Les QR codes sont sûrs à scanner. Le code lui-même n'est qu'un lien encodé, et l'ouvrir n'est pas plus dangereux que de taper la même adresse web à la main. Le vrai risque réside dans l'endroit où le code vous envoie - et c'est là que les attaquants opèrent. Un QR code malveillant peut pointer vers une page de connexion usurpée conçue pour voler votre mot de passe, ou vers un téléchargement qui vous demande d'installer quelque chose de nuisible. Donc la réponse honnête à "les QR codes sont-ils sûrs", c'est : le scan est sûr, c'est la destination que vous devez vérifier.
L'attaque a maintenant un nom - le quishing, un mélange de "QR" et "phishing" - et elle s'est développée parce qu'elle contourne deux défenses à la fois. Un QR code cache sa destination jusqu'après le scan, donc le vieux conseil d'inspecter un lien avant de cliquer est plus difficile à suivre. Et comme un code est une image, il passe à travers de nombreux filtres d'e-mail qui ne lisent que le texte et les liens. Les gouvernements et les chercheurs en sécurité ont signalé cette montée, et la technique apparaît désormais partout, des faux panneaux de parcmètres aux factures.
J'examine ceci depuis un poste de conformité, où la question est généralement "peut-on mettre un QR code sur un élément destiné au client sans créer de risque ?" La réponse est oui, avec des habitudes. Ce guide couvre comment fonctionne le quishing, comment lire un code avant de lui faire confiance, et que faire si vous en avez déjà scanné un mauvais. Si vous créez des codes plutôt que de les scanner, comment créer un QR code est l'endroit où commencer.
Comment fonctionne le quishing#
Une attaque de quishing a la même anatomie que toute tentative de phishing, avec le lien remplacé par un code. Comprendre les étapes rend les signes d'avertissement évidents.
L'attaquant produit un QR code qui se résout en une destination frauduleuse - un faux portail de connexion, une page de paiement ou une invite de logiciel malveillant. Il le place là où les gens scannent sans réfléchir : un e-mail qui semble provenir du service informatique ou d'une banque, un autocollant collé par-dessus un vrai code sur une affiche ou un parcmètre, un prospectus, ou un colis inattendu. La victime scanne avec son téléphone, voit une page qui imite quelque chose de familier, et saisit des identifiants ou des détails de carte. Les données vont à l'attaquant.
Ce qui le rend efficace, c'est la dissimulation. Avec un lien de phishing normal, une personne prudente peut survoler et lire d'abord l'URL. Un QR code ne vous montre rien tant que vous ne vous êtes pas déjà engagé à scanner, et sur un petit écran la barre d'adresse est facile à ignorer. L'analyse du quishing par Kaspersky fait le même constat : la destination cachée est tout l'avantage. L'astuce connexe côté serveur qui permet de détourner n'importe quelle redirection vers un site malveillant fait l'objet des vulnérabilités de redirection ouverte, et il est utile de savoir que les deux fonctionnent souvent ensemble.
Signes d'avertissement d'un QR code malveillant#
Vous pouvez attraper la plupart des tentatives de quishing avant tout préjudice en lisant le contexte et l'aperçu ensemble. Quelques signaux font l'essentiel du travail.
- Vous ne vous y attendiez pas. Un code qui arrive non sollicité - dans un e-mail, un SMS, un courrier ou un colis livré que vous n'avez pas commandé - mérite la méfiance avant toute autre chose.
- C'est un autocollant. Un code physique qui semble ajouté par-dessus une illustration existante, surtout sur les parcmètres, les affiches et les menus, est l'astuce la plus courante observée en pratique.
- Il fabrique de l'urgence. Une formulation comme "scannez immédiatement pour éviter la suspension" ou "vérifiez maintenant" est conçue pour vous pousser au-delà du moment où vous vérifieriez normalement.
- L'aperçu semble incorrect. Après le scan, la plupart des téléphones affichent l'URL avant de l'ouvrir. Des fautes d'orthographe, un domaine inconnu, un domaine qui ne correspond pas à la marque, ou un raccourcisseur que vous ne pouvez pas résoudre sont autant de raisons de s'arrêter.
- Il exige des identifiants ou un paiement immédiatement. Une destination légitime vous demande rarement de vous connecter ou de payer avant de vous montrer quoi que ce soit. Une fausse commence par cela.
Les recommandations de la Federal Trade Commission américaine et les conseils du NCSC britannique sur les messages suspects reviennent tous deux au même instinct : si le code et son contexte ne semblent pas tous deux corrects, n'agissez pas sur ce qu'il ouvre.
Comment scanner les QR codes en toute sécurité#
Le scan sûr est un court ensemble d'habitudes, pas une application spéciale. Aucune d'elles ne vous ralentit beaucoup une fois qu'elles sont devenues une routine.
- Utilisez l'appareil photo intégré de votre téléphone ou un scanner qui prévisualise l'URL. Lisez cet aperçu avant de l'ouvrir, à chaque fois.
- Vérifiez le domaine par rapport à qui vous pensez avoir envoyé le code. La marque en tête de l'adresse devrait correspondre à la marque sur l'affiche, l'e-mail ou le menu.
- Méfiez-vous des codes qui se résolvent en un raccourcisseur que vous ne pouvez pas développer - et inversement, la confiance est plus facile quand un code pointe vers un domaine de marque clair que vous reconnaissez.
- Ne saisissez jamais de mots de passe, de numéros de carte ou de codes à usage unique sur une page que vous avez atteinte uniquement parce qu'un QR code vous l'a dit. Naviguez vous-même vers le site à la place.
Ce troisième point joue dans les deux sens, et c'est là que les personnes qui créent les codes peuvent aider celles qui les scannent. Un lien court de marque sur un domaine qu'un client reconnaît est bien plus facile à faire confiance qu'un lien opaque, ce qui explique en partie pourquoi marquer un code est une fonctionnalité de sécurité et pas seulement de design - voir le design de QR code de marque.
Si vous publiez des QR codes destinés aux clients et voulez qu'ils paraissent dignes de confiance - votre domaine, votre image de marque, une destination que vous pouvez rediriger si elle est jamais abusée - générez des QR codes traçables avec Elido pour que votre audience voie un nom qu'elle connaît plutôt qu'une chaîne aléatoire.
Si vous en avez déjà scanné un mauvais#
Scanner et prévisualiser un code malveillant ne fait presque rien en soi, donc si vous vous êtes arrêté à l'aperçu, vous êtes très probablement tranquille - fermez-le et continuez. L'exposition vient des étapes suivantes, et si vous les avez franchies, agissez vite.
Fermez la page et ne saisissez rien de plus. Si vous avez déjà saisi un mot de passe, changez-le sur le vrai site et activez l'authentification à deux facteurs pour ce compte. Si vous avez saisi des détails de carte ou bancaires, appelez votre banque. Si vous avez installé ou téléchargé quelque chose, lancez une analyse de sécurité et supprimez-le. Ensuite signalez-le - aux États-Unis via la FTC, et ailleurs via votre organisme national de fraude ou de cybercriminalité - et gardez un œil sur les comptes concernés pendant quelques semaines, car les identifiants volés sont souvent utilisés plus tard plutôt qu'immédiatement. La posture plus large pour vérifier toute destination courte ou raccourcie se trouve dans les raccourcisseurs d'URL sont-ils sûrs et la checklist de sécurité des raccourcisseurs d'URL.
Les QR codes valent la peine d'être conservés - avec des habitudes#
Rien de tout ceci n'est une raison d'abandonner les QR codes. Ils sont un pont véritablement utile du physique au numérique, et le format lui-même n'est pas le problème - c'est l'ingénierie sociale qui l'entoure. La même logique s'applique du côté de la publication : un code que vous contrôlez, faites pointer vers votre propre domaine, et pouvez mesurer et rediriger est plus sûr pour votre audience qu'un code jetable statique, car vous pouvez réagir si une destination est jamais compromise.
Pour les organisations, la vision de la conformité est qu'un QR code n'est qu'un canal de plus portant un lien, et les mêmes règles de minimisation des données et de résidence s'appliquent à ce vers quoi il mène - le détail se trouve dans le RGPD pour les raccourcisseurs d'URL et sur notre page de confiance. Scannez avec un aperçu, vérifiez le domaine, ne saisissez jamais de secrets sur une page vers laquelle un code vous a poussé, et les QR codes restent ce qu'ils étaient censés être : une commodité, pas un risque.
À lire aussi sur le blog#
- Les raccourcisseurs d'URL sont-ils sûrs ? comment vérifier un lien court
- Les vulnérabilités de redirection ouverte et comment les prévenir
- La checklist de sécurité des raccourcisseurs d'URL
- Comment suivre les scans de QR codes et lire les statistiques
- Le design de QR code de marque : logos, couleur et scannabilité
Essayer Elido
Collez une URL, obtenez un lien court
Sans inscription. Lien actif 30 jours. Inscrivez-vous pour le garder pour toujours.
Gratuit, sans inscription · 2 par jour