Les codes à réponse rapide (en anglais Quick Response Code), plus communément appelés QR codes, sont largement utilisés depuis au moins l’an 2000, lorsque cette technologie est devenue une norme internationale.
Le QR code, un ensemble de pixels apparemment inintelligibles à l’intérieur d’une boîte carrée, peut d’une manière ou d’une autre être compris par un lecteur spécifique – les appareils photo de nos smartphones par exemple – comme une adresse Web. L’accès à cette technologie est si simple que les QR code font désormais partie intégrante de notre quotidien.
Ainsi, les codes QR ont remplacé les bulletins de versement traditionnels en Suisse depuis l’automne 2022. Ils permettent aussi notamment d’accéder au menu numérique d’un restaurant, de se rendre aisément sur un site Web ou d’effectuer un paiement par Twint.
Bien que cette technologie est sans aucun doute pratique, elle peut également présenter un risque. Aucun être humain n’est en effet à même de lire le contenu d’un QR code. Il est donc impossible de savoir ce qu’il cache ou à quelle commande il renvoie sans scanner l’image. Les cybercriminels en ont donc profité pour étendre leurs techniques d’attaque. Ils les exploitent dorénavant pour provoquer le téléchargement de codes malveillants ou encore, par exemple, pour détourner l’utilisateur vers une page de phishing tentant de lui extorquer des informations confidentielles.
Le Quishing, correspondant à l’agrégation de QR code et phishing, est donc une nouvelle tactique où le QR code ne dirige pas la victime vers la destination attendue par l’utilisateur, mais l’envoie plutôt vers une page de phishing qui pourrait collecter des informations d’authentification. Il est donc crucial de rester vigilant en utilisant les codes QR, en appliquant les mêmes précautions que pour le phishing traditionnel.
Les bons réflexes
- Soyez vigilant aux QR codes suspects, ne saisissez pas vos données d’accès sur un site auquel vous avez abouti par un QR code.
- L’usage des QR codes dans les e-mails est une pratique peu répandue chez les entreprises ou les organisations publiques. Il est donc préférable de se méfier des QR codes issus d’e-mails.
- Après avoir scanné un code QR, la plupart des applications affichent l’action qui va s’exécuter ou la page de destination. Vérifiez en détail ces informations avant de valider la commande.
- S’il s’agit d’un autocollant, vérifiez-le bien ou touchez-le pour vous assurer de ne pas avoir affaire à un autocollant falsifié apposé sur le code QR original.
- Si le QR code scanné semble être malveillant, signalez-le aussitôt au propriétaire de l’emplacement (magazine, site Web, etc.) où vous l’avez trouvé. Vous pouvez aussi l’annoncer à l’Office fédéral de la cybersécurité (OFCS).