QR codes : une menace sournoise pour la sécurité des mobiles

Avec la crise sanitaire, les entreprises du monde entier ont capitalisé sur les avantages des QR codes. Ces raccourcis mobiles peuvent pourtant représenter une véritable menace pour les utilisateurs, qui n'en ont pas toujours conscience. À quoi faut-il faire attention, et comment se protéger des versions malveillantes ?

Les QR codes n’ont jamais autant pullulé que ces derniers temps. Depuis qu'ils ont été utilisés pour la première fois par l'industrie automobile japonaise pour rationaliser les processus de fabrication, les entreprises du monde entier ont capitalisé sur les avantages des QR codes. Tous les secteurs – des restaurateurs à la grande distribution en passant par le secteur de la santé - les utilisent aujourd'hui comme un moyen simple et rapide de renvoyer vers des sites web, des campagnes promotionnelles, des réductions en magasin, des dossiers médicaux de patients et des paiements mobiles notamment.

Les QR codes ne sont pas seulement rentables et simples à utiliser. Ils s’avèrent également essentiels, en particulier en cas de pandémie, où les transactions sans contact sont devenues indispensables. De plus, au moins 77 % des francais possèdent aujourd'hui un smartphone, et presque tous ces appareils peuvent lire les QR codes en natif sans qu'une application tierce soit nécessaire. Les QR codes connaissent donc un réel succès.

Les QR code ont le vent en poupe

La montée en puissance de l’utilisation des QR codes a généré l’intérêt du secteur de la cyber sécurité, une récente étude tentant de mieux comprendre les tendances actuelles. Plus de 2 100 consommateurs aux États-Unis et en Europe ont été sollicités pour répondre à cette étude en septembre dernier. Au cours des six derniers mois, plus d'un tiers des répondants ont scanné un QR code dans un restaurant, un bar ou en magasin.

Certaines tendances alarmantes sont mises en évidence : les utilisateurs de téléphones portables ne saisissent pas vraiment les risques potentiels des codes QR, et près des trois quarts (71 %) des personnes interrogées ne peuvent pas faire la différence entre un code QR légitime et un code QR malveillant. Dans le même temps, plus de la moitié (51 %) des utilisateurs interrogés ne disposent pas, à leur connaissance, de protection sur leur portable.

Les appareils mobiles nous ont conditionnés à agir rapidement - glisser, taper, cliquer, payer - tout en étant distraits par d’autres actions : travailler, faire des courses, manger. Ce type de confiance machinale et implicite nourrie les pirates informatiques qui se servent notamment des QR codes pour déployer des attaques.

Or les salariés – qui utilisent également leurs portables personnels pour accéder à des applications professionnelles – peuvent scanner des QR codes potentiellement risqués. Il est donc nécessaire que les services informatiques des entreprises commencent à examiner de plus près leur approche de sécurité mobile.

Quels sont donc les risques des QR codes ? 

Le piratage d'un véritable QR code nécessiterait de sérieuses compétences pour contourner les points pixélisés dans la matrice du code. Les pirates ont trouvé une méthode bien plus simple. Il s'agit d'intégrer des logiciels malveillants dans les QR codes (qui peuvent être générés par des outils gratuits disponibles en ligne). Pour un utilisateur moyen, ces codes se ressemblent tous, mais un QR code malveillant peut diriger vers un faux site web. Il peut également saisir des données personnelles ou installer un logiciel malveillant sur le smartphone, pouvant déclencher différents types d’actions :

  • Ajouter une liste de contacts : les pirates peuvent ajouter une nouvelle liste de contacts sur le téléphone de l'utilisateur et s’en servir pour lancer un hameçonnage.
  • Lancer un appel téléphonique : en lançant un appel vers un service payant, ce type d'exploit peut exposer le numéro de téléphone.
  • Envoyer un SMS à quelqu'un : en plus d'envoyer un sms à un destinataire malveillant, les contacts d'un utilisateur peuvent également recevoir ce message et être attaqués.
  • Ecrire un e-mail : comme pour un sms, un pirate informatique peut rédiger un courriel et en remplir le destinataire et l'objet. Les pirates peuvent cibler le courrier électronique professionnel de l'utilisateur si l'appareil ne dispose pas d'une protection contre les menaces mobiles.
  • Effectuer un paiement : si le code QR est malveillant, il pourrait permettre aux pirates d'envoyer automatiquement un paiement et de saisir les données financières personnelles de l'utilisateur.
  • Révéler la localisation de l'utilisateur : les logiciels malveillants peuvent suivre en silence la géolocalisation de l'utilisateur et envoyer ces données à une application ou un site web.
  • Suivre des comptes réseaux sociaux : les comptes de réseaux sociaux de l'utilisateur peuvent être piratés afin de suivre un compte malveillant. Seraient alors exposés les informations personnelles et les contacts de l'utilisateur.
  • Ajouter un réseau Wi-Fi préféré : un réseau wifi piraté peut être ajouté à la liste des réseaux préférés de l'appareil et inclure un justificatif d'identité qui connecte automatiquement l'appareil à ce réseau.

Des actions simples pour minimiser les risques

Aussi effrayants que soient ces exploits, ils ne sont pas inévitables. Sensibiliser les utilisateurs aux risques des QR codes est un premier pas, mais les entreprises doivent également renforcer leur sécurité mobile pour se protéger contre les menaces telles que le phishing et la prise de contrôle d'appareils.

A leur niveau, les salariés peuvent :

  • Bien regarder le QR code et s’assurer qu’il est légitime, en particulier les codes imprimés. Ils peuvent être collés avec un code différent (et potentiellement malveillant).
  • Ne scanner que les codes provenant d'entités de confiance. Les utilisateurs doivent s'en tenir à scanner les codes qui proviennent uniquement d'expéditeurs de confiance. Il faut être attentif aux signaux d'alerte, comme une adresse web différente de l'URL de l'entreprise - il y a de fortes chances qu'elle renvoie à un site malveillant.
  • Faire attention aux liens de type « bit.ly » en vérifiant que l'URL d'un lien bit.ly apparaisse bien après avoir scanné un QR code. Ces liens sont souvent utilisés pour dissimuler des URL malveillantes, mais il est possible d'en avoir un aperçu en toute sécurité en ajoutant un symbole plus à la fin de l'URL.

Ce que les entreprises peuvent faire :

Les entreprises doivent utiliser une solution de défense contre les menaces mobiles pour protéger leurs salariés contre les attaques de phishing, les attaques de « man-in-the-middle » et les téléchargements d'applications malveillantes. Chaque service informatique doit s’assurer que la solution est déployée sur chaque appareil qui accède aux applications et aux données de l'entreprise. En outre, l’entreprise doit former et informer ses collaborateurs sur ce qui les protège (et ce qui ne les protège pas).

Si l’entreprise ne met pas de procédure supplémentaire en place, il est temps d'envisager d'éliminer l'accès par mot de passe aux applications professionnelles et aux applications dans le cloud, qui est l'une des principales causes des violations de données aujourd'hui. En passant à l'authentification multi-facteurs sans mot de passe, est non seulement éliminée la menace des mots de passe volés, mais aussi les tracas liés à leur maintenance - ce qui rend tout le monde (sauf les pirates informatiques) beaucoup plus heureux et plus productif.