La Federal Trade Commission (FTC) a mis en garde le public contre la numérisation d’un ancien code QR dans un blog d’alertes aux consommateurs la semaine dernière. Naturellement, l’avertissement se résume à la sécurité et à la confidentialité : les mauvais acteurs peuvent placer des codes QR dans des endroits discrets ou les envoyer par SMS ou e-mail, puis simplement s’asseoir et attendre un salaire sous forme d’argent, de connexion ou d’autres informations sensibles.
Le New York Times signalé que John Fokker, responsable du renseignement sur les menaces chez la société de cybersécurité Trellix, affirme que Trellix a trouvé plus de « 60 000 échantillons d’attaques par code QR » au cours du seul troisième trimestre de cette année. Le Fois a écrit que les escroqueries les plus courantes concernaient, entre autres, les usurpateurs d’identité du personnel de la paie et des ressources humaines et les escroqueries postales. Au début de l’année dernière, la police de plusieurs villes du Texas a déclaré avoir trouvé des codes QR frauduleux placés sur des parcomètres, dirigeant les gens vers un faux site de paiement.
Pour éviter d’être victime d’un mauvais code, la FTC suggère d’ignorer les e-mails inattendus ou autres messages auxquels vous ne vous attendiez pas et qui sont accompagnés d’une sorte de demande urgente. Il est également conseillé de vérifier l’URL qui s’affiche sur votre écran lors de la numérisation pour vous assurer qu’il s’agit d’un site en qui vous avez confiance. Là encore, même un code QR légitime peut vous montrer une adresse Web raccourcie tronquée et dénuée de sens, donc si vous savez quel site vous souhaitez visiter, il est préférable d’y aller directement.
La Commission recommande également de mettre à jour vos appareils et de veiller à ce que vous disposiez de bons mots de passe forts et d’une authentification multifacteur en place pour les comptes sensibles. Si vous ne savez pas comment procéder, consultez notre guide d’authentification à deux facteurs, qui contient des instructions pour plusieurs des sites et services les plus populaires.
Au-delà de la recommandation de la FTC, vous pouvez faire d’autres choses. Ne téléchargez pas d’application de numérisation de code QR, par exemple : les applications d’appareil photo intégrées pour Android et iOS le font déjà, et les applications peuvent parfois elles-mêmes être créées à des fins néfastes. Le FBI a aussi une liste de recommandations dans un blog similaire publié en septembre, mais en général, si vous n’êtes pas sûr d’un code, ne le scannez pas.