Informations régionales économiques et juridiques
140e année

Êtes-vous sûr de la sécurité des QR codes ?

Cybersécurité. Alors que les entreprises tentent de créer une expérience sans contact dans le contexte de la pandémie de coronavirus, beaucoup se sont tournées vers les QR codes.

Nous voyons beaucoup de restaurants les utiliser pour afficher leurs menus sur les smartphones et sur les reçus pour une option de paiement sans contact. Dans des applications populaires comme Snapchat et WhatsApp, les codes QR font partie intégrante de l’expérience utilisateur. Les utilisateurs peuvent utiliser les codes pour se connecter à leur compte, échanger des informations de contact et effectuer des transferts d’argent. Dans des pays comme la Chine, les QR codes font désormais partie du mode de vie de facto grâce à des applications comme WeChat. Bien sûr, cette technologie comporte des risques.

Effectivement, les codes QR permettent aux escrocs de vous envoyer facilement des liens d’hameçonnage. Pour commencer, il n’y a aucun moyen de savoir où le code vous mènera avant de le scanner. Cela signifie que lorsqu’un employé se fait hameçonner sur son temps personnel, par exemple en allant au restaurant, cela ne l’affectera pas seulement personnellement, mais pourrait également compromettre l’infrastructure de son entreprise. À quel point est-il facile de mettre en place un système d’hameçonnage par QR code ? Lookout a mené une expérience il y a quelques mois lors de la conférence annuelle RSA.

Nous voulions voir dans quelle mesure les professionnels de la sécurité étaient conscients des cyber-attaques mobiles lorsqu’ils assistaient à une conférence sur la sécurité. La méthode était simple : une fausse attaque par hameçonnage à l’aide d’un code QR sur le stand annonçant une chance de gagner un iPhone. Le code pointait en fait vers une URL classée comme malveillante, ce qui signifie qu’elle serait immédiatement bloquée si l’utilisateur disposait d’une protection contre le phishing sur son appareil mobile. De nombreux participants à la conférence RSA ne disposaient alors pas de protection contre le phishing sur leurs appareils mobiles et ont été dirigés vers le site. Heureusement pour eux, la page Web était inoffensive et contenait un message les informant sur le phishing mobile.

S’il s’était agi d’une véritable escroquerie par hameçonnage, ils auraient pu se mettre en danger, ainsi que les données de leur entreprise. L’expérience démontre la facilité avec laquelle les attaquants peuvent intégrer un contenu malveillant dans un QR code. Nous avons récemment vu le phishing par QR codes gagner en popularité précisément parce qu’il ne nécessite que peu d’efforts pour réussir. Et comme les QR codes sont utilisés partout pour la communication sans contact, les attaquants ont de nombreuses occasions de coller leurs propres codes sur les codes existants sans que personne ne le sache.

L’hameçonnage par QR code peut également être un moyen efficace pour les cyber-attaques d’accéder aux données sensibles d’une organisation. Par exemple, un employé peut scanner un code qui mène à une fausse page de connexion bancaire. Une fois les informations de connexion saisies, un attaquant peut utiliser un logiciel qui explore internet à la recherche d’autres sites avec le nom d’utilisateur de l’employé. Lorsque des correspondances sont trouvées, le logiciel saisit les informations de connexion hameçonnées pour se connecter au compte.

Si l’employé utilise les mêmes informations de connexion sur plusieurs comptes, y compris ceux liés à son travail, un pirate peut accéder à l’infrastructure de l’organisation. Pour protéger votre appareil contre ces attaques, je recommande de considérer les QR codes de la même manière que les autres tactiques de phishing, comme l’escroquerie par e-mail et l’usurpation d’URL. Lorsque vous scannez un code, vérifiez l’URL sur la notification avant de cliquer pour être redirigé. Si l’URL ne semble pas être une source fiable ou diffère de l’URL de l’entreprise connue, quittez de suite la notification.

Les attaquants utilisent constamment de nouvelles méthodes de phishing, comme les QR codes, pour inciter les utilisateurs à donner leurs informations. Si la formation est efficace pour la prévention, une attaque bien placée peut prendre au dépourvu même les professionnels les mieux formés. Plus que jamais, nous avons tous besoin d’un moyen de discerner les sources dignes de confiance de celles qui cherchent à voler nos informations, en bref, d’une sécurité capable de gérer le phishing quel qu’il soit.

Par Bastien Bobe, ingénieur commercial sécurité Europe du Sud chez Lookout