Codes QR – utilisations et risques

Depuis quelques années, les codes QR (Quick Response) sont de plus en plus utilisés. Dès l’autonme 2022, les factures QR remplaceront même les bulletins de versement traditionnels. Les codes QR permettent aussi, par exemple, d’accéder au menu numérique d’un restaurant, de se rendre aisément sur un site Web ou d’effectuer un paiement par Twint. Qu’est-ce qui leur vaut leur succès? Quelle utilisation en est-il fait et avec quels risques? 

Le code QR a été créé dès 1992 par Masahiro Hara, ingénieur de l’entreprise japonaise Denso-Wave. Sa vocation première était de suivre le chemin des pièces détachées dans les usines de montage de Toyota.

Quand les smartphones ont fait leur apparition, l’emploi du code QR a d’abord été limité à des supports de type magazine ou panneau publicitaire. Son grand avantage est d’éviter la saisie manuelle de l’adresse Internet (URL) du produit ou de l’entreprise vantés.

Pourquoi un tel succès?

Les codes QR se veulent simples à utiliser et peu coûteux à produire. Leur création n’exige ni ressources ni connaissances techniques particulières. Quantité de sites Web permettent de générer des codes QR. Leur seul «point faible» est qu’une fois l’information encodée, un code QR ne peut plus être modifié. C’est pourquoi des codes QR dynamiques ont vu le jour.

À côté des codes QR classiques (illustration 1, à gauche), des codes QR créatifs réalisés sur mesure cherchent toujours plus à capter l’attention et surtout à produire un effet publicitaire.

Illustration 1: Code QR du site https://www.ncsc.admin.ch en version classique (à gauche) et créative (à droite).

Applications

D’ordinaire, les codes QR visent à faciliter la saisie d’adresses Internet (URL). Un simple balayage du code permet d’appeler la page Web souhaitée, sans devoir en recopier manuellement l’adresse. Il existe toutefois bien d’autres applications possibles.

Factures QR
Les factures QR modernisent le trafic suisse des paiements. En usage depuis l’été 2020 à la place des bulletins de versement habituels, elles ont remplacé entièrement ces derniers dès l’autonme 2022. Elles contiennent toutes les informations nécessaires pour effectuer les paiements correspondants de manière pratique, automatique et efficace.

SMS et courriel
Un code QR peut inclure une instruction qui déclenche l’ouverture d’un message SMS avec le numéro de téléphone de son destinataire et le texte déjà saisis, ou qui crée automatiquement un courriel comportant un titre, un message rédigé et l’adresse de son destinataire. Il ne reste plus qu’à appuyer sur le bouton d’envoi.

Coordonnées GPS
Un code QR peut contenir une instruction transmettant vos données de position.

Adresse d’un site Web
Un code QR peut contenir l’adresse d’un site Web.

Calendrier des événements
Un code QR peut créer un événement dans votre calendrier et y ajouter ou supprimer des rendez-vous.

Réseaux sociaux
Des codes QR peuvent contenir des instructions, afin de s’abonner automatiquement un compte Instagram ou Twitter.

Réseau local sans fil (WLAN)
Les informations d’accès à un réseau sans fil, mot de passe compris, peuvent être enregistrées dans un code QR.

App Store
Un code QR peut contenir un lien conduisant à une App disponible dans un App Store.

Codes QR dynamiques
Les codes QR dynamiques intègrent une URL courte, qui peut rediriger l’utilisateur vers le site Web de destination. L’URL de destination, qui contient l’information attendue, peut être modifiée à volonté après la création du code QR, en fonction des besoins, tandis que l’URL courte incorporée reste la même.

Quels sont les risques?

  • Comme aucun être humain n’est à même de lire le contenu d’un code QR, il est impossible de savoir ce qu'il cache ou à quoi il renvoie sans scanner l’image.
  • Les informations codées dans un code QR ne se limitent pas à des pages Web.
  • Un lien conduisant à un fichier malveillant, à une application suspecte ou à un App Store peu recommandable peut ainsi se cacher derrière un code QR.
  • Un code QR peut également renfermer des informations aboutissant à des points d’accès sans fil (WLAN) douteux.
  • Il est facile à un escroc d’imprimer un code QR frauduleux et de le coller sur un code existant, ou d’ajouter un code QR là où il n’y en a pas.
  • Avec les codes QR dynamiques, il n’est plus possible de prévoir vers quelles pages ils renvoient.

Recommandations

  • Utilisez une application fiable et reconnue sécurisée pour le scan des QR codes. Tant chez Apple que chez Android, l'appareil photo peut scanner les QR codes nativement.
  • Après avoir effectué le scan et avant d’exécuter toute instruction, la plupart des applications affichent l’action à effectuer ou la page vers laquelle le code renvoie. Vérifiez à chaque fois ces indications.
  • N’indiquez jamais vos données d’accès sur un site auquel vous avez abouti par un code QR.
  • Avant de scanner un code QR, regardez-le bien ou touchez-le pour vous assurer de ne pas avoir affaire à un autocollant collé sur l’original.
  • Si le code QR scanné contient un script malveillant, signalez-le aussitôt au propriétaire de l’emplacement (magazine, site Web, etc.) où vous l’avez trouvé.

Dernière modification 10.03.2022

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/2022/qr-codes.html