Est-ce que les QR codes sont sécurisés ? Apprenez à repérer et à éviter les arnaques

Les QR codes font partie intégrante de notre époque moderne, en offrant un accès à des informations numériques comme des portails de paiement ou des menus de restaurant, avec un simple scan rapide.

Mais l’adoption rapide de cette méthode en fait une cible de choix pour les cybercriminels qui veulent répandre des malwares, voler des données ou commettre des fraudes.

Le danger des QR codes vient justement de leur simplicité : un code malveillant peut avoir le même aspect qu’un code classique. Même les outils de sécurité les plus avancés ne peuvent pas empêcher les erreurs humaines, où quelqu’un scanne accidentellement un code frauduleux. La vigilance est donc très importante.

Ce guide vous apprendra comment utiliser les QR codes en toute sécurité. Il explore leur fonctionnement, détaille les différentes tactiques d’arnaque et offre des astuces faciles à mettre en œuvre pour vous aider à identifier et à éviter les codes malveillants.

Qu’est-ce qu’un QR code ?

Un QR code, ou Quick Response code (code à réponse rapide), est un code à deux dimensions que les appareils peuvent lire rapidement. Chaque QR code a un ensemble de carrés noirs et blancs distincts, qui forment tous un module codé allant jusqu’à 177 x 177. Les QR codes ont été inventé par Masahiro Hara et Takayuki Nagaya de Denso Wave en 1994, avec pour objectif de rendre le scan de codes numériques plus efficace.

Aujourd’hui, les QR codes sont des outils versatiles pour partager des informations instantanément et sont capable de stocker beaucoup plus de données que les codes-barres traditionnels. On les utilise dans les supermarchés, les restaurants, les aéroports et des tas d’autres endroits.

Comment fonctionne un QR code ?

Quand vous scannez un QR code, l’appareil photo de votre téléphone ou l’appli dédiée capture l’image du code. Le logiciel identifie les motifs noirs et blancs uniques, qui contiennent des données. Ces motifs sont traduits dans un format lisible.

Une fois décodées, les informations déclenchent une action. Par exemple, si le code contient l’URL d’un site, le navigateur de votre téléphone l’ouvrira. S’il s’agit d’informations de contact, votre téléphone peut vous demander si vous souhaitez enregistrer le nouveau contact.

Quelles sont les différentes parties d’un QR code ?

Un QR code est en général composé des éléments clés suivants :

• Motifs de détection de position : trois motifs carrés situés en haut à droite, en haut à gauche et en bas à gauche. Ils indiquent au scanner l’orientation du QR code, pour qu’il puisse être lu sous n’importe quel angle.
• Motifs d’alignement : présents dans les plus gros QR codes, ces petits motifs aident à préserver l’alignement des codes complexes en évitant les distorsions pendant le scan.
• Motifs de taille : ce sont des modules blancs et noirs alternés entre les motifs de détection de position. Ils offrent un système de coordonnées et permettent au scanner de déterminer la taille des données.
• Informations de format : cette zone proche des motifs de position contient des données sur le niveau de correction d’erreur et le modèle de masque de données utilisé, ce qui aide le scanner à lire correctement le code même s’il est partiellement endommagé.
• Version information : elle indique la version du QR code, qui dicte la structure et la capacité des données.
• Données et correction d’erreurs : elle remplit la majorité de la zone d’un QR code, avec les données que vous voulez transmettre, ainsi que des codes de correction d’erreurs. Les zones de correction d’erreurs vous permettent de scanner le QR code même si jusqu’à 30 % de sa surface est abîmée ou obscurcie.
• Zone blanche : c’est une zone vierge et sans motifs qui entoure le QR code pour aider le scanner à isoler le code de son environnement et éviter les interférences d’autres éléments visuels.

Types et styles de QR codes

Il existe différents types de QR codes, qui ont tous des caractéristiques uniques qui affectent leur flexibilité, leur capacité de données et leur sécurité. Connaitre les différences peut vous aider à comprendre comment ils sont utilisés et où se trouvent les risques potentiels.

QR codes statiques et dynamiques

Leur état statique ou dynamique fait partie des différences principales entre les QR codes, mais les deux versions fonctionnent de la même façon. La vraie différence, c’est où le lien contenu dans le code vous dirige.

Les QR codes statiques vous dirigent vers une URL ou un ensemble de données comme une réduction, un numéro de contact ou un mot de passe wifi. Une fois créé, le lien ne peut pas être modifié.

Les QR codes dynamiques sont plus un genre de service. Une entreprise vous propose une URL de redirection unique et génère un code QR qui vous y dirige. Vous pouvez ensuite utiliser ce service pour contrôler où l’URL de redirection mène. Le service peut aussi proposer des fonctionnalités supplémentaires, comme enregistrer automatiquement les demandes de connexions reçues par l’URL de redirection.

Donc, si les codes sont identiques sur le fonctionnement, les QR codes dynamiques offrent plus de flexibilité et de contrôle en passant par un service de redirection intermédiaire.

Les variantes courantes des QR code (Model 1, Micro QR, rMQR, Frame QR)

Au-delà de la distinction entre dynamique et statique, il existe plusieurs variantes courantes de QR code, dont les suivantes :

• QR codes Model 1 et Model 2 : le Model 1 est le premier modèle de QR code, capable de stocker jusqu’à 1 167 chiffres avec son maximum de 14 modules. Le Model 2 est une amélioration du Model 1 et c’est celui qu’on rencontre le plus souvent, avec jusqu’à 7 089 chiffres avec son maximum de 40 modules. Le Model 2 est la version qu’on trouve en général sur les posters, les flyers et les emballages de produits.
• Micro QR Codes : ce sont des variantes beaucoup plus petites avec une capacité maximum de seulement 35 chiffres. Ils contiennent en général un motif de détection de position uniquement et sont souvent utilisés pour étiqueter les petits éléments comme les composants électriques, les étiquettes de produits et les cartes de visite.
• Les Micro QR codes rectangulaires (rMQR) : ce sont des QR codes rectangulaires, conçus pour les petits espaces où les QR codes carrés classiques ne rentrent pas. Ils contiennent seulement un motif de détection de position et demi et ont une capacité maximale de 361 chiffres.
• QR Codes à cadre : ces codes ont une zone de « cadre » personnalisable au centre. Cet espace central peut permettre d’afficher une image, un logo ou du texte tout en préservant le fonctionnement du code environnant.

Définition des QR codes sécurisés (SQRC)

Les SQRC ressemblent à un QR code classique au premier coup d’œil, mais ils sont uniques : leur design permet au QR code de transporter des données publiques et privées. Tous ceux qui scannent le code peuvent accéder aux informations publiques. Les données privées, par contre, sont uniquement accessibles à ceux qui ont un appareil spécifique permettant de les lire.

Cette structure à double couche les rend intéressants pour l’accès à des identifiants de connexion sécurisés, la distribution de documents sensibles, ou la vérification d’identité, parce que les utilisateurs non autorisés ne peuvent pas accéder aux données protégées même en scannant le code.

Les SQRC utilisent un cryptage et un accès contrôlé. En intégrant des éléments sécurisés comme une infrastructure de la clé publique ou des contrôles d’accès par appareil, ils réduisent considérablement le risque d’usurpation d’identité, de fuite de données ou d’attaques de l’homme du milieu. Ils sont très populaires dans les entreprises et les contextes industriels, par exemple pour un suivi de produits plus fiable.

En gros, on ne peut rien faire si on n’a pas les bons identifiants parce que la partie visible du QR code ne donne pas accès à la partie cryptée. Ça fait des SQRC une alternative plus sécurisée aux QR codes classiques, dans les situations où la sécurité est importante.

Pourquoi les QR codes sont utilisés à des fins d’arnaque ?

La praticité et la popularité des QR codes en font un cible de choix pour les cybercriminels. Les arnaques aux QR code sont parfois appelées « quishing » (phishing de QR code).

La montée en popularité des QR codes et leur adoption mondiale

Les QR codes sont partout, avec des niveaux de croissance exponentiels ces dernières années. Ce qui a commencé comme un outil spécialisé pour les fabricants est devenu un composant important pour le marketing, la vente et la logistique, dans le monde entier. Cette adoption globale signifie que les gens sont habitués à scanner des codes sans trop y penser.

Comment les cybercriminels exploitent la confiance des gens envers les QR codes

Le plus gros problème avec les QR codes, c’est que les gens ont tendance à faire confiance aux codes sans même essayer de les vérifier. Les criminels exploitent cette tendance en intégrant des liens malveillants dans les QR codes, qui mènent à des sites de phishing. Ils peuvent également pirater un QR code en plaçant un faux code par-dessus, dans les espaces publics comme les restaurants ou les horodateurs.

Cette combinaison de destinations cachées malveillantes et du potentiel pour la manipulation physique fait des QT codes un vecteur puissant pour l’exploitation.

Est-ce que les QR codes sont traçables ?

Oui, mais uniquement s’il s’agit de QR codes dynamiques. Dans ce scénario, tous les appareils qui scannent le code accèdent d’abord au serveur de redirection, qui pointe ensuite vers la destination finale. Cette interaction avec le serveur de redirection peut potentiellement suivre le nombre de scans, leur date et leur heure, ainsi que la position géographique (basée sur l’adresse IP).

Si vous ne voulez pas que votre position géographique soit suivie avec les QR codes, vous pouvez utiliser ExpressVPN pour masquer votre adresse IP et vous assurer que le serveur de redirection ne voit pas votre véritable localisation.

Est-ce que les QR codes recueillent des données personnelles ?

Les QR codes en eux-mêmes ne collectent pas de données personnelles. Cependant, le contenu vers lequel pointe le QR code pourrait potentiellement recueillir des données. Si un QR code vous dirige vers un site malveillant, ce site peut essayer de récupérer vos identifiants, vos données de position, des informations sur votre appareils et d’autres infos sensibles.

Peut-on pirater un QR code ?

Un QR code est une image statique contenant des données codées, on ne peut donc pas le « pirater » comme un système traditionnel. Personne ne peut modifier de force la structure d’un QR code une fois qu’il a été généré. Mais les criminels peuvent potentiellement pirater un QR code en imprimant des autocollants contenant du code malveillant et en les plaçant sur de vrais QR codes.

Les arnaques aux QR codes les plus communes

1. Codes envoyés dans des emails de phishing

Cette arnaque implique d’intégrer un QR code malveillant directement dans un email. Ces emails semblent provenir d’une source fiable comme votre banque, des services en ligne populaires ou des entreprises de transport, qui vous demande de scanner le code à des fins qui semblent légitimes, comme la vérification de compte ou le suivi d’un colis.

Puisque les filtres email traditionnels ne parviennent pas à analyser les images aussi bien que le texte, les QR codes malveillants parviennent souvent à contourner les contrôles de sécurité, ce qui en fait un vecteur d’attaque courant. Notre guide détaillé sur les emails de phishing met en avant tous les signaux qui indiquent qu’un email est dangereux.

2. Faux QR codes sur les tables et les menus des restaurant

Puisque de nombreux restaurants utilisent désormais les QR codes sur leurs menus et leurs tables, les arnaqueurs exploitent cette habitude en plaçant de faux QR codes sur les vrais. Ces faux QR codes vous dirigent vers des sites web malveillants, pouvant potentiellement vous voler des informations personnelles.

3. Les QR codes sur le wifi public et les zones à accès libre

Les réseaux wifi publics, dans les cafés, les aéroports ou les centres commerciaux sont souvent accessibles par QR code. Les cybercriminels placent de faux QR codes par-dessus les vrais, qui promettent un accès gratuit au wifi mais qui peuvent vous mener aux dangers suivants :

• Fausse connexion au wifi : le QR code peut connecter votre appareil à un réseau malveillant ou non sécurisé, permettant aux criminels d’intercepter votre trafic.
• Téléchargement de malware : on vous demandera de télécharger des malwares dangereux en les faisant passer pour des fichiers de configuration wifi
• Pages de phishing : les QR codes malveillants peuvent vous mener vers de faux portails d’identification pouvant vous voler des informations personnelles.

N’oubliez pas qu’il faut utiliser un VPN sur le wifi public pour crypter vos données et masquer votre adresse IP. ExpressVPN offre aussi une protection contre les sites web malveillants grâce à son outil Threat Manager.

4. Emballages contrefaits et étiquettes falsifiées

Les emballages et les étiquettes de produits sont également des vecteurs que les criminels utilisent pour des arnaques au QR code. Ils copient le QR code d’un vrai produit et le placent sur un produit contrefait. Quand quelqu’un scanne le QR code sur le produit contrefait pour vérifier son authenticité, il est redirigé vers le site officiel.

5. QR codes utilisés pour des fraudes financières

La popularité des QR codes pour les paiements sans contact rapides en font une cible de choix pour la fraude financière, grâce aux méthodes suivantes :

• Faux codes sur les vrais : ce sont des QR codes frauduleux placés sur les vrais à des points de paiement publics comme les horodateurs et les pompes à essence, qui peuvent rediriger les utilisateurs sur de faux portails de paiement conçus pour récupérer les numéros de carte bancaire ou les détails de compte bancaire.
• Faux paiements de factures : les criminels peuvent envoyer de fausses factures, par exemple de services publics, avec un QR code pour le paiement qui transfère les fonds sur le compte de l’arnaqueur.

6. QR codes utilisés pour des fraudes dans le domaine de la santé et de la médecine

Le secteur de la santé utilise des QR codes pour les informations des patients, la prise de rendez-vous et l’accès aux dossiers médicaux, mais les arnaqueurs peuvent utiliser ces habitudes pour créer des arnaques. Vous pourriez recevoir un email frauduleux ou une lettre avec un QR code qui vous mène sur des sites de phishing conçus pour voler vos informations sensibles.

7. Arnaques au QR code pour la crypto-monnaie

Si vous touchez à la crypto, faites attention aux arnaques suivantes :

• Fausses adresses de portefeuille : les QR codes qui semblent être des transactions légitimes ou des concours peuvent en vérité contenir l’adresse du portefeuille du criminel.
• Phishing pour vos identifiants de portefeuille : les QR codes peuvent vous rediriger vers de fausses pages de connexion pour des services d’échange de crypto ou des services de connexion à votre portefeuille qui pourraient subtiliser vos clés privées.
• Arnaques à la « crypto gratuite » : vous risquez de tomber sur des liens ou des publications en ligne avec des QR codes qui mènent vers des sites de phishing prétendant vous offrir gratuitement de la cryptomonnaie.

8. Arnaques au QR code sur les réseaux sociaux

Les réseaux sociaux sont bourrés d’arnaques au QR code. Par exemple, de faux QR codes dans des publications ou des bios d’auteurs qui promettent de grosses récompenses, des cartes cadeaux gratuites ou des contenus exclusifs. Mais scanner ces codes mène à des sites malveillants qui peuvent essayer de vous voler des informations sensibles.

9. Faux codes reçus par courrier

Même le courrier physique n’est pas protégé contre les arnaques au QR code, vous pouvez parfois recevoir des lettres qui contiennent des QR codes frauduleux. Un incident notable a eu lieu en Suisse, quand des gens ont reçu un courrier venant prétendument de MeteoSwiss, l’Office fédéral de la météorologie et de la climatologie suisse. La lettre demandait aux lecteurs de télécharger une application d’alerte météo, qui était en fait malveillante.

10. Fausses applis de scan de QR code

Si les scanners à QR code sont intégrés à la plupart des smartphones de nos jours, certains utilisateurs peuvent quand même essayer de télécharger une appli externe pour le scan de codes. Il peut s’agir d’applis malveillantes qui installent des malwares sur votre appareil ou collectent vos données sensibles. Vérifiez systématiquement que l’appli provient d’un développeur fiable et a suffisamment d’utilisateurs et d’avis positifs.

Comment rester en sécurité en scannant un QR code

En adoptant des habitudes simples, vous pouvez grandement améliorer votre sécurité et scanner en toute confiance. La clé, c’est d’approcher chaque QR code avec une bonne dose de méfiance et de vigilance. Les astuces ci-dessous vous aideront à vous assurer de ne jamais accidentellement scanner de QR code malveillant.

Liste de vérification avant scan de QR code

Utilisez cette liste avant de scanner un QR code :

• Vérifiez la source : assurez-vous que le QR code que vous êtes sur le point de scanner provient d’une source digne de confiance.
• Tenez compte du contexte : réfléchissez à votre environnement actuel et à la présence du QR code. S’il est sur une table de restaurant, vous courez peu de risques, mais s’il est placé sur un mur dans l’espace public sans aucun contexte, il pourrait être dangereux.
• Inspectez-le à la recherche de modifications : vérifiez l’aspect visuel du QR code, cherchez tout autocollant ayant pu être collé par-dessus. Chaque signe d’altération est un signal d’alarme important.
• Prévisualisez l’URL : la plupart des scanners intégrés aux smartphones permettent de voir l’URL quand vous scannez un QR code. Vérifiez la légitimité de l’URL avant de l’ouvrir.

Applis recommandées pour un scan des QR codes sécurisé

La meilleure appli pour le scan de QR codes est l’appareil photo intégré à votre téléphone. La plupart des smartphones ont un scanner intégré à l’appareil photo, il suffit de l’ouvrir et de le placer au-dessus du code. En utilisant l’appli intégrée, vous vous assurez de ne pas choisir une appli externe qui surveille vos données ou contient potentiellement des malwares.

Comment repérer les QR codes malveillants ou modifiés

Il existe plusieurs signes qui indiquent qu’un QR code a été modifié et peut être dangereux, comme :

• Superposition : un signe courant qu’un code a été modifié en plaçant un autocollant sur un code légitime. Cherchez des bords qui se soulèvent, différentes textures ou des problèmes d’alignement.
• Impression de mauvaise qualité : les codes malveillants sont parfois de mauvaise qualité, on voit les pixels, ils sont trop clairs ou ont des distorsions quand on les compare aux codes créés par des professionnels.
• Positionnement suspect : un QR code placé à un endroit bizarre comme un lampadaire doit soulever des doutes.
• Logo ou slogan étrange : si un QR code semble venir d’une grosse entreprise populaire mais que son logo ou ses couleurs semblent suspectes, il peut s’agir d’un faux.
• URL non reconnue : faites attention si vous voyez une URL non reconnue dans l’aperçu quand vous scannez un QR code.

Que faire en cas de scan d’un QR code suspect ?

Accidentellement scanner un QR code malveillant peut être inquiétant, mais agir rapidement peut limiter les dégâts potentiels. Les mesures que vous devrez prendre dépendent de ce qu’il s’est passé après le scan : est-ce qu’une page web bizarre s’est ouverte, avez-vous saisi vos informations personnelles ou bancaires ? Vous trouverez ci-dessous ce qu’il faut faire si vous pensez qu’il s’agit peut-être d’une arnaque.

Déconnectez-vous d’internet

Se déconnecter d’internet est votre première ligne de défense. Dès que vous soupçonnez qu’il y a eu un problème, désactivez le wifi et les données mobiles de votre appareil. ça permet de couper toute connexion entre votre appareil et internet, ce qui évite les potentielles extractions de données ou le téléchargement silencieux de malwares.

Sauvegardez vos fichiers

Créez rapidement une sauvegarde de vos fichiers importants, pour protéger vos documents, vos photos et le reste de vos données. C’est toujours une bonne idée d’avoir une sauvegarde déjà prête, au cas où vous scannez un QR code qui vous installe un malware et qui vous force à faire une réinitialisation d’usine de votre téléphone. Utilisez un disque dur externe ou un service de stockage sur cloud fiable pour cette étape cruciale.

Lancez une analyse de malware

Utilisez un antivirus réputé pour faire une analyse complète de votre système, si votre appareil montre des signes de présence d’un malware. Assurez-vous que les bases virales du logiciel sont bien à jour pour une détection plus efficace et suivez ses recommandations de mise en quarantaine ou de suppression des menaces détectées.

Protégez vos comptes en ligne

Il est essentiel de mettre à jour vos informations de comptes si vous pensez avoir subi une arnaque au QR code, surtout si l’URL que vous avez ouverte vous a demandé de taper vos identifiants ou vos informations de compte. Protégez votre présence en ligne avec les méthodes suivantes :

• Changez vos mots de passe : mettez immédiatement à jour les mots de passe de vos comptes les plus importants, comme votre boîte mail, vos services bancaires, vos réseaux sociaux et tout compte relié à vos informations de paiement. Utiliser le gestionnaire de mots de passe ExpressVPN Keys peut vous faciliter le processus.
• Activez l’authentification à deux facteurs (2FA) : mettez en place la 2FA sur tous les comptes compatibles. Ça permet d’ajouter une mesure de sécurité essentielle qui exige une deuxième méthode de vérification et même si votre mot de passe principal a été volé, le criminel ne pourra pas accéder à votre compte.

Bloquez votre rapport de solvabilité

Si ce cas de figure s’applique à votre situation, vous pouvez initier un gel de votre solvabilité si des informations personnelles permettant de vous identifier ont été exposées, comme votre numéro de sécurité sociale ou votre permis de conduire. Le gel de votre solvabilité empêche les gens d’ouvrir des comptes à votre nom et permet de limiter significativement les dégâts.

Alertez votre banque et vos services de paiement

Si vous avez saisi vos données bancaires, votre numéro de carte ou toute autre information importante, contactez immédiatement votre banque et vos services financiers et expliquez-leur la situation. Vous recevrez des conseils sur les mesures à prendre, par exemple bloquer votre carte et en commander une nouvelle.

Vérifiez la présence de signes de vol d’identité

A la suite d’une exposition potentielle de vos données, surveillez les activités inhabituelles qui peuvent signaler un vol d’identité. Les indicateurs clés incluent :

• Des frais que vous ne reconnaissez pas sur vos extraits bancaires
• Des factures pour des services que vous n’avez pas utilisés
• Des appels, des emails ou des messages inhabituels concernant des comptes que vous n’avez pas ouverts

Faire preuve de vigilance est essentiel. Si vous êtes aux USA, vous pouvez utiliser ExpressVPN et son service appelé Identity Defender pour vous défendre contre le vol d’identité. Le service propose des alertes en cas de vol d’identité, une police d’assurance, la suppression de vos données et un outil de recherche de solvabilité, pour une protection ultra complète.