Un QR code, abréviation de l'anglais " Quick Response Code ", est une image codifiée qui, à l'instar d'un code-barres, contient des informations comme une URL. Il permet un accès rapide à un site web ou à une application, évitant ainsi la saisie manuelle d'une adresse complexe.
Cette simplicité d'usage, largement adoptée par les entreprises et les particuliers, a inévitablement attiré l'attention des cybercriminels, qui exploitent la confiance des utilisateurs pour mener leurs attaques. Cette nouvelle forme de cybercriminalité s'appelle le " quishing ", un mot-valise combinant " QR " et " phishing ", le fameux hameçonnage par e-mail. Comment fonctionnent ces arnaques ? Comment les repérer ? Quelles bonnes pratiques adopter pour les éviter ? Tout ce qu'il faut savoir.
Qu'est-ce que le quishing ?
Le quishing, un terme qui fusionne les mots " QR " et " phishing ", représente une forme de hameçonnage qui utilise astucieusement les QR codes pour piéger les utilisateurs. Alors que le phishing traditionnel repose sur des e-mails ou des liens textuels frauduleux, le quishing dissimule l'URL de destination derrière une image. Cette technique contourne de fait les systèmes de sécurité traditionnels qui analysent principalement le texte, laissant les victimes vulnérables à un type d'attaque plus insidieux.
L'objectif de cette arnaque est identique à celui de l'hameçonnage classique : inciter une victime à scanner un code malveillant afin de la rediriger vers un site web frauduleux. Sur cette fausse page, souvent une copie quasi parfaite d'un site légitime, les cybercriminels cherchent à dérober des données sensibles, telles que des informations de connexion, des identifiants bancaires ou des informations personnelles confidentielles. Ces informations sont ensuite utilisées pour l'usurpation d'identité, la fraude financière ou l'envoi de logiciels malveillants.
Cette menace est devenue de plus en plus répandue ces dernières années. L'explosion de l'utilisation des QR codes durant la pandémie de Covid-19 a en effet créé un terrain fertile pour ce type d'arnaque.
Comment fonctionne le quishing et comment le repérer ?
Les attaques par QR code reposent sur des méthodes d'ingénierie sociale bien rodées pour tromper la vigilance des utilisateurs et contourner certaines mesures de sécurité traditionnelles.
Des techniques d'attaque variées et efficaces
Les cybercriminels ne manquent pas d'imagination pour déployer leurs faux QR codes dans la vie réelle. La pratique la plus courante est la création d'un faux site web qui imite à la perfection un site légitime, comme celui d'une banque ou d'un service en ligne. Une fois scanné, le QR code redirige l'utilisateur vers cette page frauduleuse où il est invité à saisir ses identifiants ou ses informations bancaires.
Une autre technique consiste à utiliser le QR code pour déclencher le téléchargement de malwares (logiciels malveillants) directement sur l'appareil de la victime. Ce type d'attaque permet aux pirates de prendre le contrôle de l'appareil, de voler des données stockées ou d'espionner l'utilisateur. Ces QR codes peuvent être distribués physiquement, sous forme d'autocollants sur des parcmètres ou des avis de passage, ou numériquement, via des e-mails ou des publications sur les réseaux sociaux.
Dans le contexte professionnel, une attaque de quishing peut prendre la forme d'un e-mail urgent, prétendant que le mot de passe du compte Microsoft 365 de l'employé va expirer et l'incitant à scanner un code pour le réinitialiser. Le scan mène alors à une fausse page de connexion conçue pour voler les identifiants de l'entreprise.
Pourquoi cette menace est-elle si difficile à détecter ?
Le quishing est efficace car il contourne souvent les défenses classiques. La plupart des solutions de sécurité des e-mails sont conçues pour analyser le texte et les URL, mais considèrent un QR code comme une simple image, la laissant passer sans inspection.
L'URL malveillante est ainsi masquée, et il est impossible pour l'utilisateur d'en vérifier la destination avant de l'avoir scannée. C'est une fois que le piège s'est refermé, sur le navigateur du smartphone, que le risque devient réel.
Quelles bonnes pratiques adopter face à l'arnaque au QR code ?
Face à la montée en puissance du quishing, la vigilance et l'éducation sont les meilleures armes pour se protéger :
- Vérifiez l'origine du QR code : soyez prudent si le code QR provient d'une source inconnue ou non sollicitée. Méfiez-vous des codes affichés dans des lieux publics sans contexte clair ou de ceux reçus par des canaux non officiels, comme un e-mail dont l'expéditeur ne vous est pas familier.
- Examinez l'URL de destination : avant de saisir la moindre information, prenez le temps de vérifier l'adresse du site web dans votre navigateur. Les sites sécurisés commencent par " https:// " et l'adresse doit correspondre exactement à l'entité qu'elle prétend représenter. Un lien frauduleux peut contenir des fautes d'orthographe ou des caractères additionnels.
- Utilisez des scanners de QR code sécurisés : certaines applications de lecture de QR code intègrent des fonctionnalités de sécurité et peuvent vous avertir si l'URL de destination semble suspecte ou dangereuse.
- Ne divulguez jamais d'informations confidentielles : ne saisissez jamais d'informations personnelles ou bancaires sur un site auquel vous avez accédé via un QR code, sauf si vous êtes absolument certain de sa légitimité. Si vous avez un doute, allez directement sur le site officiel en le recherchant vous-même sur votre navigateur.
- Ne téléchargez rien à partir d'un lien non vérifié : si le scan d'un QR code déclenche une demande de téléchargement, refusez systématiquement, sauf si vous êtes sûr à 100 % de la source.
- Sensibilisez vos employés : l'éducation est la clé pour prévenir les brèches de données. Formez vos équipes à reconnaître les tentatives de quishing, par exemple via des campagnes de simulation d'hameçonnage, pour tester leur vigilance face à ce type d'attaques.
Activez l'authentification multifacteur (MFA) : même si un cybercriminel parvient à voler un mot de passe, l'authentification multifacteur constitue une barrière de sécurité supplémentaire très efficace pour protéger l'accès aux comptes.