Les QR codes sont bien pratiques pour accéder facilement à une information sur Internet. Pourtant, la méfiance est de rigueur : les cybercriminels les falsifient pour récupérer frauduleusement des informations personnelles ou bancaires. Le point pour éviter ce piège digital, appelé « quishing ».
Très populaires depuis la crise sanitaire de 2020, les QR codes sont partout : tracking des colis, menus en restauration, parkings et transports en commun… Malheureusement, les cybercriminels s’en sont aussi emparés pour les détourner et les falsifier. Ces faux QR codes visent à récupérer les données personnelles ou bancaires des utilisateurs à des fins frauduleuses.
À garder en tête ? Se méfier des QR codes placés sur des supports et des emplacements étranges : une manière d’éviter le « quishing ».
Le mot QR code signifie « quick response code », c’est-à-dire un code à réponse rapide. [1]
Composé de plusieurs petits carrés noirs et blancs, le QR code est l’équivalent d’un code-barre et contient des informations. [1]
Pour lire le QR code, il suffit d’ouvrir l’application appareil photo de son smartphone, et de viser ce carré noir et blanc. Une fois détecté, une adresse web (URL) s’affiche sur l’écran, sur laquelle il faut cliquer pour accéder aux informations du QR code. [1]
On le retrouve désormais partout ! Menus de cafés ou de restaurant, affiches publicitaires, guides dans les musées, horaires et plans de lignes pour les transports en commun, billets de train, etc.
En vogue ces dernières années, le QR code est effectivement très pratique, ludique et permet d’accéder rapidement à un contenu. Il évite aussi de devoir saisir une adresse web trop longue ou trop compliquée. [1]
Mais fort de son succès, le QR code est aussi devenu une nouvelle arme de cybermalveillance avec le « quishing ».
>> Pour aller plus loin, consultez notre article sur la cybermenace, en France.
« Quishing » est la contraction de « QR code » et « phishing », qui veut dire hameçonnage. [2]
L’hameçonnage est la technique de fraude numérique la plus répandue actuellement. En quoi consiste-t-elle ? Petite explication…
Une personne malveillante cherche à se faire passer pour un tiers de confiance (conseiller bancaire, livreur, personnel de l’administration…) afin de vous dérober des informations personnelles et confidentielles, voire vos coordonnées bancaires. [2]
Jusque-là pratiqué majoritairement par email, SMS ou appel téléphonique, l’hameçonnage s’invite maintenant sur les QR codes, en modifiant ou falsifiant le QR code d’origine afin qu’il renvoie vers un lien URL frauduleux, ou en faisant télécharger des applications contenant des virus. [2]
À première vue, les faux QR codes ressemblent à s’y méprendre à des QR codes « normaux ». C’est plutôt l’emplacement, le type de support et l’adresse web (URL) vers laquelle le QR code redirige qui doivent interpeler. [2]
Voici par exemple des cas et des emplacements de QR codes qui méritent d’être particulièrement vigilants : [2]
- Lorsqu’un QR code est apposé sur un autocollant, qui lui-même recouvre un autre QR code, il y a de fortes chances pour le QR code sur stickers soit frauduleux ;
- Des QR codes collés sur des tables en terrasses de cafés ou restaurants ;
- Des QR codes placés au niveau des bornes de paiement de parking ou près des distributeurs automatiques de billets ;
- Des amendes de stationnement avec QR code déposées sur le pare-brise ;
- Des QR codes sur des affiches dans les transports en commun…
En cas de doute il est préférable de ne pas scanner le QR code pour éviter de tomber dans le piège du quishing.
La fraude au QR code, ou « quishing » peut par exemple conduire à l’usurpation d’identité, à la fuite des coordonnées bancaires et donc aux prélèvements non autorisés de sommes d’argent sur votre compte (achats en ligne frauduleux…). [3]
>> Pour aller plus loin, consultez notre article concernant la prévention des fraudes bancaires.
Un QR code falsifié peut aussi inviter à télécharger des applications malveillantes contenant des virus et compromettant la sécurité de votre appareil et de vos données personnelles. [3]
Redoubler de vigilance face au risque digital est le meilleur moyen pour éviter le « quishing ».
Petit rappel des réflexes de prévention et des bonnes pratiques, à adopter au quotidien : [4]
- S’assurer de la « source » du QR code : si le support (autocollant notamment) ou l’emplacement du QR code vous paraissent suspects, ne le scannez pas
- Faire attention à l’URL vers laquelle le QR code vous redirige : si le nom du site vous interpelle (nom étrange, adresse très courte) ne cliquez pas dessus et fermez l’application
- Evaluer la nécessité de saisir vos données personnelles si le lien de redirection vous invite de manière injustifiée à partager des informations (identifiants, mots de passe, coordonnées personnelles) et/ou vos coordonnées bancaires. En cas de doute, ne les renseignez surtout pas et fermez l’application, et prenez contact avec l’entité ou l’administration concernée
- Penser à bien réaliser les mises à jour de sécurité de son smartphone et des applications dès qu’elles sont disponibles, ceci pour vous protéger des cyberattaques.
>> Pour aller plus loin, consultez notre article dédié aux mises à jour de sécurité pour se prémunir des risques de cybermalveillance.
Et si malgré toutes ces précautions vous faites les frais d’un QR code frauduleux, prévenez sans tarder votre organisme bancaire afin de faire opposition à de futurs paiements non autorisés. Par ailleurs, n’hésitez pas à porter plainte sur THESEE, la plateforme officielle de dépôt de plainte en ligne dédiée aux arnaques sur internet accessible ici.
