attendus, avec des offres de wifi gratuit ou de participation à des concours.
