République française

Le portail de la transformation numérique des entreprises

Retour à la page d'accueil

QR code : quelle sécurité et quelles précautions prendre

Cybermalveillance
agent de contrôle pass sanitaire de la SNCF contrôlant une voyageuse à la Gare de Lyon (Paris)
France Num / DGE
DR

Les QR codes sont de plus en plus employés pour leur aspect pratique. Ils peuvent aussi être utilisés dans le cadre d'attaques par des pirates. Voici quelques conseils pour protéger des faux QR codes ou ceux qui sont malveillants.

Qu’est-ce qu’un QR code ?

Le QR code (code Quick Response, code à réponse rapide) dit aussi Code QR, c’est ce petit carré déjà vu sur des affiches, sur des prospectus, sur la devanture d’un commerce, dans un restaurant ou encore sur des billets de train ou d’avion.   

Ce code-barre en 2 dimensions amélioré à base de petits carrés noirs et blancs est devenu commun dans notre vie quotidienne. Il est notamment aujourd’hui utilisé pour vérifier un pass sanitaire via l’application TousAntiCovid Verif.

Avec un smartphone, il suffit de placer l’objectif de son appareil vers le QR code pour voir s’afficher une URL (adresse Web) qu’on est invité à valider pour voir directement apparaitre une page Web.

C’est un outil pratique qui facilite la vie et évite de taper de longues adresses. Mais c’est aussi une utilisation qui peut constituer une cybermenace avec des attaques ciblées vers les possesseurs de smartphones qui ne font pas attention, dont les professionnels qui l’utilisent pour contrôler les pass sanitaires.

Que pensent les internautes et mobinautes des QR code ?

Les résultats d'une récente enquête de MobileIron, plateforme de sécurité mobile auprès de consommateurs font état de ces constats :

  • 74 % des personnes interrogées estiment que les codes QR codes leur facilitent la vie (mais 51 % déclarent ne pas avoir de logiciel de sécurité sur leur smartphone) ;
  • 47 % de ce même panel ont noté une augmentation de l’utilisation des QR codes ;
  • Durant les 6 derniers mois, 38 % des répondants ont scanné un code QR dans un restaurant, un bar ou un café et 37 % pour un commerce de détail ;
  • 53 % des individus souhaitent que les codes QR soient davantage utilisés dans l’avenir ;
  • 66 % des répondants disent avoir des problèmes avec les QR codes, dont plus de 51 % qui indiquent en être conscients, mais les utilisent quand même
  • Enfin, 51 % des personnes interrogées sont inquiètes quant la confidentialité et la sécurité des données concernant l’utilisation des QR codes.

Quelles attaques possibles avec des QR codes ?

Les QR codes peuvent pointer vers des URL (adresses de sites, de pages, logiciels exécutables) malveillantes pour tenter d’avoir accès à des données d’un smartphone ou d’une tablette.

Il peut aussi d’agir de cyberattaques visant à ouvrir un site de phishing (hameçonnage), technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance.

Pour les QR codes, on appelle cela le QRishing. Cela peut aussi amener vers une URL courte (raccourcisseur d’URL) qui renvoie ensuite vers l’URL malfaisante.

Bref, les pirates cherchent à récupérer des informations confidentielles des utilisateurs.

Autres agissements malveillants possibles à partir d’un QR code :

  • récupérer une liste de contacts de votre appareil afin de leur envoyer des messages par email ou téléphone ;
  • déclencher des appels téléphoniques vers des numéros surtaxés ;
  • envoyer des SMS malveillants ;
  • effectuer des paiements mobiles.

Comment se prémunir contre les attaques via QR code et rester vigilant ?

Voici quelques règles à observer pour se protéger des faux QR codes :

  • Avant de scanner un QR code, s’assurer qu’il ne couvre pas un autre code ;
  • En cas de doute sur un QR code, ne pas le scanner ;
  • Vérifier l’URL proposée sur la notification avant de cliquer sur la redirection. Si URL étrange ou très courte, quitter la notification ;
  • Le QR code doit vous amener à une information souhaitée, si ce n’est pas le cas, fermez la page et effacer l’historique de son navigateur ;
  • Si le QR code arrive vers une application de l’AppStore ou de Google Play, s’assurer que l’entreprise mentionnée sur cette page a bien développé l’application demandée ;
  • Ne pas installer d’applications de sécurité à partir d’un lien scanné d’un QR code car c’est souvent un logiciel malveillant (malware) qu’on cherche à installer sur votre smartphone ou tablette ;
  • Être méfiant sur les QR codes distribués sur des cartes, mentionnés sur des affiches lors d’évènements ou placés dans des lieux publics ;
  • Pour les smartphones professionnels, ne pas mettre en place l’installation automatique d’applications ;
  • Utiliser une authentification multifacteurs pour les applications d’entreprise ;
  • Professionnels : il est fortement recommandé d'adopter une solution de défense contre les menaces mobiles.

 

Imprimer

Voir aussi

Info
Cybermalveillance

Alors que les cyberattaques n’ont jamais été aussi nombreuses, un nouveau dispositif d’alerte à destination des TPE PME voit le jour. Baptisé AlerteCyber, il permet de toucher un million d’entreprises françaises. France Num, qui aide les entreprises à se numériser et fédère des experts de l’accompagnement au numérique (les Activateurs France Num) est partenaire de ce dispositif de prévention contre les tentatives d’attaques informatiques.

Contenu de formation
Cybermalveillance

Cybermalveillance.gouv.fr et Bpifrance publient un guide pratique et pédagogique dédié aux PME et TPE pour qu’elles démarrent une démarche de cybersécurité. Il présente les principales attaques existantes et formule des recommandations concrètes d’experts en sécurité numérique ainsi que des témoignages d’entrepreneurs victimes de cyberattaques.

Dossier
Cybermalveillance

Découvrir le guide de sensibilisation Attaques par rançongiciels (par l'ANSSI).