Les attaques par QR codes frauduleux explosent : des millions de victimes, nos conseils pour vous protéger

Les attaques par QR codes frauduleux se multiplient à l’échelle mondiale, exposant des millions d’utilisateurs à des tentatives de vol de données. Cette nouvelle forme de phishing inquiète les experts en cybersécurité, qui appellent à la vigilance.

La montée inquiétante des QR codes frauduleux

Au fil des années, l’usage massif des QR codes s’est imposé dans notre quotidien, mais cette commodité cache désormais un revers dangereux. Selon les experts en cybersécurité de NordVPN, plus de 26 millions de personnes ont été redirigées vers des sites malveillants via ces codes apparemment anodins. Cette tendance, qualifiée de « quishing », s’est accentuée avec la généralisation des QR codes dans l’espace public, posant un nouveau défi aux internautes.

Nouveaux terrains de jeu pour les cybercriminels

Il n’est pas rare, aujourd’hui, d’apercevoir des QR codes sur un simple panneau publicitaire ou collés sur un parcmètre. Pourtant, derrière cette banalité se cachent parfois de véritables pièges tendus par des hackers aguerris. Récemment, le département des transports de New York City a mis en garde contre des QR codes frauduleux apposés sur ses horodateurs, tandis que Hawaii Electric alertait ses clients face à une recrudescence de tentatives d’escroquerie. Même la FTC, l’organisme américain chargé de la protection des consommateurs, n’a pas hésité à avertir contre ce phénomène : scanner un code reçu sur un colis inattendu peut exposer à une usurpation d’identité ou au vol de données bancaires.

Pourquoi les QR codes sont devenus si vulnérables ?

Plus discrets que les traditionnels liens suspects reçus par mail, les QR codes ont été initialement conçus pour la simplicité d’usage – non pour leur robustesse sécuritaire. D’ailleurs, leur créateur n’imaginait pas qu’ils deviendraient l’outil favori de cybercriminels. La facilité avec laquelle il est possible de coller un faux code sur une affiche officielle rappelle le mode opératoire bien connu du « skimming » sur les distributeurs automatiques :

• Piratage difficilement détectable pour l’utilisateur lambda ;
• Détournement vers des sites imitant parfaitement l’original ;
• Possibilité d’installer à distance un malware ou un RAT (remote access trojan).

Mieux vaut prévenir que guérir : adopter les bons réflexes

Face à ces dangers croissants, quelques précautions s’imposent avant de dégainer son smartphone. L’essentiel reste la vigilance : mieux vaut rechercher directement le site web d’une entreprise que scanner n’importe quel code trouvé au hasard d’une rue. Une attention particulière doit aussi être portée à l’adresse du site affichée après scan : un domaine inconnu ou suspect doit alerter immédiatement. Les utilisateurs d’Android peuvent renforcer leur défense grâce à une application antivirus réputée. Enfin, recourir à un service de protection contre le vol d’identité demeure judicieux en cas d’inquiétude persistante.

Il faut se rendre à l’évidence : tant que la popularité du QR code ne faiblit pas, les attaques continueront à se multiplier. À chacun donc de redoubler de prudence : négliger ce simple geste pourrait coûter cher…