QR code : comment déjouer les risques d’arnaques

Kevin
Kevin
Lecture : 6 min.

Le « quishing » est un nouveau type d’arnaque, mettant en jeu des QR codes frauduleux. Les escrocs utilisent les QR codes pour mener à bien leur attaque, visant généralement à détourner un paiement ou récupérer des données personnelles.

Le succès grandissant des QR codes

Le QR code, pour Quick Response Code, nous vient tout droit des années 90 et de l’industrie japonaise (traçabilité logistique notamment). Le QR code est une sorte de code-barres, mais à 2 dimensions (carré), ce qui permet d’y stocker 250 fois plus d’informations.

Le QR code a été depuis largement adopté par le grand public, avec les principales utilisations suivantes :

  • la consultation d’une adresse web
  • la consultation d’un fichier ou d’une application pour smartphone
  • la lecture d’une carte de visite dématérialisée
  • la consultation de menus au restaurant, etc.

L’usage du QR code est en pleine expansion. Selon QR Tiger (un générateur de QR code), le nombre de QR codes scannés en 2022 a été multiplié par 4 par rapport à 2021.

Par ailleurs, on estime à environ 10 milliards de dollars le montant total annuel payé au travers de QR code par an en 2022.

Les QR codes sont largement adoptés par le grand public, comme par exemple pour les menus de restaurants. (Crédit photo : Alba Lantigua / Unsplash)

Quishing : quels risques d’arnaques avec les QR codes ?

Il n’en fallait pas moins pour que le QR code devienne un nouveau moyen de diffusion des arnaques.

Le terme de « quishing » vient de la contraction de phishing et de QR code.

Bien que la grande majorité des QR codes est tout à fait légitime, les utilisateurs doivent désormais avoir conscience qu’il peut exister un risque d’arnaque ou de fraude. Ce type d’arnaque n’est pas nouvelle mais semble plus fréquente.

Récemment, une arnaque au faux QR code a d’ailleurs été révélée dans les médias : des escrocs ont en effet collé de faux QR codes sur des bornes de recharge pour véhicule électrique, à la place des QR codes légitimes du service de recharge. Les utilisateurs non vigilants ont ainsi scanné le faux QR code, qui les ont amené à une page frauduleuse pour la saisie du paiement.

Les arnaques au faux QR code visent de manière générale :

  • à diriger un utilisateur vers un site de phishing, à des fins de détournement d’un paiement ou des données personnelles.
  • à diriger un utilisateur vers un site web malveillant ou une application web malveillante qui tente d’installer un malware
  • à diffuser des attaques par ingénierie sociale, en laissant des QR codes malveillants dans l’espace public pour encourager des personnes à le scanner
Exemple d’un QR code affiché dans l’espace public (Crédit photo : Takara Yamaguchi / Unsplash)

Comment se prémunir des arnaques au QR code ?

Le problème avec les QR codes, c’est qu’il est impossible de différencier à l’oeil nu un faux QR code d’un QR code légitime. En effet, rien ne ressemble plus à un QR code qu’un autre QR code.

Les conseils ci-dessous vous permettront de réduire le risque d’arnaque et de fraudes lors du scan d’un QR code.

Rester vigilant en fonction du cas d’utilisation

Comme bien souvent, c’est la vigilance humaine qui doit être la 1ère alerte pour déjouer les arnaques.

Certains contextes d’utilisation du QR code sont nécessairement plus à risque. Il s’agit notamment de tous les QR codes qui sont présents dans l’espace public (bornes, parking, menus de restaurant, réseaux sociaux et web, etc.).

Dès lors que la situation est à risque, il convient de redoubler de vigilance. Une inspection visuelle peut permettre de détecter des signes d’altération éventuelles du QR code (étiquette collée par-dessus par exemple).

Dans l’idéal, si le cas d’utilisation est à risque, il vaut mieux ne pas scanner le QR code et accéder à la ressource souhaitée par ses propres moyens (rechercher l’appli mobile directement depuis le store d’applications de son smartphone, rechercher le site web en passant par son moteur de recherche habituel, etc.)

Analyser un QR code par un outil de sécurité

Il existe encore peu de solution permettant d’analyser la sécurité d’un QR code.

Si vous parlez anglais, le seul que je connaisse est le tout récent Scamio de l’éditeur de sécurité Bitdefenfer. Scamio est un outil de détection de fraude (scam) alimenté par intelligence artificielle. Il suffit de discuter avec le chatbot en lui fournissant des éléments, et Scamio vous répond.

J’ai testé ci-dessous Scamio en lui soumettant un qr code pointant vers un article de ce blog :

Vérification d’un QR code avec Scamio, l’outil de détection d’arnaque de Bitdefender alimenté par IA. Le QR code soumis pointe ici vers un article du blog Airdecker. Scamio répond qu’il n’identifie pas de signe évident d’arnaque, mais attire l’attention sur le fait que la page web de redirection n’est pas en anglais (Scamio n’est pas encore disponible en français).

Scamio reste cependant en accès anticipé à ce stade (vous pouvez y accéder en créant un compte Bitdefender), et pas encore disponible en français.

Utiliser le lecteur QR code natif de son smartphone

Certaines applications de lecteurs QR codes sont malveillantes. Pour éviter ce risque, il est préférable d’utiliser le lecteur de QR code intégré à votre smartphone. Les versions récentes d’Android et iOS intègrent en effet leur propre lecteur de QR code, et vous évitera donc d’utiliser une application tierce dont la source peut être moins fiable.

Pour savoir si vous disposez d’un lecteur de QR code natif, il vous suffit d’ouvrir votre appareil photo et pointer vers un QR code pour vérifier qu’il détecte bien le QR code.

Ne pas exécuter automatiquement le QR code

Il est primordial de ne pas exécuter automatiquement le QR code après sa lecture. Une fois le QR code exécuté, assurez vous que la page de destination vous semble légitime pour votre cas d’utilisation, avant d’y accéder.

Si vous utilisez le lecteur natif de votre smartphone, c’est normalement déjà le cas : une fois le QR code flashé, le lecteur vous indique par exemple le site web de destination. Il vous faut alors cliquer dessus pour vous y rendre, ce qui permet de vous assurer au préalable que l’adresse vous semble légitime.

Utiliser un générateur de QR code fiable

Si vous générez vous-même des QR codes, utilisez un générateur de QR code fiable. Je vous ai recommandé par le passé un générateur de QR code gratuit et sans pub.

Adopter les bonnes pratiques d’hygiène numérique habituelles

Enfin, les bonnes pratiques en termes de sécurité numérique restent de manière générale indispensables. On pense notamment à l’installation d’une suite de sécurité fiable et réputée sur l’ensemble de vos périphériques, et l’utilisation d’un bon gestionnaire de mots de passe.

Ces bonnes pratiques vous permettront de réduire le risque d’être victime d’une arnaque au QR code, et peuvent constituer une dernière barrière avant de vous faire avoir par une fraude.

AccueilTutoriels

Sommaire

Kevin
Kevin
Fondateur et rédacteur de ce blog. Je suis un enthousiaste des nouvelles technologies et partage ici des conseils sur la high-tech au travers de guides d'achat, tests de produits et tutoriels.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

A propos

Airdecker est un blog qui fournit des tutoriels, guides et astuces pour mieux utiliser la high-tech, bien choisir ses produits, et renforcer sa sécurité en ligne.

A propos | Contact | Mentions légales

© airdecker.net | Tous droits réservés