Ces derniers jours, des propriétaires de voitures électriques dans le Loiret ont été victimes de vols de données bancaires à cause de QR Codes compromis sur les bornes de recharge. Si cette campagne est pour l’instant limitée géographiquement, avec un montant dérobé de 80 Euros au total, des actions ont été prises par la mairie, propriétaire de la borne, et l’attaque a été interrompue. Toutefois, il faut partir du principe que cet incident puisse se développer dans d’autres lieux, et s’étendre à d’autres types de services recourant aux QR codes, et témoigne du manque de connaissance des risques induits par cet outil.
Avis d’expert – Len Noe, chercheur en cybersécurité et white hat hacker chez CyberArk, livre l’analyse suivante :
« Depuis la pandémie du COVID, les QR Codes se sont généralisés. Menus de restaurant, inscriptions à des événements, ou bornes de recharge électriques, de nombreuses activités incitent à scanner ces codes avec nos téléphones pour accéder plus rapidement aux contenus. Toutefois, s’il est pratique à l’usage, il est aussi très facile à falsifier sans qu’un néophyte ne puisse s’en apercevoir à l’œil nu ; c’est un nouveau type de phishing dont il est important de comprendre les risques afin de s’en prémunir.
Aujourd’hui, il est fortement recommandé de ne pas cliquer sur un lien hypertexte dans un mail sans avoir vérifié sa provenance et sa légitimé au préalable, pour ne risquer de voir ses données compromises. Si le taux d’attaques reste important, il a largement diminué grâce aux campagnes de sensibilisation conduites auprès des divers publics. Les QR Codes devraient être soumis aux mêmes règles. En effet, cet outil, au même titre qu’un lien URL, peut facilement être compromis pour rediriger vers un faux site frauduleux. Ainsi les précautions à prendre restent similaires : vérifier le lien de redirection en le copiant manuellement dans son navigateur s’il est fourni avec le QR code ou se rendre directement sur le site internet du service proposé. Dans le premier cas, l’absence de lien, bien qu’assez répandue, devrait constituer un signal d’alarme incitant à la prudence.
Les incidents de cybersécurité liés aux QR Codes sont fréquents, même si ceux-ci ne sont pas forcément tous médiatisés. Bien que ces outils soient pratiques et rapides d’utilisation, et sont donc très plébiscités, ils ne sont pas inoffensifs pour autant et ne disposent pas d’un niveau de sécurité suffisamment élevé pour être complètement fiables. C’est pourquoi une attention particulière doit leur être portée lorsqu’on les utilise, afin d’éviter les incidents tels que le vol de coordonnées bancaires ou de données personnelles. In fine, si le scan permet d’accéder plus rapidement au menu, le temps de récupération des données volées pourrait se révéler plus long et plus coûteux ! »