On constate un nombre croissant de cas d’utilisateurs qui reçoivent des emails semblant provenir de grandes entreprises sur Internet (par exemple, Microsoft ou son service cloud Office 365) contenant des QR codes. Le corps de ces emails comporte un appel à l’action : pour faire court, il vous invite à scanner un QR code pour maintenir l’accès à votre compte. Cet article se penche sur la question de savoir s’il vaut la peine de réagir à de tels messages.
Scannez le QR code ou affrontez l’inévitable
Un email typique de ce type contient une notification indiquant que le mot de passe de votre compte est sur le point d’expirer, après quoi vous perdrez l’accès à votre boîte aux lettres. Le mot de passe doit donc être modifié et, pour ce faire, vous devez scanner le QR code contenu dans l’email et suivre les instructions.
Un autre email pourrait avertir le destinataire que sa « session d’authentification a expiré aujourd’hui ». Pour y remédier, l’utilisateur est invité à « scanner rapidement le QR code à l’aide de son smartphone afin de se réauthentifier avec son mot de passe ». Dans le cas contraire, l’accès à la boîte aux lettres pourrait être perdu.
Autre exemple : le message informe gentiment le lecteur que « Cet email provient d’une source fiable » – nous avons déjà expliqué pourquoi les emails portant la mention « vérifié » doivent être traités avec prudence. En résumé, le message indique que « 3 emails importants » ne peuvent pas vous être délivrés en raison de l’absence d’une certaine forme de validation. Bien entendu, si vous scannez le QR code ci-dessous, vous résoudrez supposément le problème.
De toute évidence, les auteurs de ces emails cherchent à intimider les utilisateurs inexpérimentés avec des propos inquiétants.
Ils espèrent également que le destinataire a entendu parler des applications d’authentification (qui utilisent effectivement des QR codes) afin que leur simple mention puisse éveiller de vagues associations dans leur esprit.
Que se passe-t-il si vous scannez le QR code contenu dans l’email ?
Le lien contenu dans le QR code vous redirige vers une reproduction plutôt convaincante d’une page d’identification de Microsoft.
Bien entendu, tous les identifiants saisis sur ces pages de phishing finissent entre les mains des cybercriminels. Et cette action met en péril les comptes des utilisateurs qui tombent dans le piège de ce genre de pratiques.
Un détail intéressant est que certains liens de phishing dans les QR codes mènent à des ressources IPFS. IPFS (InterPlanetary File System) est un protocole de communication pour le partage de fichiers qui a beaucoup de points communs avec les torrents. Il vous permet de publier n’importe quel fichier sur Internet sans devoir procéder à l’enregistrement d’un domaine, à l’hébergement ou à d’autres démarches.
Autrement dit, la page de phishing se trouve directement sur l’ordinateur de l’auteur du phishing et est accessible par un lien via une passerelle IPFS spéciale. Les auteurs de phishing utilisent le protocole IPFS parce qu’il est beaucoup plus facile de publier et beaucoup plus difficile de supprimer une telle page que de bloquer un site Internet malveillant « classique ». Les liens ont donc une durée de vie plus importante.
Comment se prémunir contre les QR codes de phishing ?
Aucun système d’authentification digne de ce nom ne vous proposera de scanner un QR code comme unique option. Par conséquent, si vous recevez un email vous demandant, par exemple, de confirmer quelque chose, de vous connecter à nouveau à votre compte, de réinitialiser votre mot de passe ou d’effectuer une action de ce type, et que cet email ne contient qu’un QR code, il s’agit probablement d’une tentative de phishing. Vous pouvez ignorer un tel email et le supprimer sans crainte.
Et pour les fois où vous devriez scanner un QR code d’une source inconnue, nous vous recommandons notre solution de sécurité avec sa fonctionnalité de scanner de QR code sécurisé. Elle vérifie le contenu des QR codes et vous avertit si ceux-ci contiennent des informations malveillantes.