Semaine 31: La prudence est aussi de mise avec les codes QR

06.08.2024 - Aujourd’hui, les codes QR sont partout. Il suffit d’un petit scan pour consulter le menu du restaurant et d’un autre pour payer l’addition. Les parcmètres sont aussi souvent dotés d’un code QR qui vous permet de payer rapidement. Mais attention : les codes QR peuvent également être falsifiés. On observe de plus en plus d’attaques de « quishing », c’est-à-dire des escroqueries par code QR. Amalgame de « QR » et de « phishing », le « quishing » est une opération par laquelle des acteurs malveillants « pêchent » – souvent par courriel – des données privées et personnelles.

Tout le monde connaît désormais la fameuse grille de petits carrés noirs et blancs : le code d’accès rapide ou code QR, qui nous permet d’accéder simplement à n’importe quel lien, que ce soit des sites web, des listes d’applications, des emplacements sur des cartes, etc. Les codes QR permettent aussi de payer les factures en un tournemain.

C’est précisément ce que les escrocs exploitent pour tenter de piéger leurs victimes. En effet, les codes QR peuvent tout aussi facilement renvoyer à des sites frauduleux qu’à des sites authentiques, et vous ne savez pas forcément de quel site il s’agit avant d’y accéder. Lorsque vous scannez un code QR, vous obtenez généralement une adresse URL que vous pouvez suivre, mais il est rarement évident de savoir si le site en question est sûr. Créer un code QR n’est pas compliqué et se fait rapidement. Les escrocs peuvent utiliser des codes QR où bon leur semble, par exemple dans un faux courriel d’hôtel, dans un spam ou dans une fausse publicité sur les médias sociaux.

Les criminels peuvent pousser la malice jusqu’à falsifier physiquement les codes QR, par exemple en les collant sur les codes apposés sur les parcmètres ou des affiches. Plusieurs cas ont déjà été signalés à l’OFCS où le paiement de frais de stationnement est tombé dans la bourse de fraudeurs. Des cas de codes QR collés dans des restaurants ont aussi déjà été annoncés à l’OFCS. En l’occurrence, le lien menait à une prétendue connexion WLAN. Une page web s’est ensuite affichée, sur laquelle il fallait indiquer ses coordonnées. En transmettant ces données, on concluait sans le vouloir un abonnement au lieu d’accéder à un WLAN, comme souhaité.

L’objectif des escrocs est toujours le même : inciter les victimes potentielles à télécharger des éléments qui compromettent la sécurité de leurs comptes ou de leurs appareils, ou les amener à saisir des informations de connexion qui seront ensuite directement transmises aux pirates (très probablement par le biais d’un faux site web, configuré pour paraître authentique et digne de confiance).

Recommandations

  • Pour scanner les codes QR, utilisez une application fiable et reconnue comme sûre. L’avantage est que votre appareil vous demande de confirmer l’action avant d’exécuter le code. Tant sur Apple que sur Android, l’appareil photo peut également reconnaître les codes QR ;
  • La plupart des scanners affichent l’action qui sera exécutée ou la page vers laquelle un lien sera établi avant l’exécution ; vérifiez bien ces informations.
  • Ne saisissez jamais vos données de connexion sur un site auquel vous avez accédé via un code QR ;
  • Avant de scanner un code QR public physique, observez-le bien ou touchez-le pour vérifier qu’il ne s’agit pas d’un simple autocollant apposé sur l’original.
  • Si vous scannez un code QR qui contient quelque chose de malveillant, prévenez immédiatement le propriétaire de l’endroit (magazine, site web, etc.) où vous l’avez découvert ;
  • Les escrocs essaient généralement de suggérer un sentiment d’urgence : scannez ce code QR pour vérifier votre identité, empêcher la suppression de votre compte ou profiter d’une offre limitée dans le temps. Ne vous laissez pas mettre sous pression. Prenez le temps de vérifier la chose ;
  • Vérifiez régulièrement les mouvements sur votre compte bancaire ou votre carte de crédit. Beaucoup de banques et d’établissement émetteurs de cartes proposent des applications pour ce faire. En cas d’irrégularités, informez immédiatement la banque ou l’établissement concerné ;
  • Ne saisissez jamais des données sensibles telles que votre Apple ID ou votre numéro de carte de crédit sur des sites qui ne permettent pas une transmission sécurisée des données. Vous pouvez reconnaître les sites web dont la transmission des données est sécurisée à la chaîne de caractères « https:// » dans l’URL et au symbole du cadenas ou de la clé dans la ligne d’adresse de votre navigateur ;
  • En cas de dommage financier, déposez immédiatement une plainte pénale auprès de la police cantonale compétente. La compétence est fixée en fonction de votre lieu de résidence. Vous pouvez trouver le poste de police le plus proche sur la plate-forme « Suisse ePolice » (www.suisse-epolice.ch/search-station) ;

Statistiques et chiffres actuels

Les annonces de la dernière semaine selon les catégories sont publiées sous:

Chiffres actuels

Dernière modification 06.08.2024

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/2024/wochenrueckblick_31.html