Ces images carrées qui nous sont maintenant familières et qu’on peut voir dans les publicités des magasines et sur certaines affiches, sont devenues la manière la plus simple et la moins coûteuse de relier le monde réel au monde virtuel. Vous n’avez qu’à prendre un code QR en photo avec votre smartphone et vous pourrez accéder à un lien vers un site web, sauvegarder un numéro de téléphone ou télécharger une application. Si les spécialistes du marketing adorent la technologie pour sa simplicité, c’est aussi le cas des cybercriminels. Vous devez donc faire très attention aux codes QR que vous prenez en photo.
Un code QR (pour « Quick Response » en anglais) peut contenir toutes sortes d’informations en format texte ou sous forme de liens vers des ressources en ligne. Les codes QR sont populaires depuis un certain temps en Asie et ils gagnent maintenant en popularité en Europe et dans les Amériques. Ils peuvent être vus partout : sur des panneaux publicitaires, des produits de la grande distribution, des sites web, des tickets ou des coupons… La liste est sans fin. Pendant ce temps, les arnaques utilisant des codes QR deviennent également de plus en plus populaires. Il existe de plus en plus de cas de codes QR malveillants qui sont soigneusement placés sur d’autres légitimes. Cette pratique, qui se rapproche de l’hameçonnage, s’est répandue sous le nom de « QRishing ».
Pas besoin d’avoir beaucoup d’imagination pour entrevoir à quel point un code QR peut être dangereux quand il se situe dans un endroit public : dans le métro, dans un aéroport, une gare, ou une banque, comme par exemple un distributeur. La plupart des gens font implicitement confiance aux publicités, et ils n’imagineraient jamais qu’une telle menace pourrait les guetter sur la façade d’une grande banque.
Quand un utilisateur prend en photo un code QR, le lien qu’il contient s’affiche sur l’écran de l’appareil; néanmoins, les cybercriminels utilisent également des services de raccourcissement d’URL (tels que bit.ly et autres) pour déguiser la dernière adresse stockée dans le code QR, laquelle mènera peut-être à une page contenant un malware qui volera vos identifiants, ou vers un site d’hameçonnage. La situation est rendue plus difficile par le fait que les navigateurs de mobiles ne sont pas toujours capables d’afficher l’URL complète d’une page, ce qui est un réel handicap au moment de déceler une arnaque. Pire encore, les appareils mobiles ne sont pas toujours bien protégés des virus.
Pour réduire ce type de menaces, vous pouvez suivre trois recommandations simples :
1. Prenez garde. Avant de scanner un code QR, assurez-vous qu’il ne couvre pas un autre code. Si vous avez un doute, ne le scannez pas.
2. Après avoir ouvert un App Store ou un site web dans votre navigateur, assurez-vous que le code QR vous a emmené là où vous le souhaitiez. Si vous êtes sur le point d’installer une application, assurez-vous que celle-ci ait été développée par la compagnie qui diffuse la publicité ou les informations que vous avez vues. Vérifiez la note ou les avis des utilisateurs de l’application. S’il n’y en a pas ou très peu, il vaut mieux attendre avant de l’installer. Si un code vous renvoie à un site web, vérifiez l’URL complète : sinon, vous pourriez être la victime d’un hameçonnage. Nous vous conseillons de faire très attention avant d’entrer vos données personnelles, y compris votre adresse email ou vos informations bancaires en ligne.
3. Si votre smartphone autorise l’installation d’applications de sécurité qui vérifient que les sites web ne possèdent pas de contenus malveillants et que les applications téléchargées ne sont pas des malwares, assurez-vous d’installer une telle application. C’est surtout le cas pour les smartphones Android qui sont, de nos jours, ciblés par des milliers de programmes malveillants.