QR code : quelle sécurité et quelles précautions prendre
Fiche pratique | Publié le 23 août 2021 | Mis à jour le 17 janvier 2023
Les QR codes sont de plus en plus employés pour leur aspect pratique. Ils peuvent aussi être utilisés dans le cadre d'attaques par des pirates. Voici quelques conseils pour protéger des faux QR codes ou ceux qui sont malveillants.
Qu’est-ce qu’un QR code ?
Le QR code (code Quick Response, code à réponse rapide) dit aussi Code QR, c’est ce petit carré déjà vu sur des affiches, sur des prospectus, sur la devanture d’un commerce, dans un restaurant ou encore sur des billets de train ou d’avion.
Ce code-barre en 2 dimensions amélioré à base de petits carrés noirs et blancs est devenu commun dans notre vie quotidienne. Il est devenu de nouveau très utilisé avec l’application TousAntiCovid Verif.
Avec un smartphone, il suffit de placer l’objectif de son appareil vers le QR code pour voir s’afficher une URL (adresse Web) qu’on est invité à valider pour voir directement apparaitre une page Web.
C’est un outil pratique qui facilite la vie et évite de taper de longues adresses. Mais c’est aussi une utilisation qui peut constituer une cybermenace avec des attaques ciblées vers les possesseurs de smartphones qui ne font pas attention, dont les professionnels qui l’utilisent pour avoir accès à des pages Internet (menus de restaurants, accès direct à leur site internet, infos sur des produits...).
Que pensent les internautes et mobinautes des QR code ?
Les résultats d'une récente enquête de MobileIron, plateforme de sécurité mobile auprès de consommateurs font état de ces constats :
- 74 % des personnes interrogées estiment que les codes QR codes leur facilitent la vie (mais 51 % déclarent ne pas avoir de logiciel de sécurité sur leur smartphone) ;
- 47 % de ce même panel ont noté une augmentation de l’utilisation des QR codes ;
- Durant les 6 derniers mois, 38 % des répondants ont scanné un code QR dans un restaurant, un bar ou un café et 37 % pour un commerce de détail ;
- 53 % des individus souhaitent que les codes QR soient davantage utilisés dans l’avenir ;
- 66 % des répondants disent avoir des problèmes avec les QR codes, dont plus de 51 % qui indiquent en être conscients, mais les utilisent quand même
- Enfin, 51 % des personnes interrogées sont inquiètes quant la confidentialité et la sécurité des données concernant l’utilisation des QR codes.
Quelles attaques possibles avec des QR codes ?
Les QR codes peuvent pointer vers des URL (adresses de sites, de pages, logiciels exécutables) malveillantes pour tenter d’avoir accès à des données d’un smartphone ou d’une tablette.
Il peut aussi d’agir de cyberattaques visant à ouvrir un site de phishing (hameçonnage), technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance.
Pour les QR codes, on appelle cela le QRishing. Cela peut aussi amener vers une URL courte (raccourcisseur d’URL) qui renvoie ensuite vers l’URL malfaisante.
Bref, les pirates cherchent à récupérer des informations confidentielles des utilisateurs.
Autres agissements malveillants possibles à partir d’un QR code :
- récupérer une liste de contacts de votre appareil afin de leur envoyer des messages par email ou téléphone ;
- déclencher des appels téléphoniques vers des numéros surtaxés ;
- envoyer des SMS malveillants ;
- effectuer des paiements mobiles.
Comment se prémunir contre les attaques via QR code et rester vigilant ?
Voici quelques règles à observer pour se protéger des faux QR codes :
- Avant de scanner un QR code, s’assurer qu’il ne couvre pas un autre code ;
- En cas de doute sur un QR code, ne pas le scanner ;
- Vérifier l’URL proposée sur la notification avant de cliquer sur la redirection. Si URL étrange ou très courte, quitter la notification ;
- Le QR code doit vous amener à une information souhaitée, si ce n’est pas le cas, fermez la page et effacer l’historique de son navigateur ;
- Si le QR code arrive vers une application de l’AppStore ou de Google Play, s’assurer que l’entreprise mentionnée sur cette page a bien développé l’application demandée ;
- Ne pas installer d’applications de sécurité à partir d’un lien scanné d’un QR code car c’est souvent un logiciel malveillant (malware) qu’on cherche à installer sur votre smartphone ou tablette ;
- Être méfiant sur les QR codes distribués sur des cartes, mentionnés sur des affiches lors d’évènements ou placés dans des lieux publics ;
- Pour les smartphones professionnels, ne pas mettre en place l’installation automatique d’applications ;
- Utiliser une authentification multifacteurs pour les applications d’entreprise ;
- Professionnels : il est fortement recommandé d'adopter une solution de défense contre les menaces mobiles.
En savoir plus
Comment sécuriser son smartphone professionnel : Dossier (francenum.gouv.fr)
Formez-vous sur Internet gratuitement à la sécurité du numérique (francenum.gouv.fr)
QR codes : une menace sournoise pour la sécurité des mobiles (journaldunet.com)
Jean-Luc Raymond | Licence Creative Commons BY-NC-SA 3.0 FR
Dans la même thématique
Une Mallette Cyber pour sensibiliser les salariés des TPE PME aux menaces en ligne
Conçue pour sensibiliser les publics les plus éloignés du numérique au risques cyber cette mallette ...
Fiche pratique | 17 novembre 2023
Comment s’assurer de l’authenticité d’un client / fournisseur / partenaire d’affaires : 10 éléments à vérifier
Les arnaques pullulent sur Internet. En cas de doute sur le sérieux d'un fournisseur, d'un client ou...
Fiche pratique | 02 octobre 2023
Autopsie d'une cyberattaque par rançongiciel
Une PME du secteur des transports victime d'un rançongiciel doit interrompre son activité. Ce court ...
Témoignage | 06 juillet 2023
