Tweeter

De nombreuses boutiques ou de produits, disposent d’une interface QR code. La multiplication des QR code a fait exploser les tentatives d’hameçonnage et vols.

Dans les boutiques, difficile désormais de ne pas échapper aux demandes de renseignements qui, via un QR code, pourront vous donner accès à un cadeau promotionnel. 

En général, après avoir photographié le QR code, on obtient l’ouverture d’un navigateur Web à l’adresse donnée par le code.

Mais on peut aussi réaliser un appel d’un numéro de téléphone, ou recevoir un SMS de la société émettrice, enregistrer un contact dans le répertoire ou un évènement dans le calendrier, localiser un magasin sur une carte.

Rappel historique :

-         C’est au début des années 90 que, dans l’industrie, un sous-traitant de la société Toyota perfectionna le procédé des Code-barres en incluant une deuxième dimension à la représentation des données.

C’est ainsi que l’on a obtenu le QR code (Quick Réponse code).

Limité par l’interface des code-barres qui nécessitait un scan par un faisceau laser, le code QR entraîna l’utilisation d’un capteur d’image couplé à un processeur pour déchiffrer le code bidimensionnel.

-         Plus tard dans les années 2000 les premiers téléphones se mirent à disposer de caméras proposées de ce service en plus.

Désormais, ils sont partout; tous les mobiles sous Android, iOS ou Windows phone disposent de scanner 2D et des logiciels adaptés.

Des dizaines de milliers de tentatives de vols

La multiplication des usages a fait exploser les tentatives d’hameçonnage et vols.

Un phénomène croissant selon les éditeurs d’outils de sécurité comme Symantec, Kaspersky ou Check Point. 

Les QR code sont devenus de vrais pièges : Pas facile d’en identifier les auteurs.

Ainsi sur Google Play ce sont près de 250 lecteurs de QR codes qui sont disponibles.

Le plus connu est QR Code scanner Unitag connu pour être assez sûr.

Mais le problème nouveau est que l’on trouve de faux QR codes en nombre croissant dans les lieux publics (métro, aéroports, centre-ville)  avec des codes QR malveillants collés à la place des codes QR officiels sur des publicités, affiche ou affichage officiels.

Les utilisateurs se voient ainsi pirater leurs coordonnées personnelles et se plaignent que personne ne les ait prévenus !

Un usage relativement peu répandus limitant l’explosion des attaques :

En fait relativement peu de monde utilise le lecteur de QR code car immanquablement cela conduit à récupérer une publicité intempestive !

Beaucoup de gens ont des smartphones pouvant  scanner les codes QR, mais en fait ils ne l’utilisent pas. S’il faut dans un premier temps télécharger une application avant de scanner le code QR, cela devient un obstacle souvent dissuasif.

L’avantage supposé d’un QR code étant de gagner du temps, on peut à l’usage en douter.

Ainsi selon une étude seulement 19 % des consommateurs ont déjà numérisé un code QR.

Toutefois de plus en plus de musées utilisent de QR codes pour alimenter les mobiles de visiteurs à la manière des audio guides.

Si l’on se place du côté fournisseur de renseignements via le QR Code et en comparant  à d’autres systèmes d’échanges, l’intérêt du dispositif est plutôt limité quant au retour d’information.

L’on doit ainsi constater un double désintérêt, côté client et fournisseur et un faible taux d’utilisation qui devrait limiter d’autant les risques de fraudes.

Eviter les arnaques !

On devrait mesurer à quel point un code QR peut être dangereux quand il se situe dans un endroit public : dans le métro, un aéroport, une gare, ou une banque...

Quand un utilisateur prend en photo un code QR, le lien qu’il contient s’affiche sur l’écran de l’appareil; néanmoins, les cybercriminels utilisent également des services de raccourcissement d’URL pour déguiser la dernière adresse stockée dans le code QR, laquelle mènera peut-être à une page contenant un malware qui volera les identifiants, ou vers un site d’hameçonnage.

La situation est rendue plus difficile du fait que les navigateurs de mobiles ne sont pas toujours capables d’afficher l’URL complète d’une page, ce qui constitue un handicap au moment de déceler une arnaque.

Pire encore, les appareils mobiles ne sont pas toujours bien protégés des virus.

Pour réduire ce type de menaces, trois recommandations simples :

1. Avant de scanner un code QR, s’assurer qu’il ne couvre pas un autre code. En cas de doute, ne pas scanner.

2. Après avoir ouvert un App Store ou un site web dans son navigateur, s’assurer que le code QR vous a conduit là où vous le souhaitiez.

Si vous êtes sur le point d’installer une application, s’assurer que celle-ci ait été développée par la société qui diffuse la publicité ou les informations vues.

Vérifier la note ou les avis des utilisateurs de l’application.

S’il n’y en a pas ou très peu, mieux vaut attendre avant de l’installer.

Si un code vous renvoie à un site web, vérifiez l’URL complète : sinon, vous pourriez être la victime d’un hameçonnage.

Faire preuve de prudence avant d’entrer ses données personnelles, notamment votre adresse email ou vos informations bancaires en ligne.

3. Si le smartphone autorise l’installation d’applications de sécurité qui vérifient que les sites web ne possèdent pas de contenus malveillants et que les applications téléchargées ne sont pas des malwares, s’assurer de la bonne installation d’une telle application, notamment  pour les smartphones Android ciblés par des milliers de programmes malveillants.