print preview

Retour Centre logistique de l'armée Othmarsingen


Le danger qui se cache derrière les codes QR

Ils sont presque partout et rendent notre vie plus confortable : les codes QR. Pourtant, le fonctionnement de ces codes est souvent opaque. Ils comportent de grands risques. Cet article présente les dangers de ces codes et comment les éviter.

17.02.2023 | Communication Défense, Lorena Castelberg

Les codes QR sont une technique de phishing extrêmement simple et bon marché, similaire à l’envoi massif d’e-mails de phishing. ©VBS/DDPS, Andreas Müller

Les codes QR sont partout. Pratiques, ils réduisent notre charge de travail et de réflexion et sont volontiers utilisés par les utilisateurs. Les possibilités d’utilisation des codes QR ne cessent d’augmenter - on les voit partout : sur les factures, les publicités, le matériel de communication - la liste est longue. Puisque nous les voyons si fréquemment, nous les considérons souvent comme une source sûre et les considérations sont rapidement reléguées au second plan. Pourtant, il est impossible de savoir ce qui se cache derrière un code QR avant de le scanner. Si un utilisateur a tout de même des doutes, un effort supplémentaire s’impose pour les dissiper : il faut vérifier l’URL qui se cache derrière ce code. Les cybercriminels ont ainsi de plus en plus de possibilités d’introduire des codes QR malveillants. Et notre confiance en partie aveugle invite les cybercriminels à agir. Le danger augmente en raison du manque de prise de conscience des risques.

Le danger derrière le code

Les informations que contient un code QR ne se limitent pas aux pages web : Il peut également s’agir, par exemple, de coordonnées, de courriers électroniques, de SMS ou de connexions Wi-Fi automatisées vers un réseau malveillant. Ainsi, des PDF ou une application potentiellement nuisibles sont automatiquement téléchargés. Un code QR peut également mener à un fichier corrompu, à une application malveillante ou à une boutique d’applications douteuse.

Il est facile pour un fraudeur d’imprimer un autre code QR dangereux et de le coller sur un code existant ou d’ajouter un code QR là où il n’y en a pas. Même dans le cas des codes QR dynamiques, il est impossible de prédire sur quelles pages web ils mèneront finalement. Dans un code QR dynamique, une courte URL est intégrée, grâce à laquelle l’utilisateur peut être redirigé vers l’URL du site web cible. L’URL de destination peut être modifiée après la génération du code QR, tandis que l’URL courte intégrée dans le code reste inchangée.

Des maliciels aux informations personnelles

Les codes QR sont une technique de phishing extrêmement simple et bon marché, similaire à l’envoi massif d’e-mails de phishing. Pour cela, un pirate a besoin d’un outil pour manipuler un code QR et il doit avoir une opportunité de le diffuser auprès des gens. Il peut s’agir par exemple de faux dépliants ou de brochures. Précisément parce que l’URL du code QR manque souvent dans les imprimés, il est presque impossible pour l’utilisateur de vérifier la légitimité du code QR. D’un point de vue technique, les codes QR sont dangereux, car il est possible d’accéder à une page contenant par exemple un « drive-by malware ». Si un tel code QR est scanné, un logiciel malveillant peut être installé lors de l’ouverture de la page web. Ce risque n’est pas très probable actuellement, mais cela pourrait changer à l’avenir. Mais les codes QR peuvent aussi mener à un site web qui ne fait « que » collecter des informations, par exemple sur les versions des logiciels installés sur les appareils mobiles. Cela peut à son tour être utilisé pour espionner l’état de la technique afin de planifier d’autres attaques.

Il existe deux types principaux d’attaques par codes QR :

  • La première est une attaque de phishing basée sur un code QR, également appelée quishing. Cette attaque utilise un code QR pour attirer une victime sur une page d’hameçonnage que les hackers conçoivent pour voler les informations de connexion, les données personnelles ou d’autres informations sensibles de la victime.
  • Le deuxième type principal d’attaque par code QR est connu sous le nom de QRLjacking. Dans ce type d’attaque, les hackers utilisent un code QR pour diffuser des logiciels malveillants sur l’appareil de la victime. Le pirate incite l’utilisateur à scanner un code QR qui redirige son appareil vers une URL malveillante qui infecte l’appareil avec un malware.

Nous vous donnons six tuyaux en or pour réduire les risques, voire les éviter :

  • Les codes QR (avec URL) devraient toujours être scannés avec une application qui affiche l’URL dans le code QR avant de naviguer délibérément vers la destination. Les iPhones le font par défaut, pour Android il existe par exemple une application de Secuso (Privacy Friendly QR-Code Scanner). S’il n’y a pas d’URL plausible, le code QR ne devrait pas être utilisé.
  • Après le scannage et avant l’exécution, la plupart des scanners indiquent quelle action est effectuée ou vers quelle page un lien est établi. Vérifiez ces informations.
  • Ne saisissez jamais d’informations de connexion sur un site web auquel vous accédez via un code QR.
  • Avant de scanner un code QR, regardez-le ou touchez-le pour voir s’il s’agit de l’original ou si un autocollant a été apposé.
  • Si vous scannez un code QR qui contient quelque chose de malveillant, avertissez immédiatement le propriétaire du magazine, du site web, du flyer, etc. sur lequel vous l’avez découvert et signalez ces incidents au NCSC.
  • Accédez, si possible, aux services en ligne via un lien plutôt que d’utiliser un raccourci via un code QR.


Retour Centre logistique de l'armée Othmarsingen