Une chercheuse en cybersécurité a récemment averti le public à propos des QR codes de plus en plus visibles un peu partout. Qu’il s’agisse de liens vers des plateformes dédiées au commerce, à l’éducation ou à l’administration, la vigilance est de mise.
Attention au « quishing » avec les QR codes
Constitué de modules-carrés noirs placés dans un carré à fond blanc, le QR code contient des informations à scanner grâce à un smartphone. Or, il s’agit principalement de liens hypertextes qui redirigent l’utilisateur vers une plateforme Internet. Il peut par exemple s’agir d’un site gouvernemental, d’un site de e-commerce ou encore d’un lien vers la plateforme d’une université. De plus, rappelons que les QR codes ont été massivement intégrés par la population pendant la récente pandémie de Covid-19.
Seulement, voilà, ces codes affichés un peu partout peuvent contenir des informations malveillantes. Dans un article du 20 janvier 2024, Le Figaro évoque le « quishing », c’est-à-dire l’intégration d’un lien dans un QR code qui redirige l’utilisateur vers une page de phishing. Or, il est très souvent question de pages qui ressemblent de très près aux originales, ce qui augmente ainsi les chances de tromper les personnes.
« Cela s’appelle le mirroring. Des logiciels permettent de reproduire les sites à la perfection. Si le hacker est mauvais, les erreurs de la réplique se voient, mais s’il est bon, on ne peut pas faire la différence. Parfois, le site télécharge un logiciel malveillant directement sur l’appareil. », a expliqué Fériel Bouakkaz, enseignante-chercheuse en cybersécurité à l’École d’Ingénieurs Généraliste du Numérique (EFREI).
Ne pas flasher n’importe quoi dans la rue
Lors de la pandémie de Covid-19, une relation de confiance s’est installée entre la population et les QR codes, notamment par habitude. Et pourtant, la vigilance est aujourd’hui une nécessité. Fériel Bouakkaz rappelle que n’importe qui peut générer un QR code avec un simple site Web, et ce, sans aucune connaissance particulière. Autrement dit, ce code-barres en deux dimensions est parfait pour les cybercriminels, si bien qu’il est désormais conseillé de ne pas flasher n’importe quoi avec son smartphone.
Comment se prémunir des attaques de phishing par QR code ? L’un des moyens possibles est de bien connaître le nom des entreprises (ou d’autres organismes) ainsi que leur adresse Internet, bien que cette méthode soit fastidieuse. Le meilleur moyen reste le recours à un logiciel antivirus mobile qui propose un agent contre le phishing. Il s’agit d’un service mis à jour régulièrement capable de bloquer les liens Internet détectés ou signalés comme étant frauduleux.