Les QR Codes sont pratiques, mais peuvent aussi être abusés
Aujourd'hui, les QR Codes sont présents partout dans nos vies. Que ce soit pour passer des commandes dans les restaurants, payer le stationnement, s'inscrire à des événements, utiliser des billets électroniques, se connecter au Wi-Fi, ajouter des amis sur LINE, contacter par WhatsApp, ou accéder à des pages de paiement via PayPal, on peut tout faire en scannant. La commodité des QR Codes réside dans le fait qu'ils évitent la saisie manuelle d'URL : il suffit de scanner avec l'appareil photo d'un téléphone pour ouvrir une page. Mais le risque réside ici : avant de scanner, on ne voit généralement pas où cela va nous conduire. Si un QR Code est recouvert d'un faux sticker, se trouve dans un dépliant suspect, ou apparaît dans des emails, SMS ou messages privés inconnus, il pourrait vous conduire vers un site de phishing, une fausse page de paiement, une fausse page de service client ou une page de téléchargement malveillant.
Risques courants : fausses pages de paiement et de stationnement
Certaines arnaques par QR Code apparaissent dans les parkings, sur des annonces en bord de route, à proximité des bornes de péage ou sur des notifications imprimées. L'escroc pourrait coller un faux QR Code, incitant les utilisateurs à croire qu'ils paient pour le stationnement, des amendes, des frais de service ou des frais d'événement. Après scan, la page ressemblant beaucoup à une page de paiement valide pourrait demander d'entrer des informations de carte de crédit, numéro de téléphone, email ou codes de validation. Comme le contexte semble raisonnable, beaucoup de gens baissent leur garde. Avant de payer par QR Code, vérifiez si le QR Code provient d'appareils officiels, d'applications officielles ou de commerçants de confiance. Si le sticker semble neuf, recouvert sur une étiquette d'origine, ou si l'URL ne semble pas être celle d'un service officiel, ne payez pas directement.
Risques courants : fausses inscriptions à des événements et faux concours
Les QR Codes apparaissent souvent sur des affiches d'événements, des publications sur les réseaux sociaux, des pages de loterie et des dépliants physiques. Des événements douteux peuvent prétendre que le scan permet de recevoir des promotions, des cartes cadeaux, adhésions gratuites, chances de gagner ou des avantages à durée limitée. Ces pages peuvent demander de remplir des coordonnées personnelles telles que nom, téléphone, email, adresse, ou même demander à se connecter à des comptes de réseaux sociaux ou à fournir des informations de paiement. Bien qu'elles semblent être une simple inscription à un événement, elles peuvent en réalité être conçues pour collecter des données personnelles ou vous conduire vers une autre phase d'escroquerie. Si l'événement est vraiment organisé par une marque connue, on peut généralement le retrouver sur leur site officiel, dans leur application officielle ou sur leurs comptes de réseaux sociaux. Ne saisissez pas d'informations simplement parce que le design de l'affiche est joli ou que le prix est attrayant.
Risques courants : faux accès Wi-Fi ou pages de téléchargement
Certains lieux publics proposent des QR Codes pour se connecter au Wi-Fi, ce qui est fréquent. Mais si la source du QR Code est inconnue, elle pourrait également mener à de fausses pages de connexion, à des pages publicitaires ou à des pages demandant l'installation d'applications inconnues. Si après scan, la page demande de télécharger des outils inconnus, d'entrer le mot de passe de votre compte de réseau social, de fournir un code de validation ou d'accorder des permissions à haut risque, vous devriez arrêter l'opération. Lors de la connexion à un Wi-Fi public, il est préférable de confirmer le nom du réseau avec le personnel ou sur des panneaux officiels. Ne scannez pas au hasard des QR Codes collés dans des coins, dans des ascenseurs, des toilettes, sur des bords de route ou des dépliants inconnus.
Faites quelques vérifications avant de scanner
Les utilisateurs ordinaires ne doivent pas totalement éviter les QR Codes, mais peuvent adopter l'habitude de vérifier avant de scanner. Premièrement, vérifiez si l'emplacement du QR Code est raisonnable. Les QR Codes sur des caisses officielles, sur des sites officiels ou au sein d'applications de confiance sont généralement plus fiables ; ceux sur des stickers inconnus, des dépliants en bord de route ou dans des messages privés de personnes inconnues présentent un risque plus élevé. Deuxièmement, vérifiez l’URL affichée après le scan. De nombreux appareils photo de téléphone montrent un aperçu de l'URL avant d'ouvrir. Si l'URL est très longue, avec des orthographes inhabituelles, incomplète par rapport au nom officiel, ou utilise un abréviation inconnue, restez prudent. Troisièmement, vérifiez si les demandes sur la page semblent raisonnables. Scanner pour payer dans un restaurant ne devrait pas nécessiter d'entrer des informations de carte bancaire ; le scan pour des informations d'événements ne devrait pas demander de fournir un mot de passe de réseau social ou un code de validation.
Ne saisissez pas de données sensibles sur des pages de scan suspectes
Si la page après scan vous demande de saisir les informations suivantes, faites particulièrement attention : identifiants, codes de validation par SMS, informations complètes de carte bancaire, informations bancaires, documents d'identité, adresse, code de paiement ou code de vérification en deux étapes. Les véritables services officiels affichent généralement des sources claires et des procédures formelles. Si vous n'êtes pas certain de la crédibilité de la page, fermez-la et ouvrez vous-même l'application officielle ou le site officiel pour vérifier. Par exemple, pour le paiement, utilisez l'application de paiement officielle ; pour le stationnement, confirmez le paiement via une plateforme de stationnement officielle ou une machine sur place ; pour l'inscription, accédez au site officiel de la marque. Ne prenez pas un QR Code inconnu comme seule voie.
Que faire si vous avez déjà scanné et saisi des données ?
Principes essentiels de la sécurité des QR Codes
Les QR Codes ne sont pas en eux-mêmes un outil dangereux, ils ne font que transformer une URL ou des informations en un format facilement scannable. Le véritable risque réside dans le fait que les utilisateurs saisissent trop rapidement des données personnelles ou des informations de paiement sans connaître la source du lien. Le principe le plus simple est : scanner est acceptable, mais assurez-vous toujours de la source avant de saisir des données. Si le QR Code provient d'un sticker inconnu, d'un message privé, d'un événement suspect, d'une URL courte ou d'une page inconnue, ne vous précipitez pas à vous connecter, payer ou télécharger. Passer quelques secondes supplémentaires à vérifier l'URL et la source officielle peut souvent éviter de nombreux risques de phishing et de paiements frauduleux.
Si vous avez juste scanné le QR Code sans saisir de données ou télécharger des fichiers, vous pouvez fermer la page sans trop de panique. Si vous avez saisi votre identifiant et mot de passe, modifiez immédiatement votre mot de passe via le site officiel ou l'application officielle, déconnectez-vous des autres appareils et activez la vérification en deux étapes. Si vous avez renseigné vos informations de carte bancaire ou de paiement, contactez rapidement votre banque ou votre prestataire de paiement pour vérifier s’il y a des transactions anormales, et si nécessaire, suspendre votre carte ou changer vos méthodes de paiement. Si vous avez téléchargé et installé une application inconnue, supprimez-la immédiatement et vérifiez les permissions sur votre téléphone et les journaux de connexion de vos comptes. Utilisez des outils de sécurité système si besoin.