Pourquoi faut-il être prudent lorsqu'on scanne des codes QR inconnus ?

Les codes QR font désormais partie intégrante de la vie moderne. On les trouve partout : dans les magasins, les supermarchés, les services de restauration et pour la recherche d’informations sur les produits.

Grâce à leur capacité à permettre un accès instantané à un site web, un réseau Wi-Fi ou des informations de contact en un seul scan, les codes QR sont rapidement devenus un outil pratique et fiable pour des millions de personnes. Cependant, cette popularité croissante en a également fait une cible de choix pour les cybercriminels.

En quelques étapes simples, n'importe qui peut créer un code QR d'apparence parfaitement légitime. Les escrocs peuvent remplacer les vrais codes QR dans les lieux publics par de faux, les envoyer par courriel, SMS, voire les insérer dans des publicités en ligne.

Lorsque vous scannez accidentellement ces codes malveillants, ils peuvent vous rediriger vers des sites web d'hameçonnage, voler des informations personnelles ou installer silencieusement des logiciels malveillants sur votre appareil.

Méfiez-vous des codes QR dans les courriels et les colis d'origine inconnue.

L'une des formes de phishing sophistiquées de plus en plus répandues est l'utilisation de codes QR dans les courriels, connue sous le nom de « quishing ». Ces courriels sont souvent conçus de manière astucieuse pour faire croire qu'ils proviennent d'organisations réputées, telles que des banques, des services technologiques ou des plateformes de commerce électronique.

Le message vous avertit généralement d'une faille de sécurité, vous demande de mettre à jour votre mot de passe ou de confirmer les informations de votre compte, et inclut un code QR à « traiter immédiatement ». Mais lorsque vous scannez ce code, vous êtes redirigé vers un faux site web qui vous demande vos identifiants, vos informations de carte bancaire ou vos informations personnelles, lesquelles sont directement transmises à l'escroc.

Les arnaques aux codes QR ne se limitent pas aux courriels et aux SMS ; elles peuvent aussi se présenter sous forme de colis surprises livrés à votre domicile. À l’intérieur, on trouve souvent un simple morceau de papier avec un code QR et un message intrigant, comme « Scannez pour un cadeau spécial » ou « Scannez pour finaliser votre retour ». Mais ces codes peuvent en réalité rediriger vers des sites web frauduleux ou vous amener à télécharger accidentellement un logiciel malveillant déguisé en application légitime.

Les arnaques aux codes QR sont particulièrement efficaces car elles dissimulent un lien malveillant derrière une suite de symboles d'apparence inoffensive. En réalité, scanner un code QR inconnu est tout aussi dangereux que de cliquer sur un lien non vérifié : on ne sait jamais ce qui se cache derrière.

Comment se protéger des codes QR malveillants ?

Bien que les codes QR offrent un avantage pratique, les scanner sans précaution peut vous exposer à des arnaques sophistiquées ; il est donc important de rester vigilant et de prendre des mesures de protection de base.

Tout d'abord, interrogez-vous toujours sur l'origine d'un code QR. Si vous recevez un code dans un courriel inattendu, un SMS étrange ou un colis dont la provenance est obscure, il est préférable de ne pas le scanner.

Lorsque des codes QR sont présents dans les lieux publics ou les restaurants, vérifiez attentivement si le code est collé par-dessus un autre code, ou s'il y a des anomalies dans le nom de la marque, le logo ou l'image d'accompagnement, ce qui pourrait être un signe de contrefaçon.

Lorsque vous devez scanner un code QR, ne cliquez pas immédiatement sur le lien. La plupart des smartphones actuels, y compris les iPhones et les appareils Android, affichent un aperçu du lien lorsque vous scannez le code avec l'application appareil photo native.

Traitez ces liens avec la même prudence qu'un courriel suspect : lisez attentivement l'URL et recherchez les fautes de frappe, les domaines inconnus ou tout autre signe inhabituel. Si le code QR utilise un raccourcisseur d'URL (comme bit.ly), redoublez de vigilance, car il peut être difficile de savoir où il mène.

Si vous vous retrouvez sur un site web suspect, ne saisissez aucune information personnelle. Si l'on vous demande de télécharger une application, fermez la page et recherchez-la directement sur l'App Store ou Google Play afin d'éviter toute installation accidentelle de logiciel malveillant.

Enfin, restez informé des nouvelles formes d'escroqueries par code QR ; la vigilance précoce est la meilleure défense à l'ère numérique.