La Federal Trade Commission des États-Unis est devenue la dernière organisation à mettre en garde contre l’utilisation croissante de codes QR dans des escroqueries visant à prendre le contrôle de smartphones, à effectuer des frais frauduleux ou à obtenir des informations personnelles.
Abréviation de codes à réponse rapide, les codes QR sont des codes à barres bidimensionnels qui ouvrent automatiquement un navigateur Web ou une application lorsqu’ils sont numérisés à l’aide de l’appareil photo d’un téléphone. Les restaurants, les parkings, les commerçants et les associations caritatives les affichent pour permettre aux utilisateurs d’ouvrir facilement des menus en ligne ou d’effectuer des paiements en ligne. Les codes QR sont également utilisés dans des contextes sensibles en matière de sécurité. YouTube, Apple TV et des dizaines d’autres applications TV, par exemple, permettent à quelqu’un de se connecter à son compte en scannant un code QR affiché à l’écran. Le code ouvre une page sur un navigateur ou une application sur le téléphone où le mot de passe du compte est déjà stocké. Une fois ouverte, la page authentifie le même compte à ouvrir sur l’application TV. Les applications d’authentification à deux facteurs fournissent un flux similaire en utilisant des codes QR lors de l’inscription d’un nouveau compte.
L’omniprésence des codes QR et la confiance qu’on leur accorde n’ont cependant pas échappé aux escrocs. Depuis plus de deux ans, les bornes de stationnement permettant aux gens de payer avec leur téléphone sont une cible privilégiée. Les fraudeurs collent des codes QR sur des codes légitimes. Les codes QR frauduleux mènent à des sites similaires qui acheminent les fonds vers des comptes frauduleux plutôt que vers ceux contrôlés par le parking.
Dans d’autres cas, les e-mails tentant de voler des mots de passe ou d’installer des logiciels malveillants sur les appareils des utilisateurs utilisent des codes QR pour attirer les cibles vers des sites malveillants. Étant donné que le code QR est intégré dans l’e-mail sous forme d’image, le logiciel de sécurité anti-phishing ne peut pas détecter que le lien vers lequel il mène est malveillant. En comparaison, lorsque la même destination malveillante est présentée sous forme de lien texte dans l’e-mail, elle a beaucoup plus de chances d’être signalée par le logiciel de sécurité. La possibilité de contourner ces protections a donné lieu à un torrent de phishing basés sur des images ces derniers mois.
La semaine dernière, la Federal Trade Commission a averti les consommateurs d’être à l’affût de ce type d’escroqueries.
« Le code QR d’un escroc pourrait vous diriger vers un site usurpé qui semble réel mais qui ne l’est pas », indique l’avis. « Et si vous vous connectez au site usurpé, les fraudeurs pourraient voler toutes les informations que vous saisissez. Ou bien le code QR pourrait installer des logiciels malveillants qui volent vos informations avant que vous ne vous en rendiez compte.
Cet avertissement est intervenu près de deux ans après que le FBI ait émis un avis similaire. Les directives émises par les deux agences comprennent :
- Après avoir scanné un code QR, assurez-vous qu’il mène à l’URL officielle du site ou du service qui a fourni le code. Comme c’est le cas pour les escroqueries par phishing traditionnelles, les noms de domaine malveillants peuvent être presque identiques à celui prévu, à l’exception d’une seule lettre égarée.
- Saisissez les informations de connexion, les informations de carte de paiement ou d’autres données sensibles uniquement après vous être assuré que le site ouvert par le code QR passe une inspection minutieuse en utilisant les critères ci-dessus.
- Avant de scanner un code QR présenté sur un menu, un parking, un vendeur ou un organisme de bienfaisance, assurez-vous qu’il n’a pas été falsifié. Recherchez soigneusement les autocollants placés au-dessus du code d’origine.
- Soyez très méfiant à l’égard des codes QR intégrés dans le corps d’un e-mail. Il existe rarement des raisons légitimes pour lesquelles des e-mails inoffensifs provenant de sites ou de services légitimes utilisent un code QR au lieu d’un lien.
- N’installez pas de scanners de codes QR autonomes sur un téléphone sans raison valable et seulement après avoir d’abord soigneusement examiné le développeur. Les téléphones disposent déjà d’un scanner intégré disponible via l’application appareil photo qui sera plus fiable.
Un mot d’avertissement supplémentaire en ce qui concerne les codes QR : les codes utilisés pour inscrire un site à l’authentification à deux facteurs à partir de Google Authenticator, Authy ou d’une autre application d’authentification fournissent le jeton de départ secret qui contrôle le mot de passe à usage unique en constante évolution affiché par ces applications. Ne permettez à personne de voir ces codes QR. Réinscrivez le site au cas où le code QR serait exposé.