De nos jours, les QR codes sont omniprésents. Une étude conduite récemment par Shopadvizor révèle d’ailleurs que les consommateurs français préfèrent les produits équipés de ces petits carrés en noir et blanc. À l’ère du sans contact, ils se sont en effet imposés pour remplacer toutes sortes de choses, des menus de restaurant aux coupons de magasin, en passant par les publicités des stations de métro. Ils sont devenus le point de contact et le moyen de paiement virtuel incontournable. Les gouvernements du monde entier les ont même adoptés pour faciliter le suivi des cas contacts et la vérification du statut vaccinal. Les QR codes sont faciles à produire et, apparemment, ils ne sont pas près de disparaître. Cependant, ils constituent également un moyen idéal permettant aux cybercriminels de dérober les informations personnelles. Il est donc important d’avoir en tête quelques règles avant de scanner un code avec son smartphone.

Qu’est-ce qu’un QR code ?

Les QR codes, abréviation de « quick response code » (code à réponse rapide), sont un type de code-barre bidimensionnel qui contient des données, souvent à des fins de localisation, d’identification ou de suivi. Ils peuvent être lus facilement par un smartphone ou un autre appareil équipé d’une caméra et convertis en informations pratiques pour l’utilisateur final, comme l’URL d’un site Web ou d’une application. Les QR codes ont été inventés en 1994 par une entreprise automobile afin d’assurer le suivi des composants, mais leur facilité d’utilisation et leur plus grande capacité de stockage — jusqu’à 2 500 caractères contre 43 pour un code-barres — les ont rapidement rendus populaires dans d’autres secteurs. Mais ce n’est qu’après la propagation de l’épidémie de COVID-19 que les QR codes se sont véritablement imposés dans le quotidien des citoyens.

Après plus de deux années de cybercriminalité entretenue par une pandémie, de nombreux consommateurs sont devenus plus prudents vis-à-vis de leur activité numérique. Les e-mails, les appels et même les SMS sont examinés de près, ce qui oblige de nombreux attaquants à perfectionner leurs techniques de phishing. Pourtant, les QR codes ne sont pas véritablement considérés comme potentiellement dangereux, et la plupart des individus les scannent sans réfléchir.

Un exemple concret : en janvier 2022, le FBI a alerté sur le fait que des cyberattaquants falsifiaient des QR codes légitimes pour rediriger les victimes vers des sites malveillants, destinés à subtiliser des informations de connexion et des informations financières. Quelques semaines après la publication de cet avertissement, lors du Super Bowl, plus de 20 millions de personnes ont scanné en une minute un même QR code énigmatique dans une publicité pour une société anonyme.

Il s’agit là d’une mauvaise nouvelle, illustrée ci-dessous au travers de trois simulations d’attaques :

Premier vecteur d’attaque par QR code : chercheurs d’emploi et remplisseurs de formulaires

Dans ce cas, le cybercriminel peut créer une fausse annonce papier concernant un salon de l’emploi imaginaire, reprenant les modalités de l’événement et comportant un QR code d’apparence légitime qui renvoie l’utilisateur vers un site de recherche d’emploi où il peut soumettre sa candidature de manière anticipée. Sur ce faux site d’emploi, la victime remplit les champs indiqués et fournit simplement les informations personnelles requises. Or, contrairement à un site légitime et protégé, l’ensemble de ces données peuvent être envoyées directement dans la messagerie Web d’un pirate informatique.

Tous les jours, des centaines de milliers de formulaires ou d’enquêtes en ligne sont renseignés, à partir d’un QR code via une publicité sur les réseaux sociaux ou autre. Or, il est difficile de connaître la destination de ses données en back-end. C’est pourquoi il est important de faire preuve d’une grande vigilance.

Deuxième vecteur d’attaque par QR code : passeport vaccinal ou prise de contrôle du téléphone

Pour un attaquant, l’« accès ultime » désigne la possibilité d’interagir directement avec le terminal de sa victime. Pour ce faire, une attaque de type « reverse shell », ou « connect-back shell », permet d’exploiter les vulnérabilités du système cible pour lancer une session shell et accéder à l’appareil de la victime. Si par exemple l’application du certificat COVID utilisé à l’étranger était imitée par un cybercriminel, en scannant un QR code, la victime se rendrait sur un faux Google Play Store afin d’installer l’application. Une fois celle-ci lancée, le cybercrminel dispose alors d’une connexion inversée avec l’appareil.

Avec ce type d’accès initial, l’hacker peut s’introduire dans le système, et s’y déplacer insidieusement et à l’insu de l’utilisateur afin d’y effectuer toutes sortes d’actions, depuis le dépouillement des journaux d’appels et de SMS jusqu’à la prise de photos avec l’appareil. En d’autres termes, il peut effectuer toutes les actions que le propriétaire de l’appareil lui-même peut exécuter. Ce scénario est aussi effrayant qu’il est simple d’exécution pour le cybercriminel.

Troisième vecteur d’attaque par QR code : l’inattendue attaque de phishing par QR code

La présence de QR codes dans les restaurants s’est banalisée pour consulter les menus. Or, si ce même QR code était intégré dans un email provenant d’une personne inconnue, le destinataire aurait le même comportement qu’avec le lien hypertexte : réfléchir à deux fois à la légitimé dudit code et de sa source. Les attaquants misent sur le fait que l’utilisateur ne se montrera pas prudent. Et bien trop souvent, l’expérience leur donne raison. Face à deux QR Codes, un néophyte ne sera pas capable de faire la différence entre le fiable et le malveillant, ce sur quoi les cybercriminels comptent pour mener à bien leur attaque.

En effet, les cybercriminels peuvent cloner le site destinataires d’un QR code légitime et le transformer en un site Web de phishing qui semble presque identique au vrai site, à l’exception de l’URL, ce qui peut échapper à un œil novice. Ainsi, lorsque la victime scanne le QR code, elle est redirigée vers le serveur Web de l’hacker où s’exécute un site Web malveillant, ce qui permet à ce dernier de contrôler le terminal de la victime. Le criminel a ensuite accès à de multiples vecteurs d’attaque et à de nombreux moyens d’exfiltrer les données de l’utilisateur, comme sa position GPS actuelle, le type d’appareil, les données de la carte SIM et d’autres informations sensibles. Grâce à quelques astuces d’ingénierie sociale supplémentaires, Il pourrait même recourir au spear-phishing sur l’appareil pour détourner le gestionnaire de mot de passe de la victime. Une fois que la victime saisit son nom d’utilisateur et son mot de passe, l’attaquant peut accéder à l’intégralité du coffre-fort de l’utilisateur. Fin de la partie.

Multiplication des attaques par QR code : 7 façons de s’en prémunir

L’automne dernier, la clé privée utilisée pour signer les passeports vaccinaux Green Pass de l’Union européenne aurait été divulguée ou falsifiée. En l’espace de quelques jours, de faux passeports contenant un QR code et signés avec la clé volée ont été mis en vente sur le Dark Web. En Chine, des escrocs ont été surpris en train d’apposer de fausses contraventions sur des voitures en stationnement, accompagnées de QR codes permettant de payer facilement les amendes par téléphone portable. Aux Pays-Bas, une escroquerie au QR code a exploité une fonction légitime d’une application bancaire mobile pour escroquer les clients de la banque, tandis qu’en Allemagne, des emails factices contenant des QR codes ont attiré des clients de banques en ligne vers des sites Web malveillants en leur faisant croire qu’ils consultaient les mises à jour de la politique de confidentialité de leurs comptes. Enfin, au Texas, des criminels ont envahi les rues, collant des QR codes malveillants sur les parcmètres municipaux et incitant les résidents à saisir les informations de leur carte de crédit sur un faux site de phishing.

Les attaques par QR code se produisent partout à un rythme alarmant. Voici sept conseils à suivre pour s’en protéger :

  1. Ne pas le scanner ! Au moindre doute, il est recommandé de ne pas scanner leQR code. Il suffit d’aller directement sur le site Web officiel. Tout QR code légitime devrait comporter une URL associée, donnant aux utilisateurs la possibilité de s’y rendre directement. Si elle est absente, mieux vaut se méfier.
  2. Ne pas se précipiter. Avant de scanner un QR code, il faut se poser les questions suivantes : est-ce que je sais qui a placé le QR code à cet endroit ? Puis-je être sûr qu’il n’a pas été falsifié ? Est-il vraiment utile d’utiliser un QR code dans cette situation ?
  3. Examiner attentivement les URL des QR codes. Après avoir scanné le QR code, il est conseillé de vérifier l’URL vers laquelle il dirige avant de poursuivre. Correspond-elle à l’organisation associée au QR code ? Semble-t-elle suspecte, comporte-t-elle des fautes d’orthographe ou de frappe bizarres ? Par exemple, dans les cas d’arnaque aux parcmètres au Texas, une partie de l’URL utilisée était « passportlab.xyz », qui n’est de toute évidence pas le site officiel d’une ville. Il est également possible d’effectuer une recherche rapide de l’URL sur le Web pour confirmer la légitimité du QR code.
  4. Rechercher des signes de falsification physique. Cela est particulièrement important dans les lieux où les QR codes sont couramment utilisés, comme les restaurants. Si un QR code autocollant est collé par-dessus un autre code, mieux vaut se méfier.
  5. Ne jamais télécharger d’applications à partir de QR codes. Les cybercriminels peuvent facilement cloner et usurper des sites Web. Par prudence, il vaut mieux se rendre systématiquement dans la boutique d’applications officielle du système d’exploitation de son appareil et y télécharger les applications.
  6. Ne pas effectuer de paiements électroniques au moyen de QR codes. Utiliser l’application native ou se connecter au domaine officiel à l’aide d’un navigateur évitera des déconvenues.
  7. Activer l’authentification multi-facteurs (MFA). Cela permettra ainsi de protéger les comptes sensibles, tels que les comptes bancaires, les emails et les comptes de media sociaux. En mettant en place une autre couche d’authentification, un cybercriminel ne peut pas accéder aux données d’un utilisateur avec uniquement son identifiant et son mot de passe.

In fine, en ce qui concerne les QR codes, le meilleur conseil à suivre est de toujours faire preuve de bon sens, comme s’il s’agissait d’un e-mail. On ne cliquerait pas sur un lien inconnu ! Les QR codes sont en train de s’imposer comme l’une des méthodes de phishing privilégiées des attaquants — et les mêmes règles s’appliquent. C’est pourquoi il est important de procéder avec prudence et d’appliquer les mêmes mesures de sécurité que celles qui s’appliquent à tout autre élément du domaine numérique.

En d’autres termes, avec les QR mieux vaut scanner en toute sécurité — ou mieux encore, ne pas scanner du tout !

Par Len Noe, évangéliste technique et white hat hacker chez CyberArk