On prévoit que d’ici 2022, plus de cinq milliards de codes QR auront été scannés ou accédés par des appareils mobiles. Un code QR est une forme supplémentaire de communication sans contact qui, une fois scannée, relaie des informations ou dirige une personne vers une autre source, site Web ou application en ligne. L’adoption des codes QR a augmenté avec le mode de vie sans contact auquel beaucoup d’entre nous ont dû s’adapter, en particulier pendant la pandémie mondiale.
Les codes QR sont fréquemment vus sur les publicités, les billets de voyage, la documentation juridique et sanitaire, ainsi que sur les plateformes de médias sociaux comme Facebook, WhatsApp et SnapChat. Ils ont été utilisés comme alternative aux menus dans les restaurants et nous avons même la possibilité de les utiliser pour transférer de l’argent. Certains pays ont adopté cette technologie plus que d’autres. Par exemple, en Chine, les codes QR sont désormais le mode de vie de facto grâce à des applications comme WeChat. Au Royaume-Uni, pendant la pandémie, les individus voyaient et utilisaient généralement des codes QR lorsqu’ils entraient dans des lieux extérieurs ou consignaient des informations sur les coronavirus pour le NHS. Aux États-Unis, lors des élections présidentielles, des dépliants ont été distribués à la population contenant des codes QR pour aider les individus à vérifier s’ils étaient inscrits pour voter.
Une fois que l’un de ces codes QR est scanné, les utilisateurs sont notifiés et invités à se rendre sur une page Web externe généralement pour entrer un certain niveau d’informations d’identification ou même des informations personnelles. Bien que les cas d’utilisation soient nombreux, il existe de nombreux risques de sécurité associés à la technologie de code QR qui peuvent être exploités par des pirates informatiques lors du déploiement de cyberattaques et d’escroqueries en ligne.
A propos de l’auteur
Hank Schless est Senior Manager of Security Solutions chez Lookout
Sommaire
Codes QR et cyberattaques
Du point de vue d’un attaquant, les codes QR présentent l’occasion idéale de cibler les masses sans trop d’effort. Cela partage de nombreuses similitudes avec une arnaque par hameçonnage, qui est le vecteur d’attaque le plus populaire pour les pirates modernes. Comme mentionné, un code QR est une méthode sans contact permettant à un appareil mobile de lire une URL. Pour ce qui est de la création d’un code QR malveillant, les pirates n’ont qu’à reproduire les étapes qu’ils entreprennent lors de la fabrication d’un programme de phishing. Le phishing est la tactique la plus couramment utilisée avec les codes QR et peut être facilement mise en œuvre – il existe même des kits de phishing QR code qui sont facilement disponibles, bon marché et hautement personnalisables. Cela signifie que les pirates peuvent imiter les marques les plus populaires au monde pour extraire des informations sensibles de leurs clients.
À partir des cas d’utilisation réels ci-dessus, un acteur de la menace pourrait facilement fabriquer un code QR similaire pour extraire des informations, y compris des informations personnellement identifiables. Ces problèmes de sécurité «d’appel à l’action», par lesquels l’utilisateur sans méfiance doit fournir une réponse ou interagir (c’est-à-dire scanner le code) pour initier l’arnaque, sont répandus dans le monde souterrain.
Par exemple, si un consommateur s’attendait à se connecter et à activer un service, les cybercriminels pourraient placer un code QR sur ce site et rediriger cet utilisateur vers un nouveau site Web présentant des problèmes de sécurité ou même demander le téléchargement d’une application malveillante. De plus, les e-mails ou les messages SMS peuvent contenir des codes QR malveillants qui sembleront avoir un impact négatif sur l’appareil. Les pirates informatiques sont connus pour envoyer de faux messages de suivi avec des codes QR lorsqu’ils imitent de vrais services de livraison.
Dans l’espace crypto-monnaie, les codes QR sont utilisés pour aider les appareils mobiles à localiser les adresses de portefeuille virtuel pour transférer des bitcoins ou d’autres crypto-monnaies. Cependant, les escrocs ont rapidement réalisé une faille simple qui peut devenir extrêmement coûteuse pour la victime. Parce qu’un code QR peut être créé par presque n’importe qui, on pourrait être amené à envoyer de l’argent dans le portefeuille d’un pirate au lieu de celui prévu; et à cause de la difficulté de distinguer un code QR d’un autre, la victime n’en est pas plus sage. En fait, un réseau de générateurs de code Bitcoin-QR aurait volé des milliers de victimes au cours de la dernière année.
La saisie de contenu malveillant dans un code QR peut être réalisée avec peu d’effort et avec l’utilisation généralisée de cette technologie, les pirates ont de nombreuses possibilités d’adapter leurs propres codes par rapport aux codes existants sans être détectés.
Codes QR et lieu de travail
En raison de la situation mondiale actuelle, de nombreuses personnes travaillent à distance et transforment leurs appareils personnels en appareils de travail pour rester productives en dehors de l’environnement de bureau. Cependant, cela pose un problème important pour la sécurité globale de l’infrastructure de l’entreprise et les contenus sensibles détenus entre ces quatre murs. Un employé pourrait scanner involontairement un code QR malveillant, se connecter à l’aide de ses informations d’identification et permettre à un pirate informatique de collecter les informations de connexion ou d’installer un logiciel capable d’espionner ou de voler des actifs sensibles.
En raison de la popularité des codes QR dans le monde et dans tous les secteurs, les entreprises qui utilisent cette technologie doivent être en état d’alerte pour détecter d’éventuelles escroqueries. Comme mentionné précédemment, les campagnes de code QR reflètent celles des stratagèmes de phishing et doivent être vues de la même manière. Lors de l’utilisation d’un appareil mobile, la plupart des utilisateurs ne sont pas prudents et il y a la difficulté supplémentaire de ne pas pouvoir détecter les signes révélateurs d’une menace de phishing en raison de la petite nature de l’appareil.
Comment prévenir les cyberattaques par code QR
Premièrement, une meilleure prise de conscience des utilisateurs pourrait réduire considérablement le nombre d’attaques malveillantes par code QR. Lors de la numérisation d’un code via un appareil mobile, les utilisateurs doivent vérifier le lien URL sur la notification avant de continuer à cliquer. Si cela semble suspect et ne ressemble pas à ce que vous attendiez, les utilisateurs peuvent faire preuve du même niveau de prudence que pour le phishing par courrier électronique et quitter l’application. Mais, étant donné que les attaquants peuvent créer pratiquement n’importe quelle URL pour s’adapter à un code QR et vice versa, il peut être extrêmement difficile de repérer le faux du réel – et cela peut attraper même les professionnels les plus formés. Par conséquent, la mise en œuvre d’une défense contre les menaces mobiles doit être appliquée sur tous les points de terminaison pour empêcher les utilisateurs d’interagir avec des sites Web, des applications ou des réseaux malveillants. Les entreprises ne feraient pas fonctionner un ordinateur de bureau ou un ordinateur portable sans une sécurité adéquate; par conséquent, les appareils mobiles doivent recevoir le même niveau d’attention – d’autant plus que les individus continuent à fonctionner en dehors du périmètre de sécurité traditionnel.
Alors que nous continuons à travailler à distance, les appareils mobiles sont également devenus les outils que nous utilisons pour rester productifs et, en raison de leur aspect personnel, ils sont une cible de choix pour les escroqueries mobiles. Les menaces de code QR continueront d’être un problème constant à mesure que l’adoption du mobile augmente et que les gens font converger leur travail et leurs appareils personnels.
