Les codes QR sur les emballages, les affiches ou dans les bars : un piège pour la sécurité ?
Les codes QR, tels qu'ils sont utilisés sur les emballages, les affiches ou dans les bars, semblent être une chose pratique. Ils incitent simplement à y coller son smartphone. Malgré de nombreux avantages pour les entreprises et les consommateurs, Chester Wisniewski, professionnel de la sécurité chez Sophos, conseille : "Je n'y toucherais pas".
C'est bien connu, l'être humain a tendance à se laisser aller à la facilité. Pourquoi utiliser le navigateur avec le petit écran du smartphone - un code QR est tout à fait approprié. Les informations dont on a besoin sur le moment sont ainsi rapidement à portée de main. De plus en plus d'entreprises utilisent ces avantages, par exemple pour fournir aux clients des informations supplémentaires sur les produits ou leur utilisation. Et comme c'est toujours le cas, les cybercriminels ne sont pas loin dès qu'une technique s'est imposée dans la vie quotidienne. Les codes QR peuvent être un piège pour la sécurité : le "quishing" est le nom donné au type d'escroquerie utilisant les codes QR. Sophos a identifié cette tendance dans ce dans cet article. Nous avons interrogé à ce sujet Chester Wisniewski, directeur et Global Field CTO de Sophos. Il répond aux principales questions sur la sécurité des codes QR.
Les codes QR sont de plus en plus populaires dans la vente, le marketing et les systèmes de paiement. Comment en est-on arrivé là et dans quelle mesure améliorent-ils l'expérience client ?
Chester Wisniewski : Personne n'aime parler à la manière d'un ordinateur. L'avantage de pouvoir utiliser un smartphone pour obtenir des informations ou effectuer des actions rapides est une forte motivation tant pour les fournisseurs que pour les utilisateurs de codes QR. Ceci, combiné aux avantages écologiques de ne pas imprimer de documents et au fait que de nombreuses entreprises peuvent intégrer des jetons de suivi complexes dans les URL, contribue encore à la diffusion des codes QR.
Alors que les codes QR offrent une grande valeur ajoutée, les préoccupations concernant leur sécurité augmentent. Quels types d'escroqueries ou d'activités malveillantes sont apparus ces dernières années et ont pris pour cible les utilisateurs via les codes QR ?
N'importe qui peut fabriquer des codes QR et il n'est pas possible de les authentifier. Il faut que le consommateur ait une grande confiance dans le fait que le code QR qu'il voit sur le parcmètre ou sur la table à café est authentique. Nous avons entendu parler d'incidents, en particulier ceux impliquant des paiements, dans lesquels des fraudeurs ont imprimé des codes QR et les ont collés sur de vrais codes QR afin de diriger les gens vers un site d'hameçonnage et d'y récupérer leurs données de carte de crédit et leurs informations personnelles.
Quelles mesures les commerçants, par exemple, peuvent-ils prendre pour s'assurer que les codes QR qu'ils utilisent dans les magasins ou en ligne sont sûrs et légitimes ? Comment peuvent-ils protéger leurs clients contre les fraudes potentielles ou les attaques de phishing ?
Les magasins, les commerçants, les restaurants, etc. qui utilisent des codes QR devraient les contrôler régulièrement - surtout si les codes QR sont affichés publiquement. Cela devient un plus grand défi dans le cas de systèmes distribués tels que les horodateurs. Les consommateurs seraient bien avisés de ne pas scanner des codes QR auxquels ils ne font pas vraiment confiance et d'utiliser plutôt un autre moyen de paiement présentant moins de risques. Personnellement, j'évite les distributeurs automatiques de billets dont le clavier est douteux ou qui ne sont manifestement pas dans leur état d'origine - la même chose pourrait s'appliquer aux autocollants QR. Les codes QR ne devraient vraiment jamais être utilisés en ligne, car la plupart ne sont qu'une forme visuelle d'une URL. Si l'on veut que quelqu'un clique sur un lien, il faut utiliser un lien. Il y a des exceptions, mais en général, elles confirment la règle.
Quels sont les "red flags" dont les consommateurs doivent se méfier lorsqu'ils scannent des codes QR en public ou sur des produits, afin de ne pas devenir la proie de criminels ?
Les codes QR transforment une image en une adresse de page web. Lorsque le code s'ouvre dans le navigateur, il convient de regarder la barre d'adresse et de vérifier où l'utilisateur est dirigé. Si l'on n'aime pas cette destination, il est sage de quitter l'application. Le moyen le plus sûr pour le consommateur ? Ne pas scanner le code QR. Utiliser plutôt son moteur de recherche préféré. Il existe toutefois des applications pour appareils mobiles, comme Sophos Intercept X, qui contiennent des scanners de codes QR qui attirent l'attention sur les liens malveillants.
Un regard vers l'avenir : comment le rôle des codes QR va-t-il évoluer dans la vente et dans d'autres secteurs ? Deviendront-ils plus sûrs avec les nouvelles technologies ou la sécurité restera-t-elle un défi ?
Je ne vois pas la sécurité des codes QR s'améliorer. Ils ont été conçus à l'origine pour des machines et non pour que les gens les utilisent au quotidien. L'authentification des codes QR est une tâche qui ne peut pas être résolue de manière aussi simple. Dans l'idéal, les codes QR devraient être intégrés de manière fixe et visible dans les affiches, les emballages de produits, etc. et ne pas être de simples autocollants collés quelque part. Mais en fin de compte, la responsabilité incombe au consommateur : Si un code QR semble étrange, mieux vaut ne pas y toucher et miser sur une méthode éprouvée et sûre de collecte d'informations ou de paiement.
