QR Codes : Attention à ces nouvelles arnaques !

Bien qu’il existe depuis plus d’une vingtaine d’année, le QR Code s’est clairement démocratisé pendant l’épidémie de COVID début 2020. Combiné à l’usage intensif des smartphones dans notre société, ce célèbre « code-barres » est devenu omniprésent dans notre quotidien. On le retrouve ainsi sur les tables de restaurant, dans les affiches publicitaires, ou annexé aux documents administratifs… Les escrocs ne pouvaient pas laisser passer une telle opportunité ! Pour cette raison, ils ont décidé de surfer sur la tendance en vous proposant de nouveaux pièges. Faisons-en le tour et voyons ensemble les contre-mesures 😉

Le QR code pour les nuls

Avant de rentrer dans le cœur du sujet, il parait judicieux de rappeler ce qu’est un QR Code et surtout de démystifier son apparente complexité.

C’est quoi un QR code ?

Le terme QR Code provient de l’anglais « Quick Response code », code à réponse rapide. Derrière cet acronyme un peu technique se cache une technologie connue de tous : celles des codes-barres. Vous savez, ceux qu’on retrouve sur les produits dans les magasins depuis presque toujours…

Utilisation de codes-barres en caisse de magasin

Un QR Code est donc un type de code-barres qui permet à une machine de lire des informations et de les transmettre à un utilisateur.

Le visuel d’un QR code est un peu plus élaboré que celui des code-barres classiques pour essentiellement 2 raisons :

  • Pour stocker beaucoup plus d’informations : il est notamment possible d’y intégrer du texte, des liens html (web) et même indirectement des images, des vidéos…
  • Pour être redondant : Même lorsqu’il manque des bouts de code (détériorations / saletés), les machines arrivent tout de même à déchiffrer le contenu… Dans une certaine limite évidemment !

Visuellement, nous avons donc affaire à un code-barres qui s’affiche en 2 dimensions.

QR Code contenant du texte

Lire un QR Code en 3 secondes

Comme nous venons de le voir, le QR Code est donc une passerelle entre le monde réel et numérique.

Taper des adresses internet à rallonge devient de l’histoire ancienne : il suffit d’utiliser son smartphone pour lire l’information qui vous est traduite instantanément. En effet, nul besoin d’un lecteur de code-barres comme à la caisse du supermarché, un simple smartphone équipé d’une caméra suffit ! (C’est d’ailleurs pour cela qu’il est si pratique)

Les smartphones un peu anciens ont besoin d’une application spécifique mais depuis quelques années, ce n’est plus nécessaire. Il suffit juste de mettre le QR Code devant l’objectif de votre téléphone en mode « prise de photo » pour que le QR Code soit détecté automatiquement :

Lecture d’un QR Code avec un iPhone

L’usage des QR codes au quotidien

C’est simple, ce petit bout de code est devenu tellement populaire, qu’on le retrouve désormais partout :

  • Sur les tables des brasseries pour accéder à la carte voire commander directement
  • Dans les Pass sanitaire (évidemment, vous le savez déjà…)
  • Sur les parcmètres, pour payer plus rapidement. D’ailleurs, les amendes aussi ont désormais des QR Codes…🤣
  • Sur les trottinettes / vélos de location
  • A proximité des cartes des lignes de bus et plus généralement des transports en commun (pour télécharger une application / payer en ligne)
  • Et même de plus en plus dans les publicités !

Eh oui, directement lié à ce dernier point on pourrait citer l’exemple de la publicité d’une plateforme de cryptomonnaie qui a fait une campagne simplifiée à l’extrême diffusée lors d’un grand évènement médiatique : pas un mot, pas une virgule, pas de fond visuel

Juste un QR Code sur un fond noir :

Publicité SuperBowl

Eh bien, figurez-vous que ça a cartonné : des milliers d’utilisateurs poussés par la curiosité ont pris le QR Code en photo et ont atterri sur le site de l’annonceur.

Faire un QR Code est très (très) facile !

On se dirige lentement mais sûrement vers la thématique centrale de cet article : l’utilisation des QR codes dans les arnaques. Il nous reste auparavant une étape : la démystification technique du QR Code.

Il s’agit pourtant d’une étape importante pour comprendre à quel point il est aisé de monter des escroqueries en utilisant des QR codes… Cela ne fait donc pas appel à des compétences extraordinaires d’hackers cachés en Europe de l’est.

Pour réaliser des QR codes, il suffit juste de s’appuyer sur des outils disponibles en ligne qui, pour la plupart le font gratuitement pour vous.

Qr-code-generator.com en est un bon exemple :

Ce QR Code redirige vers Signal-arnaques.com

Oui, ça marche, vous pouvez tester avec votre smartphone si vous voulez 😊.

Point de vigilance (ben oui quand même) :

Certains générateurs de QR Code vous font payer une petite somme 1€ et s’amusent à vous prélever une trentaine d’euros par mois… Un abonnement caché qui vous rappellera peut-être quelque chose. Bref, faites attention, les pièges sont partout.

Les arnaques dans les QR Codes

Comme nous l’avons vu, le QR Code est un moyen simple de transmettre des informations à un utilisateur de smartphone… Tout le monde pour ainsi dire.

Vu qu’il est populaire et légitimement utilisé par les institutions ou des professionnels sérieux, peu de gens s’en méfient… C’est un tort que nous allons vous aider à corriger ici en vous expliquant les risques qui sont clairement identifiés : le phishing, les actions automatiques malveillantes et le téléchargement de programmes dangereux.

La technique du Phishing réinventée…

Un des énormes avantages du QR Code pour les escrocs est qu’il ne peut pas être lu par un humain. Inutile donc d’en chercher des fautes d’orthographe ou d’autres indices connus des arnaques. Pour cette raison, rien ne ressemble plus à un QR code qu’un autre QR code…

Eh bien certains escrocs l’ont bien compris et n’hésitent pas à propager des arnaques en remplaçant tout simplement un QR Code légitime par une version frauduleuse de leur composition.

Pour cela, rien de plus simple : Avec un simple autocollant !

Le coup des Parcmètres

Vous ne voyez pas comment ça marche, voici la technique appliquée, par exemple à des parcmètres publiques :

  • Les escrocs conçoivent un faux site internet avec un formulaire de paiement. Le site ressemble à un site officiel pour payer son stationnement.
  • Ils génèrent un QR Code qui redirige ceux qui le scanne vers le site frauduleux.
  • Ils l’impriment sur du papier autocollant et hop… le tour est joué.
  • Ils n’ont plus qu’à coller leur QR Code à la place de celui présent sur certains parcmètres.

Ils récupèrent ainsi les informations bancaires des victimes qui n’y voient que du feu… D’ailleurs elles sont même susceptibles de se prendre une amende pour défaut de paiement puisque l’Etat n’aura pas perçu son dû ! 😂

Si vous trouvez que l’idée est farfelue, sachez qu’elle est très active aux Etats-Unis. Alors oui, on est dans le cadre d’un exemple mais l’objectif est de vous faire comprendre l’idée.

Ce type de technique est facile à appliquer sur quasiment tous les QR codes qui se promènent dans la nature. On usurpe une identité et on fait passer à la caisse.

Les actions malveillantes : des possibilités d’arnaques infinies

Comme nous l’avons vu précédemment, les QR Codes sont souvent utilisés pour diffuser des liens HTML pour vous rediriger vers un site internet. Peu importe qu’il soit officiel ou non… C’est l’utilisation principale qui en est faite.

On en parle peu, mais il y a d’autres choses qui peuvent être véhiculées par un QR Code et des actions peuvent être déclenchées par votre téléphone juste après un Scan :

  • Vous faire appeler un numéro de téléphone surtaxé.
  • Ajouter un contact dans votre répertoire (« Banque » par exemple)
  • Vous connecter à un réseau wifi malveillant
  • Envoyer vos contacts par mail ou SMS à l’extérieur
  • Vous orienter vers une application dangereuse

La liste n’est pas exhaustive mais est réelle. Le célèbre éditeur d’antivirus Kaspersky en parle d’ailleurs dans son article dédié aux arnaques via les QR Codes.

Mais aussi quelques liens malveillants

Ce dernier risque s’adresse essentiellement aux propriétaires de vieux smartphones. Certains QR Codes peuvent vous rediriger vers des fichiers informatiques à risques (virus, programmes dangereux…).

Lorsque le QR Code malveillant est scanné, le smartphone va explorer un code laissé par des hackers qui exploitent les éventuelles failles de votre navigateur ou système d’exploitation.

Dans ce cas, des fuites de données personnelles peuvent apparaître et des programmes peuvent être installés à votre insu. Il peut y avoir des trackers, des systèmes d’appels automatiques ou d’autres joyeusetés…

Comment éviter les pièges liés aux QR Codes ?

Maintenant que nous avons listé la majorité des dangers qui vous guettent, nous sommes en mesure de lister les bonnes pratiques qui vous aideront à éviter les arnaques via QR codes :

  1. Ne scannez pas les QR Codes perdus dans la nature : vous avez peut-être connu l’époque des clefs USB qui contenaient des virus et qui étaient volontairement dispatchées dans la nature pour piéger les curieux. Ben là, c’est pareil. Rangez votre curiosité dans un coin et passez votre tour au prochain.
  2. Vérifiez l’absence d’autocollants : Si vous observez une surépaisseur sur un QR, méfiez-vous ! Un escroc a pu rajouter une version malveillante (exemple du Parcmètre).
  3. Testez systématiquement les sites sur lesquels votre smartphone vous oriente après un scan. Pour cela il suffit de copier-coller l’URL dans un outil dédié. Scamdoc est un bel exemple car il vous donnera en quelques secondes un score de confiance.
  4. Mettez à jour votre smartphone : Les mises à jour permettent de limiter les risques d’intrusion en cas de scan d’un QR Code malveillant. S’il est trop vieux et ne prend plus les mises à jour, évitez tout simplement les scans.
  5. Utilisez une application sécurisée pour les scans de QR Codes : il existe des professionnels de la sécurité qui proposent des outils pour fiabiliser vos scans. Il y a par exemple Scanner QR (Trend Micro) ou QR Scanner (Kaspersky).
  6. Ne scannez pas les QR Codes contenus dans les mails ou sur des sites internet : ce sont quasiment tous des arnaques. Pourquoi ? Car comme nous l’avons vu, le QR Code n’a de sens que pour passer des informations du monde réel au monde numérique. Lorsqu’il provient d’un canal de communication qui est déjà numérique, ça sent mauvais…

Conclusions

Voilà, je pense qu’on a fait le tour des risques liés aux QR Codes.

Alors oui, ça peut faire peur mais relativisez un peu tout de même : nous ne sommes qu’aux balbutiements des arnaques du genre.

Il y a, à l’heure de la rédaction de cet article, peu de risques de se faire piéger mais il semblerait qu’une vague d’arnaque venue des US se propage lentement.

Autant se préparer un minimum… 😋

12 réponses

  1. Daussy dit :

    Toujours très clair
    Moi qui suis une personne âgée
    Site très utile

  2. Bernadette Allard dit :

    Merci pour cette info que je n’ai pas entendu parlé.

  3. gillet dit :

    explications claires !! … infos que je prends toujours en compte depuis une arnaque à la carte sur internet….c’est dingue !!! dans quel monde vit on , quelle tristesse …

  4. Yves dit :

    Bonjour,
    de nombreux produits fonctionnent avec une application Android ou iOS sur smartphone (montres, balances, tondeuses, … (j’ai même vu un aspirateur robot).

    Le nom de l’application est bien sûr indiqué, elle est généralement disponible sur Google Store ou l’Apple Store, où elles est réputée avoir été testée et être fiable.

    Cependant, la doc contient souvent un QR-Code qui ne pointe pas toujours vers ces « Stores » mais vers un site totalement inconnu et l’on peut donc avoir des doutes sur application téléchargée !

  5. francesco dit :

    il suffit d’être abonné à votre site pour avoir des idées d’arnaque… l’information marche aussi dans les deux sens, dire ce qu’il ne faut pas faire c’est aussi dire aux escrocs quoi faire ou quoi corriger.

    le meilleur moyen que j’ai trouvé… ne plus rien scanner, refuser tous appels de numéros inconnus, et n’allait que sur mes sites internets mis dans mes favoris. ne pas ouvrir mes e mails inconnus… et surtout ne plus avoir de carte bancaire du tout!!! depuis que je fais ça. je vis en paix!

  6. HOLDER Marie-Laure dit :

    Merci pour toutes vos explications et vos conseils.

  7. ROUSTAN dit :

    Je me méfiais des QR codes PARTOUT depuis le covid !

    Comme je n’ai qu’un smartphone à l’ancienne, juste pour whatsapp messages et photos, utilisable qu’à l’intérieur de la maison depuis ma box + erreur de boîte mail sur cet appareil – raison ?? mais une bénédiction au final car dérangée par 0 notification -, je ne me sentais pas vraiment concernée, même parfois/souvent un peu honteuse de ne pas être « moderniste » ni prendre le train en marche §§§

    Là je comprends mieux mon appréhension instinctive.

    Cet article pousse à la Réflexion. MERCI !!

    Je vais DONC continuer à utiliser mon P.C., et pour le « quotidien », mon 2ème petit mobile basique de chez basique qui ne me permet d’ouvrir aucun lien… et ce SANS COMPEXE.

    Et pour le renouvellement du smartphone je serai prudente + + +

    P.S. : à ceux qui redoutent l’appli bancaire Sécure’ Pass (comme moi) le boîtier SOL CAP fait super bien son job pour les achats en ligne, indispensables selon la santé et le lieu d’habitation – ici ruralité -.

  8. Francoise dit :

    Merci pour vos conseils très judicieux

  9. john dit :

    salut je ne suis pas totalement d’accord car comme toutes techno c’est bien l’usage qui en fait et non l’outils qui cause problème, le QR code est un outils très fiable pour par exemple se passer de mdp (une petite révolution de mon point de vu) ou faire passer des informations, par contre mal utiliser c’est surement un piège à noobs, donc il faut donc de la pratique et une hygiène numérique comme tous utilisateurs du numérique qui se respect, donc le fud entrainant la peur des outils qui mérites d’être mieux utiliser ça n’a aucun mérite justement, sans entrer dans les détails il y a pleins de soit disant méthodes de protection ou de connection prétendument fiable qui en réalité ne le sont pas (quid des email, google auth, code sms et j’en passe…) un seul mdp bien définis est parfois bien et tres largement suffisant, bien évidement il s’agit là d’une seul interaction avec un QR code parmi des centaines d’applications. 😀

    • john dit :

      petite rectification: « pour par exemple se passer de mdp (une petite révolution de mon point de vu) » je voulais dire pour éviter la redondance de saisi d’un mot de pass.

    • benot dit :

      Faut revoir votre façons de pensé, car en informatique tout ce qui se tape sur un clavier et piratable, seul solution inviolable à ce jour le u2f et les clés crypté comme yubico la fameuse yubikey conseil un ingénieur en sécurité réseau.

      bientôt ont verra apparaitre des gestionnaire de mot de passe matériel, ( un appareil physique crypté qui envoi les identifiants et mot de passe sur vos site concerné en mode cryptage donc interception impossible à ce jour)

      La fido fundation et un spécialiste de la sécurité information et autre
      https://fr.wikipedia.org/wiki/Universal_Second_Factor

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

0 Partages
Tweetez
Partagez
Partagez