On prévoit que d’ici 2022, plus de cinq milliards de codes QR seront scannés ou accessibles par des appareils mobiles. Un code QR est une forme supplémentaire de communication sans contact qui, une fois scanné, transmet des informations ou dirige une personne vers une autre source, un site Web ou une application en ligne. L’adoption des codes QR s’est développée parallèlement au mode de vie sans contact auquel beaucoup d’entre nous ont dû s’adapter, notamment pendant la pandémie mondiale. Les codes QR sont fréquemment visibles dans les publicités, les billets de voyage, la littérature juridique et sanitaire, ainsi que sur les plateformes de médias sociaux telles que Facebook, WhatsApp et SnapChat. Ils sont utilisés comme alternative aux menus des restaurants et nous avons même la possibilité de les utiliser pour transférer de l’argent. Certains pays ont adopté cette technologie plus que d’autres. Par exemple, en Chine, les codes QR sont désormais devenus un mode de vie de facto grâce à des applications comme WeChat. Au Royaume-Uni, pendant la pandémie, les gens ont généralement vu et utilisé des codes QR lorsqu’ils entraient dans des lieux extérieurs ou lors de l’enregistrement d’informations sur les coronavirus pour le NHS. Aux États-Unis, lors de l'élection présidentielle, des brochures contenant des codes QR ont été distribuées à la population pour aider les gens à vérifier s'ils étaient inscrits sur les listes électorales. Une fois l'un de ces codes QR scanné, les utilisateurs sont avertis et invités à accéder à une page Web externe pour saisir un certain niveau d'informations d'identification ou même des informations personnelles. Bien qu'il existe de nombreux cas d'utilisation, il existe de nombreux risques de sécurité associés à la technologie des codes QR que les pirates peuvent exploiter lors de la mise en œuvre de cyberattaques et d'escroqueries en ligne. À propos de l'auteur Hank Schless est directeur principal des solutions de sécurité chez Lookout
Codes QR et cyberattaques
Du point de vue d'un attaquant, les codes QR constituent l'occasion idéale de cibler le plus grand nombre sans trop d'effort. Il partage de nombreuses similitudes avec le phishing, qui constitue le vecteur d’attaque le plus populaire des pirates informatiques modernes. Comme mentionné, un code QR est une méthode sans contact permettant à un appareil mobile de lire une URL. Lorsqu’il s’agit de créer un code QR malveillant, les pirates n’ont qu’à reproduire les étapes qu’ils suivent lors de la création d’un programme de phishing. Le phishing est la tactique la plus couramment utilisée avec les codes QR et peut être facilement mise en œuvre ; Il existe même des kits de phishing par code QR qui sont facilement disponibles, abordables et hautement personnalisables. Cela signifie que les pirates peuvent imiter les marques les plus populaires au monde pour extraire des informations sensibles de leurs clients. À partir des cas d’utilisation réels ci-dessus, un acteur malveillant pourrait facilement créer un code QR similaire pour extraire des informations, y compris des informations personnellement identifiables. Ces problèmes de sécurité d'appel à l'action, dans lesquels l'utilisateur sans méfiance doit fournir une réponse ou interagir (c'est-à-dire scanner le code) pour lancer l'arnaque, sont courants dans le monde entier. Par exemple, si un consommateur espérait se connecter et activer un service, les cybercriminels pourraient placer un code QR sur ce site et rediriger cet utilisateur vers un nouveau site Web présentant des problèmes de sécurité ou même demander le téléchargement d'une application malveillante. De plus, les e-mails ou les SMS peuvent contenir des codes QR malveillants qui semblent avoir un impact négatif sur l'appareil. Les pirates sont connus pour envoyer de faux messages de suivi avec des codes QR lorsqu'ils imitent de vrais services de livraison. Dans le domaine des crypto-monnaies, les codes QR sont utilisés pour aider les appareils mobiles à localiser les adresses de portefeuille virtuel pour transférer des bitcoins ou d'autres crypto-monnaies. Cependant, les criminels se sont rapidement rendu compte d’une simple faille qui peut s’avérer extrêmement coûteuse pour la victime. Étant donné que presque tout le monde peut créer un code QR, vous devrez peut-être envoyer de l'argent vers le portefeuille d'un pirate informatique au lieu de celui prévu ; et en raison de la difficulté de distinguer un code QR d’un autre, la victime n’en sait pas plus. En fait, un réseau de générateurs de codes QR Bitcoin a volé des milliers de victimes au cours de la dernière année. L'introduction de contenu malveillant dans un code QR peut être réalisée avec peu d'effort et avec l'utilisation généralisée de cette technologie, les pirates ont de nombreuses possibilités d'adapter leurs propres codes aux codes existants sans être détectés.
Codes QR et lieu de travail
En raison de la situation mondiale actuelle, de nombreuses personnes travaillent à distance et convertissent leurs appareils personnels en appareils de travail pour rester productifs en dehors de l'environnement de bureau. Cela pose cependant un problème important pour la sécurité globale de l’infrastructure de l’entreprise et des contenus sensibles situés entre ces quatre murs. Un employé pourrait involontairement scanner un code QR malveillant, se connecter avec ses informations d'identification et permettre à un pirate informatique de collecter des informations de connexion ou d'installer un logiciel capable d'espionner ou de voler des actifs sensibles. En raison de la popularité des codes QR dans le monde et dans tous les secteurs, les entreprises utilisant cette technologie doivent être en état d’alerte face aux escroqueries potentielles. Comme mentionné ci-dessus, les campagnes de codes QR reflètent celles des programmes de phishing et doivent être considérées de la même manière. Lorsqu'ils utilisent un appareil mobile, la plupart des utilisateurs ne font pas attention et il est également difficile de ne pas pouvoir détecter les signes révélateurs d'une menace de phishing en raison de la petite taille de l'appareil.
Comment prévenir les cyberattaques avec les codes QR
Premièrement, une sensibilisation accrue des utilisateurs pourrait réduire considérablement le nombre d’attaques malveillantes par code QR. Lorsqu'ils scannent un code via un appareil mobile, les utilisateurs doivent vérifier le lien URL dans la notification avant de continuer à cliquer. Si cela semble suspect et ne ressemble pas à celui attendu, les utilisateurs peuvent faire preuve du même niveau de prudence que pour le phishing par courrier électronique et quitter l'application. Mais comme les attaquants peuvent créer pratiquement n'importe quelle URL pour s'adapter à un code QR et vice versa, détecter l'usurpation d'identité à partir d'un objet réel peut être extrêmement difficile et peut piéger même les professionnels les plus qualifiés. Par conséquent, la mise en œuvre de Mobile Threat Defense doit être appliquée sur tous les points finaux pour empêcher les utilisateurs d'interagir avec des sites Web, des applications ou des réseaux malveillants. Les entreprises ne pourraient pas exploiter un ordinateur de bureau ou un ordinateur portable sans une sécurité adéquate ; Par conséquent, les appareils mobiles doivent recevoir le même niveau d’attention, d’autant plus que les gens continuent d’opérer en dehors du périmètre de sécurité traditionnel. Alors que nous continuons à travailler à distance, les appareils mobiles sont également devenus les outils que nous utilisons pour rester productifs et, en raison de leur aspect personnel, constituent une cible privilégiée pour les escroqueries mobiles. Les menaces liées aux codes QR resteront un problème permanent à mesure que l'adoption du mobile augmente et que les gens font converger leurs appareils professionnels et personnels.