L’année dernière, la sécurité sur l’utilisation des codes à barres et des QR codes dans les voyages en avion a fait l’objet d’un examen minutieux à la suite de la cyberattaque contre l’ancien Premier ministre australien Tony Abbot. Il s’est fait pirater sa carte d’embarquement de la compagnie aérienne Qantas. Des détails, notamment son passeport, son téléphone portable et des messages entre le personnel de Qantas à son sujet, ont été interceptés. Les codes à barres et les QR codes ont d’énormes implications potentielles en matière de sécurité car ils peuvent être clonés et piratés, ces derniers étant soumis à un processus appelé Attagging.
Les codes à barres et les QR codes qui représentent la technologie de première et de deuxième génération ne sont pas sécurisés et donc vulnérables au piratage. Les QR codes ont été développés à l’origine comme une technologie de numérisation pour le suivi de pièces automobiles, un monde loin des cas d’utilisation d’identité et de banque et maintenant des passeports de santé numériques. Ils n’ont jamais été conçus avec la sécurité ou la confidentialité à l’esprit.
Le processus d’attagging consiste à remplacer un « QR code authentique » par un QR code cloné qui redirige ensuite la personne scannant ce code vers un site Web similaire où les données personnelles peuvent être interceptées et violées. Le problème est si grave qu’en Inde seulement, il y a plus d’un milliard de transactions financières frauduleuses chaque jour utilisant des QR codes. Comme le parcours utilisateur de numérisation est le même, seuls les individus avertis en technologie peuvent remarquer que le nom de domaine a changé.
Les consommateurs oublient que les QR codes présentent les mêmes dangers que les e-mails et les sites Web qui peuvent avoir la capacité de capturer des informations personnelles.
Ainsi, un QR code par exemple lors de la numérisation serait lié au site Web authentique www.similaireweb.com, mais un faux QR code peut être imprimé et placé sur le code authentique pour rediriger vers www.similaire-web.com à ce stade vous serez amené à saisir des informations personnelles, des données privées et des informations financières. Le site Web malveillant ressemble exactement à l’original et est conçu pour le faire croire avec précision.
Bien que le QR code lui-même ne soit pas dangereux, il n’y a aucune possibilité d’évaluer le site qu’il pointe comme c’est le cas avec un e-mail ou un site Web. Si l’application de code-barres affiche l’URL, un utilisateur attentif peut remarquer une URL suspecte. Cependant, les raccourcis d’URL peuvent rendre la tâche plus difficile. Il est assez facile d’imprimer un autocollant contenant un QR code malveillant. Les QR codes sont des véhicules parfaits pour les attaques malveillantes, facilitant le phishing (QRishing) et redirigeant les utilisateurs vers des sites Web hébergeant des virus, des vers et des chevaux de Troie et cela depuis les années 2010.
Statista rapportant que plus de 11 millions de foyers américains devraient scanner les QR codes d’ici 2020.
McAfee prévoit que les pirates utiliseront de plus en plus ces schémas du QR code et les élargiront également à l’aide de techniques d’ingénierie sur les réseaux sociaux. Avec la pandémie, de plus en plus d’industries ont des QR codes pour faciliter la vie. Des restaurants aux salons de soins personnels en passant par les études de fitness, les QR codes aident à limiter les contacts directs avec consommateurs – vous scannez facilement le code, voyez les services / articles offerts, et sélectionnez et achetez les articles désirés. Mais vous arrêtez-vous et réfléchissez à la façon dont cela pourrait mettre vos données personnelles en danger ? Il s’avère que les QR codes offrent aux escrocs une nouvelle voie pour se déguiser en entreprises légitimes et diffuser des liens malveillants.
Les restaurateurs cherchent notamment à créer des QR codes pour nous donner un accès rapide à leurs menus. Sachant que ces propriétaires d’entreprise cherchent à télécharger des applications qui génèrent des QR codes, les mauvais acteurs devraient les inciter à télécharger des applications malveillantes qui prétendent faire de même. Il est important de faire confiance à des acteurs bien en place sur ce marché.
En Inde, un ingénieur a placé une annonce pour vendre sa machine à laver. Il a été approché par une personne se faisant passer pour un acheteur qui lui a offert un prix d’achat. Après avoir négocié pendant quelques minutes, l’appelant lui a dit qu’il enverrait l’argent en ligne et lui a demandé de scanner un code QR, qu’il enverrait via WhatsApp. Dès que le QR code a été scanné et que les procédures spécifiées ont été suivies, une somme du double de l’offre a été retirée de son compte. Pour l’instant, en Europe, ce type de procédure ne peut pas exister avec un public averti, mais une personne qui ne connait pas les usages sur mobile et du QR code pourrait tomber dans ce type de faille !
En Russie, un QR code malveillant lors de sa numérisation a envoyé des SMS à des numéros premium coûtant 5 $ par SMS. La plupart de ces types d’attaques ont été observés contre des appareils Android.
Observez avant utilisation : si vous trouvez un QR code dans une bannière publicitaire dans un lieu public, regardez-le attentivement. La plupart du temps, les escrocs collent leur faux QR code au-dessus du QR code légitime dans une affiche légitime. Alors essayez de voir si c’est réel ou non. Vous pouvez vérifier en touchant l’affiche. S’il ne semble pas avoir été imprimé sur l’affiche, ne l’utilisez pas. Suivez cette directive pour les QR codes dans les lieux publics. Votre observation peut vous sauver des attaques. Si vous n’êtes pas sûr, ne scannez jamais ce QR code.
Ne donnez jamais d’informations personnelles : méfiez-vous toujours de la page sur laquelle vous arrivez via le QR code. Ne partagez jamais vos informations personnelles sur ces pages. Ne le faites que si le QR code provient d’une source très fiable et que vous faites confiance au site Web.
Regardez l’URL avant de continuer : certains scanners de QR code affichent l’URL dans son entier avant de continuer et vous demandent de confirmer si vous souhaitez visiter l’URL. L’examen du QR code ne confirme pas s’il est malveillant ou non. Bien lire l’url qui s’affiche dans le navigateur qui doit confirmer l’action que vous allez faire avec l’usage que vous avez déclenché : publicité, service client, presse, etc.