Alors que les premiers « QR code » ont fait leur apparition il y a presque trois décennies, la Federal Trade Commission (FTC) aux États-Unis a récemment tiré la sonnette d’alarme. En effet, les pirates peuvent avoir recours aux QR codes pour effectuer différentes opérations de hameçonnage.
Les pirates de plus en plus intéressés
Pour rappel, les QR codes sont un type de code-barres en 2D comportant des modules-carrés noirs se trouvant dans un carré à fond blanc. Lisibles par certaines machines dont les smartphones, ils peuvent contenir toutes sortes d’informations. Parfois, ils peuvent être utilisés de manière insolite, comme ce fut lorsqu’un fan de football en Argentine s’était fait tatouer un code relatif à son club favori, dont le contenu est rapidement devenu obsolète. Par ailleurs, le QR code peut être associé à de mauvaises nouvelles, comme le souligne un rapport de la Federal Trade Commission (FTC) aux États-Unis publié le 6 décembre 2023.
Pas moins de 60 000 attaques via QR code ont été répertoriées par la société de cybersécurité Trellix durant le 3e trimestre de 2023. Ainsi, la FTC a décidé de mettre en garde les utilisateurs, tout particulièrement en ce qui concerne les attaques de type « hameçonnage ». Il faut dire que le QR code intéresse de plus en plus les pirates en raison de sa facilité de création et distribution. Ils peuvent même être imprimés sur une simple feuille de papier.
La vigilance est de mise
La FTC conseille aux usagers de faire preuve d’une grande prudence avant de procéder au scanner d’un tel code. Concrètement, les tentatives d’hameçonnage prennent la forme d’emails, SMS et autres messages s’accompagnant d’un genre de demande urgente (par exemple la reprogrammation de la livraison d’un colis). Les hackers peuvent programmer des QR codes contenant des liens dangereux, pouvant par exemple diriger l’usager vers un site de phishing dans le but de récolter ses informations personnelles.
« Le code QR d’un escroc pourrait vous diriger vers un site usurpé qui semble réel, mais qui ne l’est pas. Et si vous vous connectez au site usurpé, les fraudeurs pourraient voler toutes les informations que vous saisissez. Le code QR pourrait également installer un logiciel malveillant qui vole vos informations avant que vous ne vous en rendiez compte. », indique la FTC dans son rapport.
Sans surprise, renforcer la protection des appareils de type ordinateur, smartphone et autres tablettes est plus que souhaitable. L’idéal est de mettre à jour régulièrement ces appareils, mais également d’utiliser la méthode d’authentification à deux facteurs. Par ailleurs, il est nécessaire de veiller à éviter le téléchargement d’applications de lecture de QR code afin de limiter les risques, surtout que les dernières versions d’iOS et Android possèdent déjà cette fonctionnalité.
