Codes QR et QRishing

Codes QR

résumé

  • Les points de code QR peuvent stocker de nombreuses informations différentes
  • Les scanner à la recherche d'informations est un exercice courant mais qui n'est pas sans risque

Codes QR

Les codes QR sont constitués de modules bidimensionnels et sont considérés comme une évolution du code-barres. Les QR sont constitués de points différenciés les uns des autres par des couleurs à contraste élevé, dans lesquels différentes informations sont stockées.

Ces derniers temps, les codes QR ont proliféré dans tous les domaines de notre vie quotidienne. Les scanner à la recherche d'informations est un exercice courant partout, mais ce n'est pas sans risques.

Les QR ont diverses utilisations. Selon le INCIBE (Institut National de la Cybersécurité) sont ceux-ci :

  • L'insertion d'un lien pour accéder à une page web (campagne marketing), à des informations touristiques ou aux services et produits d'un établissement.
  • L'insertion des informations réseau d'une connexion Wi-Fi (le nom du réseau ou SSID, le mot de passe d'accès et le type de cryptage utilisé par le réseau).
  • Accès direct pour télécharger des applications sur les marchés officiels ou depuis le site Web du fabricant.
  • Protection du contenu hébergé dans des documents confidentiels.
  • Génération de mots de passe à usage unique (OTP) ou de codes cryptés pour l'accès à des services tels que WhatsApp Web. Il s'impose également comme un facteur de double authentification pour sécuriser l'accès à certains produits et services en ligne.
  • Garantir la traçabilité des produits dans le secteur du transport et de la logistique.
  • Dans les pays asiatiques, il est largement utilisé comme mode de paiement via les téléphones mobiles en concurrence claire avec NFC (Near Field Communication).
  • Pour accéder aux systèmes de transport (bus, avion, etc.), aux espaces de loisirs (concerts, musées, expositions, etc.) ou aux espaces réservés aux clients et usagers, comme la salle d'attente VIP d'une compagnie aérienne.

Le QRishing

Le QRishing ou le phishing via QR est l'un des exemples les plus courants de cybercriminalité.

Par le biais d'une page Web, d'un message ou d'un e-mail, cette technique vise à amener les utilisateurs à fournir leurs informations d'identification en scannant un code QR. L'utilisateur, en le scannant, est redirigé vers une page web qui supplante celle de l'entreprise et demande des informations confidentielles. Si l'utilisateur ne vérifie pas l'adresse Web, il peut être trompé.

recommandations

Si notre entreprise propose des QR informatifs à nos clients, les experts donnent quelques recommandations et bonnes pratiques que nous devons prendre en compte :

  • Vérifiez fréquemment les codes QR de votre entreprise.
  • Choisissez un générateur de QR code ou un service offrant des garanties de sécurité suffisantes.
  • Vérifiez que le code QR redirige vers la page indiquée, en utilisant des applications de lecture qui vous permettent de vérifier l'URL avant de l'ouvrir.
  • Désactiver l'ouverture automatique des liens lors de la numérisation d'un code QR ; afin que vous puissiez vérifier l'adresse à laquelle le code renvoie.
  • Vérifiez que l'URL provient d'un site fiable et correspond à celle indiquée dans la lettre, le dépliant ou la publicité.
  • En cas d'utilisation de codes QR facilitant l'accès à certains services de transport, de loisirs ou de zones réservées, ne divulguez pas le code QR via les réseaux sociaux.
fr_FRFR