Même si les codes QR constituent un moyen génial de partager du contenu dans une multitude de cas de figure, dans tous les secteurs d’activité et partout dans le monde, il y a malheureusement des gens qui en font un mauvais usage.
Avec les comptes payants comme Trueqrcode, seul le créateur du compte a accès à son tableau de bord ; les codes ne peuvent donc pas être utilisés à mauvais escient, à moins que quelqu’un n’ait accès à ton compte. Tu devrais aussi ne scanner que les codes QR provenant d’endroits et de marques en qui tu as confiance, et t’assurer que personne ne les a copiés.
La technologie, c’est génial, mais comme tout le reste, on peut toujours en abuser. On va te montrer pourquoi l’utilisation des codes QR, que ce soit pour les créer ou les scanner, peut être un moyen rapide, pratique et sûr de partager du contenu, et comment éviter de scanner des codes QR malveillants qui téléchargent des logiciels malveillants ou de faux codes qui te redirigent vers des pages visant à voler tes données.
C’est quoi, le « quishing » ?
Une attaque de « quishing » ou de hameçonnage par code QR se produit surtout quand un arnaqueur place un code QR sur n’importe quel support ou endroit, en se faisant passer pour quelqu’un d’autre ou en prétendant représenter une fausse entreprise ou un faux service. Le code QR te redirige vers une page web factice ou clonée qui te demande tes identifiants ou tes infos de carte bancaire.
Un code QR malveillant pourrait envoyer un logiciel malveillant sur ton téléphone portable. Le téléchargement automatique compromet la sécurité et permet à l’auteur de l’arnaque d’accéder à ton téléphone.
Un autre signe de « quishing », c’est quand on vient te chercher. Par exemple, si on t’envoie un e-mail ou si on te remet des documents imprimés dans la rue pour te proposer de scanner quelque chose qui pourrait t’intéresser.
Comment fonctionnent les attaques par « quishing » et comment puis-je m’en protéger ?
On va passer en revue certaines des méthodes utilisées par les pirates, t’expliquer comment te protéger et te montrer, à l’aide d’exemples courants, dans quels cas il est utile, amusant et pratique de scanner des codes QR pour que cette technologie géniale ne soit pas gâchée.
Problème : Des pirates peuvent imprimer un code QR dans un lieu public, sur un prospectus, un panneau d’affichage, une affiche, une carte de visite, etc., pour proposer un service ou un produit. Protection : Ne scanne pas les codes QR provenant d’une source inconnue. Il existe d’autres moyens de rechercher la marque sur Internet ou en personne ; scanne le code uniquement quand tu es sûr qu’il s’agit d’une vraie entreprise. Quand faut-il scanner un code QR ? Les codes QR sur les cartes de visite sont parfaits pour le réseautage. Si tu participes à un événement de réseautage ou à une réunion commerciale et que tu as rencontré cette personne en vrai, dans son entreprise, scanne le code et ses coordonnées s’enregistrent automatiquement et sans erreur dans ton téléphone, ce qui est super en cas de fautes de frappe ou de numéros erronés.
Problème : On te propose quelque chose qui ressemble à un cadeau, une réduction, un bon de réduction ou même une offre pour laquelle tu serais prêt à payer. Comment te protéger : Vérifie quelle marque a imprimé le code. Il arrive parfois qu’un pirate vole le nom ou le logo d’une marque, alors fais gaffe à ça. Mais si tu es dans un vrai magasin ou dans un endroit où tu connais le propriétaire du code, tu peux le scanner sans risque. Quand tu devrais scanner un code QR : Tu es dans une boutique et il y a un code QR sur un prospectus avec un super appel à l’action que tu ne peux pas laisser passer.
Problème : Tu scannes un code, et le site vers lequel tu es redirigé est une copie d’un vrai site, parfois avec une URL identique à laquelle on a ajouté un code pays différent. Protection : Ne scanne que les codes provenant d’une source en laquelle tu as confiance. Quand tu dois scanner un code QR : Tu vas à un concert, et après le spectacle, le musicien te montre une banderole avec un code QR qui te redirige vers sa page Spotify, ses réseaux sociaux, ou même vers la billetterie pour acheter des billets de concert. Évidemment, tes groupes préférés sont juste des gens honnêtes qui font la promo de leur travail et partagent des événements sympas et de la musique avec le monde entier.
Problème : Un site que tu n’as jamais visité te demande tes infos de carte bancaire pour faire un achat. Ça peut même arriver sans code QR. Des sites web surgissent un peu partout pour vendre des articles comme des vêtements, mais on se rend compte après coup qu’il s’agit d’un site super bien conçu et soigné, sans aucun stock derrière. Ce sont des voleurs de données de carte bancaire. Protection : Consulte toujours Trustpilot, Google Avis, etc. pour trouver des centaines, voire des milliers d’avis sur un site. Et parfois, même ceux-là sont faux. Si la marque n’est pas réputée, ne donne pas tes infos de carte bancaire. C’est dommage pour les marques émergentes qui veulent se faire un nom. Quand faut-il scanner un code QR ? Suis-les pendant un petit moment et apprends à les connaître comme tu le ferais avec une personne avant de faire confiance à qui que ce soit.
Types d’attaques de hameçonnage par code QR
- Les codes QR malveillants pourraient voler tes identifiants pour les comptes en ligne importants (ou n’importe lesquels), comme ton compte Gmail ou Microsoft. Ils reproduisent des sites connus, et quand tu te connectes à leur faux compte, ils volent tes identifiants pour ton vrai compte. Fais gaffe à l’URL quand tu te connectes à un site via un code QR dont tu ne connais pas la source.
- Certains codes QR peuvent télécharger automatiquement des logiciels malveillants sur ton téléphone, puis te demanderont d’installer une appli, comme un logiciel espion, pour t’en débarrasser. N’installe surtout pas ce qu’ils te disent, et tu dois chercher des solutions pour te débarrasser de ce qu’ils ont fait.
- Parfois, les arnaqueurs collent de faux codes QR sur les horodateurs, les affiches d’associations caritatives et d’autres endroits où on peut scanner un code pour payer. Une fois que tu es redirigé vers leur faux site, en fait, tu ne fais que verser de l’argent à l’arnaqueur.
- Attaques par superposition de codes QR se produisent quand un arnaqueur colle son code QR par-dessus le vrai dans un lieu public ; fais donc gaffe à ce qu’il n’y en ait pas un autre en dessous de celui que tu scannes.
- Une fausse alerte de sécurité va te demander de te connecter tout de suite, dans le seul but de voler tes identifiants de connexion à un certain site.
- Faux WiFi Connexions. Ne te connecte jamais à un réseau Wi-Fi gratuit dans un lieu public. C’est sûrement une arnaque. Fais attention dans des endroits comme les aéroports. Demande d’abord au personnel où tu peux te connecter.
- Les codes QR qui comportent un appel à l’action (CTA) proposant des réductions ou des bons de réduction En général, ils se contentent de piquer ton adresse e-mail quand tu la donnes sur le site vers lequel ils t’ont redirigé, puis ils t’envoient des e-mails d’abonnement agaçants auxquels tu ne t’es jamais inscrit. Il existe quand même encore des entreprises sérieuses et des gens honnêtes qui proposent des trucs sympas, mais il faut d’abord les connaître.
- Offres pour des faux billets de concert Il en existe aussi, donc tu dois t’assurer que c’est un vrai revendeur de billets avant même de scanner le code. Si tu es à un vrai concert et qu’il y a une affiche avec un code QR sur place, ça ne pose probablement pas de problème. Mais s’il s’agit juste d’un code qui traîne au milieu de nulle part, comme un autocollant sur un mât de drapeau, ce n’est pas qu’il ne soit pas authentique ; en fait, certains jeunes artistes en herbe et membres de groupes collent des autocollants partout, mais tu ne devrais pas scanner un code QR qui traîne simplement sur un lampadaire.
- Fraude escroqueries bancaires, financières ou liées aux cryptomonnaies C’est toujours possible. Je te déconseille de scanner un code qui n’a pas été mis par ta banque, et surtout pas si tu reçois un message à ce sujet. Ne scanne rien si c’est toi qui as été contacté. Il y a d’autres moyens de faire tes opérations bancaires. Surtout s’ils te demandent des infos sur ta carte bancaire ou ton compte. Ferme simplement la page.
- Il y a des arnaques à la livraison Il arrive que des gens reçoivent des SMS contenant de fausses infos sur des colis, alors ne t’y fie pas, surtout si tu n’attends pas de colis. Ignore-les.
- Faux menus pourrait être distribué lorsqu’il est reproduit par un restaurant. Si tu as le menu en main, tu n’as pas vraiment besoin de l’enregistrer aussi sur ton téléphone. À moins que le restaurant ne le glisse dans ton sac de livraison, ne le considère pas comme acquis s’il est simplement distribué en public.
C’est quoi, le QRLJacking ?
La connexion par code QR (QRL) te permet de te connecter directement à un site sans avoir à saisir tes identifiants. C’est un peu comme le code QR de WhatsApp qui ouvre directement l’appli sans que tu aies besoin de te connecter. Ça te facilite la vie, car tu n’as pas besoin de taper ton mot de passe à chaque fois que tu te rends sur le site.
Un code QR, c’est juste un code. Un QRL, c’est une méthode d’authentification qui utilise un code QR.
Si tu scannes un faux code QR, ça pourrait contourner les véritables procédures d’authentification et ainsi détourner tes mots de passe pour accéder à tes comptes. Ça pourrait aussi t’inviter à saisir ces informations de toute façon. Évite simplement de scanner des codes dont tu ne connais pas l’origine et qui te demandent de te connecter immédiatement.
Même si l’authentification à deux facteurs (2FA) ou l’authentification multifactorielle (MFA) est activée, on pourrait te demander de confirmer à nouveau ton identité via ces méthodes pour t’accorder l’accès. Si tu n’acceptes pas cette deuxième forme d’authentification, tu peux te protéger.
Comment repérer une attaque de hameçonnage par code QR ?
Tu dois toujours savoir d’où vient le code. Oui, tes marques préférées, comme Prada ou Calvin Klein, peuvent imprimer un code QR sur un panneau d’affichage ou une affiche d’arrêt de bus pour que tu le scannes. Et ça peut être tout à fait légitime. En général, si elles dépensent autant d’argent en pub, par exemple pour un panneau d’affichage dans un quartier commerçant très fréquenté, c’est sérieux. Réfléchis bien à ce que tu scannes avant de le faire et fais preuve de prudence. Fais attention à l’URL qui te demande de l’argent. Est-ce vraiment le site de Prada ? N’aie pas peur des codes QR. C’est une technologie géniale, mais comme pour tout, il faut rester prudent.
Ne scanne pas les codes mystérieux. S’il y a un type louche au coin de la rue qui distribue des prospectus, ouais, c’est peut-être un artiste ou un musicien qui vend des billets pour un concert. Dans ce cas, garde simplement le flyer. Si on te met la pression pour que tu scannes le code tout de suite, c’est que tu ne devrais pas le faire. Cherche plutôt les infos du flyer par toi-même. Les flyers avec des codes QR, c’est super quand ils sont distribués lors de vrais concerts ou de conférences par des gens qui y travaillent.
Si quelque chose te semble bizarre dans le CTA ou si leurs supports marketing comportent des fautes d’orthographe ou des URL qui ne sont pas tout à fait correctes, etc., ne te fais pas avoir. Les codes pays ajoutés à la fin d’une URL peuvent être authentiques si tu te trouves dans ce pays, mais parfois, des escrocs reprennent une URL courante, la dupliquent et y ajoutent un code pays à la fin ; quand tu effectues un achat, ils volent tes infos.
Des messages urgents qui te demandent de leur donner des infos tout de suite C’est un moyen sûr de savoir que ce n’est pas un vrai code. Les codes QR doivent te rediriger vers des pages qui te fournissent des infos. Ils ne doivent jamais te demander d’informations. Les codes QR doivent partager du contenu sur des sites web, des réseaux sociaux, des tutoriels sur YouTube, etc. Certains sites, comme les boutiques en ligne de tes marques préférées, proposent des codes QR et des achats récurrents. Tu dois cependant t’assurer que tu te trouves bien sur le site de cette boutique et que le code provient d’un support marketing officiel de cette marque, et non d’un espace public quelconque.
Comment puis-je prévenir ou signaler une attaque de « quishing » ?
Le meilleur moyen de détecter le « quishing » sur ton téléphone, c’est de télécharger un antivirus pour mobile. Ça coûte environ 35 euros par an, soit environ 40 dollars américains. Mais choisis un service de protection antivirus fiable et de confiance, pas un qui t’a contacté de son propre chef, car ça pourrait être une arnaque. Et assure-toi qu’il fonctionne dans le pays où tu te trouves. Même les antivirus légitimes te feront payer en Europe mais ne fonctionneront pas en dehors des États-Unis, et vice versa. Et tu ne pourras pas te faire rembourser. Avant d’acheter, vérifie bien que le service fonctionne dans ton pays et sur ton appareil.
N’accepte jamais les notifications aléatoires sur ton portable qui te demandent de valider quoi que ce soit. Ignore-les, tout simplement. Plus tu en reçois, plus ça veut dire que quelqu’un en a après toi, mais cette personne ne peut pas t’atteindre tant que tu ne lui donnes pas plus d’infos. Ça veut juste dire qu’ils ont mis la main sur ton numéro de portable ou ton adresse e-mail quelque part. Ils t’appellent aussi maintenant pour te demander des infos et enregistrer ta voix pour une authentification vocale avec des « oui » ou des « non ». Ça arrive même sans code QR, et ne réponds surtout pas aux robots qui t’appellent au hasard pour te demander des trucs. Raccroche, c’est tout.
Si quelqu’un a essayé de reproduire la page de connexion de ton institution financière, tu peux signaler ces messages de hameçonnage à ton établissement ou via les pages « Signaler un abus » sur des sites comme Google. Il existe des pages « Signaler un hameçonnage » sur tous les réseaux sociaux courants, selon ce que le code QR malveillant prétendait être.
Si tu penses avoir été victime d’une tentative d’hameçonnage via un code QR, quitte immédiatement la page. Ne communique aucune de tes données. Connecte-toi depuis un autre appareil et change tes mots de passe. Tu peux lancer des analyses de sécurité et supprimer les applications inconnues. Si besoin, adresse-toi à un professionnel de l’informatique spécialisé dans ton type d’appareil. Ne te contente pas d’aller chez un simple revendeur de téléphones portables qui n’y connaît rien en informatique. Tu peux aussi activer l’authentification à deux facteurs (2FA) ou l’authentification multifactorielle (MFA).
Quelques réflexions pour finir sur le phishing par code QR
Tu dois faire attention à l’endroit d’où tu scannes les codes QR. Que tu aies une grande ou une petite entreprise, jette un œil à nos cas d’utilisation des codes QR et à nos pages sectorielles pour trouver des idées intéressantes sur la façon dont tu peux intégrer Marketing par code QR sur tes supports. Tu peux le faire en toute sécurité et efficacement, et tes clients seront ravis. Inscris-toi pour un essai avec notre Générateur de codes QR et essaie-le par toi-même !
