Le QR Code n'est pas mystérieux, il cache simplement des liens dans un motif.
On voit des QR Codes presque partout maintenant : pour commander dans un restaurant, payer le stationnement, récupérer des colis, s’inscrire à des événements, se connecter au Wi-Fi, et même pour des cartes de visite électroniques, du suivi sur les réseaux sociaux, des paiements via PayPal et des portefeuilles cryptographiques. Le QR Code n'est ni un virus ni une technologie dangereuse. Sa fonction est simple : convertir une information en un motif que le smartphone peut scanner. Cette information peut être une URL, un texte, des données de paiement, une configuration Wi-Fi ou un lien de téléchargement d'application. Le véritable risque réside dans le fait que le QR Code scanné provient réellement du service d'origine : la page ouverte après le scan est-elle bien celle du site officiel ? Si le QR Code est recouvert, remplacé ou redirige vers des liens multiples, l'utilisateur peut entrer sur un faux site sans même s'en rendre compte.
Les QR Codes malveillants sont courants dans la vie quotidienne.
Les QR Codes malveillants ne se trouvent pas nécessairement dans des contextes très technologiques ; ils se retrouvent souvent dans des endroits très ordinaires. Par exemple, un QR Code pour commander sur la table d'un restaurant, s'il est recouvert par un autocollant, pourrait induire le client en erreur en pensant accéder au menu officiel alors qu'il est en réalité redirigé vers une fausse page de paiement ou un site de phishing. Si le QR Code d’un panneau de paiement dans un parking a été remplacé, l'utilisateur pourrait fournir des informations de carte de crédit sur un site inconnu. La récupération de colis, les frais de douane, les inscriptions à des événements, ou des coupons de remise peuvent également être utilisés dans des processus de scan frauduleux. Ce type de fraude réussit facilement parce que l'action de scanner est devenue naturelle. Beaucoup balayent simplement la page sans prêter attention à l'URL. Tant que la page ressemble à l'officiel et que les montants ne sont pas élevés, les utilisateurs ont souvent tendance à baisser leur garde.
Logique technique : Le QR Code est souvent juste un premier point d'accès.
Techniquement, le QR Code sert généralement d'entrée. Il peut pointer directement vers un site ou d'abord vers une URL raccourcie, puis rediriger vers la véritable page. C'est pourquoi certaines URL générées par des QR Codes semblent provenir de services tels que bit.ly ou t.co. Ces URL courtes ne sont pas nécessairement dangereuses ; de nombreuses entreprises légitimes les utilisent pour le suivi marketing. Mais le problème avec les URL courtes est qu'elles masquent la destination finale. Lorsqu'un utilisateur scanne, il ne voit pas quel site il va visiter en fin de compte, ce qui offre plus d'opportunités à des pages de phishing, des fausses pages de paiement et des téléchargements douteux. Des situations à haut risque incluent : 1. Demander à entrer des informations de carte de crédit complètes après le scan 2. Demander à se connecter à Google, Apple ID, Facebook ou des comptes bancaires 3. Demander à télécharger un APK, un profil ou une application inconnue 4. Afficher des messages comme « Anomalie de compte », « Paiement échoué », « Vérification immédiate » après le scan 5. Rediriger plusieurs fois, rendant l'URL très étrangère 6. Demander un code de vérification SMS ou un
Lors des paiements par scan, vérifiez avant tout l'URL et le montant.
Les QR Codes de paiement sont les plus risqués. Parce qu'une fois que vous avez entré les informations de votre carte de crédit, vos coordonnées bancaires ou un code de vérification sur une fausse page, le suivi est difficile. Avant de procéder à un paiement par scan, vous pouvez d'abord faire quelques vérifications simples. Premièrement, vérifiez si l'URL appartient à une plateforme de confiance. Deuxièmement, assurez-vous que la page affiche correctement le nom du commerçant. Troisièmement, vérifiez que le montant correspond à ce qui est indiqué sur place. Quatrièmement, n'entrez pas de mot de passe bancaire, de mot de passe email ou de code de vérification complet sur une page inconnue. Certaines fausses pages exigent intentionnellement de petits paiements, comme un dollar, quelques euros pour le stationnement ou un petit supplément. Bien qu'il puisse sembler que ces montants ne soient pas élevés, l’objectif réel peut être d’acquérir les informations de votre carte de crédit ainsi que des codes de vérification.
Si un scan indique le téléchargement d'une application, soyez particulièrement prudent.
Si le scan d'un QR Code vous demande de télécharger une application, soyez encore plus vigilant. En général, les utilisateurs iPhone devraient d'abord télécharger depuis l'App Store, tandis que les utilisateurs Android devraient privilégier le téléchargement depuis Google Play ou d'autres sources fiables. Si le scan mène directement à un téléchargement d'APK, ou demande d'ignorer un avertissement de sécurité ou d'ouvrir l'installation à partir de sources inconnues, il faut être sur ses gardes. Les applications suspectes peuvent demander des autorisations excessives, telles que l’accès à la caméra, au microphone, à la localisation, aux notifications, aux SMS, au carnet d'adresses, ou à des services d'accessibilité. Ces autorisations mal utilisées peuvent entraîner des fuites d'informations de compte, de contenu des notifications, de données de localisation ou d'informations sur l'appareil. Particulièrement lorsque vous voyez des phrases comme « scannez pour gagner », « scannez pour installer des outils de sécurité », « scannez pour obtenir un remboursement », « scannez pour récupérer un compte », ne vous laissez pas seulement séduire par le design de la page. Retournez toujours à
Si vous avez déjà scanné et entré des données, évaluez d'abord ce que vous avez saisi.
Si vous avez déjà scanné un QR Code suspect, ne paniquez pas. L'essentiel est de se souvenir des informations que vous avez saisies. Si vous n'avez ouvert que la page sans entrer de données, le risque est généralement plus faible, et vous pouvez fermer la page et effacer votre historique de navigation. Si vous avez entré des informations de carte de crédit, contactez au plus vite votre banque ou l'émetteur de votre carte. Si vous avez entré des mots de passe Google, Facebook, Instagram, Apple ID, PayPal ou Email, changez le mot de passe via les portails officiels et vérifiez vos historiques de connexion. Si vous avez saisi un code de vérification par SMS, un code de vérification bancaire ou un code de vérification de paiement, le risque est plus élevé. Vérifiez immédiatement vos relevés de transactions et vos paramètres de sécurité de compte. Si l'incident implique un paiement, un compte de plateforme ou plusieurs pages suspectes, il peut être utile de noter où et quand le QR Code a été scanné, l'URL, de prendre des captures d'écran de la page et d'énumérer les types de données saisies pour faciliter le traitement ultérieur.
Prenez une seconde pour réfléchir avant de scanner, cela peut éviter bien des risques.
Le QR Code est un outil pratique, vous ne devriez pas renoncer à son utilisation simplement à cause des risques. L'important est de prendre l'habitude de vérifier d'abord l'URL, d'examiner les demandes de la page et de réfléchir à la situation pour voir si cela est raisonnable avant de scanner. Lors de la commande en restaurant, un scan ne devrait pas exiger de se connecter à son compte bancaire. Si vous scannez pour payer au parking, la page doit avoir un lien clair avec le parking ou la plateforme de paiement. Lors de l'inscription à un événement ou de la récupération d'un colis, s'il est soudainement demandé de télécharger une application inconnue ou de fournir de nombreuses données sensibles, il convient de s'arrêter et de confirmer. Scanner est très rapide, mais il est toujours mieux de ralentir un peu sur le jugement de sécurité. Beaucoup de risques associés aux QR Codes ne proviennent pas de la complexité de la technologie, mais de l'habitude des gens de suivre sans réaliser. Si vous prenez simplement un moment de plus pour examiner avant de saisir un mot de passe, des informations de paiement ou un code de vérification, vous pourrez éviter la majorité des fausses pages