Attention au « quishing », l’arnaque aux faux QR Codes, ne scannez pas tout ce que vous voyez.

Article réalisé avec les sites :
francenum.gouv.fr et  safeonweb.be

ORIGINE DU QR CODE

(Quick Response) – (réponse rapide)

Le code QR a été créé en 1994 par Masahiro Hara, ingénieur de l’entreprise japonaise Denso-Wave, pour suivre l’itinéraire des pièces détachées dans les usines Toyota.

  • Le QR code (code Quick Response, code à réponse rapide) dit aussi Code QR, c’est ce petit carré déjà vu sur des affiches, sur des prospectus, sur la devanture d’un commerce, dans un restaurant ou encore sur des billets de train ou d’avion et plus récemment dans les courriels (email).

Ce code-barre en 2 dimensions amélioré à base de petits carrés noirs et blancs représentant des informations codées est devenu commun dans notre vie quotidienne.

  • Il est surtout devenu de nouveau très utilisé avec les applications Anti Covid, et notamment la vérification de vaccination lors de la crise de la Covid-19 en 2019.

Avec un smartphone, il suffit de placer l’objectif de son appareil vers le QR code pour voir s’afficher une URL (adresse Web) qu’on est invité à valider pour voir directement apparaître une page Web.

C’est un outil pratique qui facilite la vie et évite de taper de longues adresses.

Mais c’est aussi une utilisation qui peut constituer une cybermenace avec des attaques ciblées vers les possesseurs de smartphones qui ne font pas attention, dont les professionnels qui l’utilisent pour avoir accès à des pages Internet (menus de restaurants, accès direct à leur site internet, infos sur des produits…).

Notez que pour certaines publications, on parle aussi de Flashcode :

Le Flashcode est en fait une marque désignant un format de données (code-barres) propriétaire de type Datamatrix, développé par l’Association française du multimédia mobile (créée le ).

  • Ces pictogrammes sont aussi composés de carrés soit blanc soit noir qui peuvent notamment être décodés par des téléphones mobiles disposant du lecteur flashcode. Certains téléphones mobiles sont déjà équipés de ce lecteur, pour d’autres, il est nécessaire de l’installer.

Le « Quishing », qui est une contraction de deux termes « QR code » et « phishing », est un type d’escroquerie dans lequel les fraudeurs incitent leurs victimes à scanner des QR codes malveillants. Ces codes redirigent ensuite les victimes vers des sites web de phishing ou exécutent des programmes malveillants.

Comment cela fonctionne-t-il ?

Le processus est d’une simplicité et d’une efficacité redoutables. Voici un scénario typique d’une attaque au quishing :

  • Le pirate génère un code QR malveillant. Ce code peut vous diriger vers un site d’hameçonnage ou télécharger un logiciel malveillant sur votre appareil.
  • L’attaquant place ensuite ce code QR dans un lieu public ou l’envoie à des victimes potentielles par courrier électronique, messagerie ou via les médias sociaux.
  • Il le déguise souvent en quelque chose d’attrayant ou de nécessaire, comme des réductions dans un magasin populaire ou une mise à jour indispensable pour votre appareil.
  • Une victime peu méfiante scanne le code QR avec son smartphone.
  • La victime est alors redirigée vers le site web malveillant ou le logiciel malveillant est téléchargé sur son appareil.

Avez-vous cliqué sur un lien suspect ?

  • Si vous avez cliqué, ne remplissez pas les champs et annulez toute interaction.
  • Ne donnez JAMAIS de codes personnels.
  • Ne téléchargez pas d’applications lorsque vous y êtes invité.
  • Si vous avez fourni un mot de passe que vous utilisez ailleurs, changez-le immédiatement.

Comment se prémunir contre les attaques via QR code et rester vigilant ?

Voici quelques règles à observer pour se protéger des QR codes malveillants :

  • Avant de scanner un QR code, s’assurer qu’il ne couvre pas un autre code ;
  • En cas de doute sur un QR code, ne pas le scanner ;
  • Vérifier l’URL proposée sur la notification avant de cliquer sur la redirection. Si URL est étrange ou très courte, quitter la notification ;
  • Le QR code doit vous amener à une information souhaitée, si ce n’est pas le cas, fermez la page et effacer l’historique de votre navigateur ;
  • Si le QR code dirige vers une application de l’AppStore ou de Google Play, s’assurer que l’entreprise mentionnée sur cette page a bien développé l’application demandée ;
  • Ne pas installer d’applications de sécurité à partir d’un lien scanné d’un QR code car c’est souvent un logiciel malveillant (malware) qu’on cherche à installer sur votre smartphone ou tablette ;
  • Être méfiant sur les QR codes distribués sur des cartes, mentionnés sur des affiches lors d’évènements ou placés dans des lieux publics ;
  • Pour les smartphones professionnels, ne pas mettre en place l’installation automatique d’applications ;
  • Utiliser une authentification multiplicateurs pour les applications d’entreprise ;
  • Professionnels : il est fortement recommandé d’adopter une solution de défense contre les menaces mobiles.
  • Utilisez des scanners de codes QR sécurisés : Certaines applications de lecture de codes QR offrent des fonctions de sécurité qui permettent de vérifier la sécurité d’un lien avant de l’ouvrir.

Avez-vous été escroqué ?

  • À partir du moment où vous avez perdu de l’argent ou que vous êtes victime d’une extorsion, nous vous conseillons de faire une déclaration à la police. Vous pouvez le signaler à la police locale de votre lieu de résidence.
  • Contactez votre banque  si vous avez transmis des informations bancaires, si de l’argent disparaît de votre compte bancaire ou si vous avez transféré de l’argent à un fraudeur. De cette façon, les éventuelles transactions frauduleuses peuvent être bloquées.

Autres moyens de signaler ces arnaques :

SITE DE SIGNALEMENTS :

  •  Pour la France, vous pouvez le signaler sur la plateforme PHAROS accessible sur site www.internet-signalement.gouv.fr
  • Pour la Belgique, vous pouvez le signaler sur la plateforme SAFEONWEB accessible sur site www.safeonweb.be
  • Pour le Canada/Québec, vous pouvez le signaler sur la plateforme  Fraude/maltraitance  accessible sur site Canada.ca
  •  Pour la Suisse, vous pouvez le signaler sur la plateforme VOTRE POLICE  accessible sur site votrepolice.ch

francenum.gouv.frsafeonweb.be – wikipedia.org/Code_QRaussi sur :  lefigaro.frtf1info.frcba.cajournaldugeek.com