Les attaques de phishing basées sur les codes QR semblent être en augmentation. Pour ce « nouveau » vecteur de piratage, quelqu’un reçoit un e-mail de phishing lui demandant de scanner un code QR, ce code redirige vers un lien malveillant (généralement pour voler des informations d’identification) et un piratage de compte se produit. Les agences de presse locales ont averti le public de faire attention, les publications sur les dirigeants en matière de sécurité demandent aux dirigeants d’être prudents et les entreprises de sécurité veulent vraiment que vous appeliez cela du « quishing ».
Pour être honnête, il y a eu des gros titres à ce sujet ces derniers temps. Une version à grande échelle de cette attaque contre une « grande » société énergétique américaine anonyme s’est attaquée aux connexions Microsoft, selon un rapport de Cofense publié en août. Les chercheurs en sécurité ont unanimement signalé une certaine augmentation ou un pic du vecteur d’attaque cette année. Même la Federal Trade Commission a averti les consommateurs des dangers.
Cependant, la fanfare autour de ces attaques dépasse largement la menace liée à l’utilisation de codes QR dans votre vie quotidienne. Le phishing a été, et sera probablement toujours, un moyen répandu de piéger les victimes, et ce que nous constatons lorsque les gens parlent d’attaques par code QR n’est qu’une autre façon de le faire. C’est pourquoi, même si les rapports généralisent les dangers des codes QR dans leur ensemble, certaines pratiques de sécurité de bon sens que vous utilisez déjà pour éviter le phishing peuvent également vous aider à éviter cette tactique. D’autres vecteurs d’attaque avancés basés sur QR, en dehors du phishing, sont probablement trop compliqués techniquement et peu rémunérateurs pour être tentés par de mauvais acteurs ou pour que vous vous en inquiétiez.
Les attaques de phishing qui fonctionnent en pointant une victime vers un lien malveillant sont incroyablement courantes, et les codes QR ne sont essentiellement qu’un autre moyen de les exécuter. Les codes QR « sautent dans une faille de sécurité », a déclaré Randy Pargman, directeur de la détection des menaces chez la société de sécurité Proofpoint. Cela force une victime à s’éloigner de son ordinateur et à se connecter à un téléphone portable ou à un autre appareil, ajoutant ainsi un niveau de distraction. De plus, selon Pargman, les gens sont plus susceptibles de tomber dans le piège d’un lien de phishing sur un appareil mobile.
L’échelle plus petite rend plus difficile la détermination de ce qui est légitime, par exemple, vous ne pouvez pas facilement voir un lien complet pour signaler les divergences, et nous avons généralement tendance à nous sentir plus en sécurité dans notre monde portable. Scanner un code QR sur un téléphone éloigne la victime de son ordinateur. Cela pourrait signifier qu’il y a moins de plugins de sécurité installés sur son navigateur qui vous avertiraient de rester à l’écart des sites suspects, bien que davantage de navigateurs disposent de protections automatiques contre les deux. Ou, s’il s’agit de vous faire passer d’un appareil professionnel à un appareil personnel, une équipe de sécurité prend probablement en charge l’ordinateur, mais pas votre téléphone portable, avec des protections supplémentaires en place pour vous empêcher d’être victime. Mais d’un autre côté, cela est beaucoup moins efficace à mettre en place pour les escrocs. Cela suppose que la victime a accès à deux appareils, plutôt que de simplement cliquer sur un lien.
De plus, les gens ont tendance à scanner les codes QR, même s’ils proviennent d’une source inconnue, parce que nous y sommes tellement habitués, selon Fae Carlisle, ingénieur principal en sécurité chez la société de cybersécurité Carbon Black. « On demande régulièrement aux gens de scanner un code QR pour leur montrer une carte d’un lieu, de voter à un concours, de visiter Instagram, etc », a déclaré Carlisle. « En raison de la confiance inhérente, les gens l’acceptent. » Les pirates ont apparemment remarqué cette tendance et ont compris qu’ils pouvaient l’exploiter.
Bien que l’application des codes QR aux attaques de phishing soit assez simple, le battage médiatique autour de leur utilisation dans d’autres vecteurs malveillants s’arrête là pour la plupart. Les professionnels de la sécurité déconseillent de scanner des codes QR inconnus, de la même manière que vous ne devez pas brancher une clé USB aléatoire sur votre appareil. Mais même si vous devez toujours être sur vos gardes pour vous protéger contre les attaques de phishing, vous n’avez pas vraiment à vous soucier de l’utilisation des codes QR dans votre vie quotidienne, car il est encore rare de les voir utilisés comme tactique de piratage.
C’est important car lorsque nous pensons aux codes QR, nous ne pensons généralement pas à les recevoir par e-mail. Vous les connaissez probablement mieux grâce à des interactions dans le monde réel, comme un appel à l’action sur un dépliant ou un menu numérisé pour commander dans un restaurant. En regardant ma propre boîte de réception et mon ordinateur, les cas d’obtention d’un code QR sont rares, à l’exception peut-être de certaines applications d’authentification multifactorielle et de connexion croisée pour les VPN. Fondamentalement, pour un pirate informatique qui s’attaque à des cibles quotidiennes, moins il fait d’efforts, mieux c’est, et appliquer un code QR empoisonné partout dans l’espace physique dans l’espoir que quelqu’un le scannera représente beaucoup de travail, selon Pargman. L’envoi groupé d’e-mails de phishing est bien plus efficace.
Bien qu’il soit également possible d’imaginer une situation de prise de contrôle de lien, dans laquelle la destination de codes QR légitimes est redirigée vers une URL malveillante, cela n’a pas encore été vu. Non seulement cela demande beaucoup d’efforts, mais cela nécessiterait également qu’un attaquant identifie un code QR largement utilisé. Cela signifierait rechercher les informations sur le code, puis espérer que cela en vaut la peine. « Quishing » est peut-être légitime, mais éviter à tout prix les codes QR va probablement trop loin.
Si quelque chose ne va pas lors de la numérisation d’un code QR, faites une pause avant de continuer. « Si vous parcourez le menu d’un restaurant et qu’il vous est demandé de vous connecter à votre compte Gmail pour accéder au menu, c’est une étape très inattendue », a déclaré Olesia Klevchuk, directrice du marketing produit chez la société de sécurité Barracuda Networks. « C’est le genre de choses que nous voulons surveiller. » Mais si vous souhaitez simplement en savoir plus sur une exposition dans un musée ou vous enregistrer sans contact dans une salle de sport, vous n’avez probablement rien à craindre.