Les QR codes sont de plus en plus populaires dans le monde entier. Par exemple, en Chine, une grande partie des billions de dollars de paiements sont effectués par mobile chaque année… par le biais d’un code QR !
Cependant, il y a quelques risques à utiliser un QR Code… Le principal risque est que le QR Code vous redirige vers un site web malveillant non désiré et déclenche des actions inattendues ou des malwares sur votre mobile.
Table des matières
Où trouver un QR Code malveillant ?
- Les codes QR malveillants peuvent être imprimés sur des affiches ou des prospectus et distribués dans des lieux publics. Ces codes redirigent les utilisateurs qui les scannent vers des pages de destination non fiables et les incitent à télécharger des logiciels malveillants qui volent leurs données privées.
- Une fois la campagne marketing terminée, les codes QR originaux peuvent encore exister, même si l’adresse de destination n’appartient plus à son créateur. Des tiers pourraient racheter le site, réaffecter le lien du code QR, puis envoyer les utilisateurs vers une autre page de destination inattendue.
- Ils pourraient imprimer des autocollants contenant des codes QR hostiles et contrefaits et les coller sur les codes légitimes. Ces codes pourraient également conduire les utilisateurs vers des sites de phishing plutôt que vers le site Web prévu.
Que peut vous faire un code QR malveillant ?
Un code QR peut déclencher un javascript et entraîner diverses actions inattendues. Voici quelques exemples :
- Ajouter une liste de contacts : Les pirates peuvent ajouter une nouvelle liste de contacts sur le téléphone de l’utilisateur et l’utiliser pour lancer un spear phishing ou une autre attaque personnalisée.
- Lancer un appel téléphonique : En déclenchant un appel vers l’escroc, ce type d’exploit peut exposer le numéro de téléphone à un mauvais acteur.
- Envoyez un SMS à quelqu’un : En plus d’envoyer un message texte à un destinataire malveillant, les contacts d’un utilisateur pourraient également recevoir un texte malveillant d’un escroc.
- Écrivez un courriel : Comme pour un SMS malveillant, un pirate peut rédiger un e-mail et en indiquer le destinataire et l’objet. Les pirates peuvent cibler l’e-mail professionnel de l’utilisateur si l’appareil n’est pas protégé contre les menaces mobiles.
- Effectuer un paiement : Si le code QR est malveillant, il pourrait permettre aux pirates d’envoyer automatiquement un paiement et de capturer les données financières personnelles de l’utilisateur.
- Révéler l’emplacement de l’utilisateur : Un logiciel malveillant peut suivre silencieusement la géolocalisation de l’utilisateur et envoyer ces données à une appli ou un site web.
- Suivre les comptes de médias sociaux : Les comptes de médias sociaux de l’utilisateur peuvent être dirigés pour suivre un compte malveillant, qui peut alors exposer les informations personnelles et les contacts de l’utilisateur.
- Ajouter un réseau Wi-Fi préféré : Un réseau compromis peut être ajouté à la liste des réseaux préférés de l’appareil et inclure un justificatif d’identité qui connecte automatiquement l’appareil à ce réseau.
Comment renforcer la sécurité autour du code QR ?
Tout d’abord, soyez conscient et prudent quant à l’existence de risques ! Votre comportement est essentiel. Vous devez faire preuve du même niveau de prudence que tous les utilisateurs d’Internet :
- Ne scannez pas les codes QR provenant de sources que vous ne pouvez pas vérifier, comme ceux inclus dans les courriels de spam et les documents imprimés dans les lieux publics.
- Vérifiez l’absence de falsification. Le code QR que vous scannez sur une affiche ou un prospectus fait-il partie du design original, ou s’agit-il d’un autocollant placé par-dessus ?
- Désactivez la fonction “ouvrir le site web automatiquement” sur votre téléphone. Ainsi, lorsqu’un code QR vous dirige vers une page web, vous pouvez d’abord afficher l’URL et vérifier s’il s’agit d’un lien légitime.
- Lorsqu’un code QR vous dirige vers une page de destination, assurez-vous que l’URL du site semble authentique.
Existe-t-il une application de lecture de codes QR sécurisée ?
Eh bien, il y en a quelques-unes… Kaspersky QR Scanner est l’une d’entre elles pour Android et iOS.
- Kaspersky est une société internationale de cybersécurité qui vise à sécuriser la lecture des codes QR grâce à son application mobile.
- Elle propose les contrôles de sécurité de Kaspersky qui garantissent qu’un code QR ne mène pas à un lien dangereux ou à un contenu malveillant. L’application permet de conserver un historique de tous les scans de QR effectués avec l’application.
- Chaque fois qu’un utilisateur scanne un code QR à l’aide de l’application, celle-ci enregistre automatiquement les données dans l’appareil pour un accès facile aux anciens fichiers, images et données.
Certaines personnes se plaignent que la suite de sécurité russe Kaspersky contient des portes dérobées… Est-ce qu’il vous espionne plus que Google ? Pas sûr… Quoi qu’il en soit, je ne débattrai pas ici du risque d’installer Kaspersky ou d’être infecté par un malware. Traduit avec www.DeepL.com/Translator (version gratuite)