LE QR CODE, fonctionnement et risques associés
Qu’est-ce qu’un QR Code ?
Avant de se pencher sur le fonctionnement d’un QR Code et les risques qui lui sont associés, il convient dans un premier temps de comprendre ce qu’est exactement un QR Code. Un QR Code, « Quick Response Code » ou Code à réponse rapide, est un graphique en noir et blanc qui, une fois scanné par un appareil mobile, permet de partager des informations qu’il contient et ce de manière rapide – d’où son nom. Il ressemble fortement à un code-barre figurant sur un article dans un commerce, mais il contient une multitude de données et peut être utilisé de façon beaucoup plus large, ce qui explique sûrement sa popularité. En effet, le QR Code est aujourd’hui utilisé partout où les données doivent être lues rapidement, soit par exemple dans des restaurants pour avoir accès à la carte, pour vérifier l’entrée à un stade, à un concert, la vaccination du Covid-19, etc.
Voici ses utilisations les plus courantes[1] :
Code URL : ouvrir une page web, des documents comme des brochures, cartes de visite, carte de menu etc.
Code multi-URL : utile pour les campagnes de marketing par exemple
Code pour les vidéos et/ou son : envoyer des liens vers une lecture audio, lire des vidéos de Youtube, Google Drive à vos proches par exemple
Code pour les médias sociaux : y associer un lien renvoyant vers un profil ou un post LinkedIn, Facebook, Instagram, Twitter, etc.
Code pour les emails : intégrer une adresse électronique pour laisser les utilisateurs scanner le code sans qu’ils aient à taper l’adresse email en entier, ou envoyer un email avec un texte prédéfini
Code pour le WIFI : remplacer le fait de noter et partager un mot de passe wifi et donner l’accès à votre réseau à des tiers sans configuration nécessaire
Code pour des fichiers : afficher une image, un audio, un PDF stocké et le télécharger
Code pour les applications : ouvrir directement l’application stockée sans la rechercher en boutique type App Sore ou Google Play Store, se traduisant par un gain de temps pour le client
Code de géolocalisation : indiquer un lieu en particulier sur Google Maps
Code de paiement : effectuer un transfert d’argent, ou de crypto-monnaie
Quels sont les avantages qu’il représente ?
De plus, c’est un outil qui peut être positionné sur tout type de supports, qu’il soit papier ou numérique : une enseigne publicitaire en extérieur, un flyer, une carte de visite, une table, un matériel électronique, etc. et ce à un faible coût. Attention, il nécessite cependant une application pour être lu et il ne peut être utilisable que sur une tablette ou un smartphone.
De nombreux risques pouvant y être associés, il convient d’être vigilant lors de son utilisation :
Quels sont les risques qu’il représente ?
Vol de données : Les QR Codes peuvent pointer vers des URL malveillants dans le but de dérober des données contenues dans le smartphone utilisé pour le scanner
Phishing : les QR Codes peuvent en pointant vers un URL, leurrer l’utilisateur en l’incitant à fournir des données personnelles (connexion à un compte, mot de passe, coordonnées bancaires, etc.)
Usurpation d’identité : Récupérer une liste de contacts de votre appareil afin de leur envoyer un message par sms ou email en se faisant passer par vous
Déclencher des appels téléphoniques vers des numéros surtaxés
Envoyer des SMS ou MMS malveillants
Effectuer des paiements mobiles
Géolocalisation silencieuse de l’utilisateur
Quelles sont les bonnes pratiques à adopter pour minimiser ces risques ?
Pour se prémunir contre ces risques d’attaque, FranceNum recommande[3] :
Avant de scanner un QR Code, s’assurer qu’il n’en couvre pas un autre
En cas de doute, ne surtout pas scanner un QR Code
Vérifier l’URL proposé sur la notification avant de cliquer sur la redirection (HTTPS)
Le QR Code doit vous mener vers une information souhaitée, si tel n’est pas le cas, fermer la fenêtre et effacer l’historique de navigation
N’installer aucun logiciel ou application à partir d’un QR Code scanné pour éviter les malwares
Ne pas permettre l’installation automatique d’applications sur les smartphones professionnels
Utiliser une authentification multi facteurs pour les applications d’entreprise
Disposer d’un bon antivirus sur mobile qui permettrait de bloquer la redirection vers un url malveillant.
[1] https://actualiteinformatique.fr/cybersecurite/comment-fonctionne-un-qr-code
[2] https://www.francenum.gouv.fr/guides-et-conseils/protection-contre-les-risques/cybersecurite/qr-code-quelle-securite-et-quelles
[3] https://www.francenum.gouv.fr/guides-et-conseils/protection-contre-les-risques/cybersecurite/qr-code-quelle-securite-et-quelles