Attention aux possibles arnaques au QR code en France, elles sévissent déjà aux États-Unis

juillet 17, 2022janvier 31, 2023 Romuald Pena

Tandis que les SMS concernant Ameli continuent d’être envoyés partout sur l’hexagone, une nouvelle menace débarque : le QR code. Depuis les deux années où le SARS-CoV-2 a tenu le haut de l’affiche, ces petits carrés bizarres sont en tous lieux. Sur les tables de restaurant, la devanture d’un magasin, en bas de page de publicité… il est désormais omniprésent sans s’en rendre compte. Machinalement nous voyons ce petit carré ressemblant de manière capillotracté au jeu de Pacman, et nous dégainons le smartphone. Mais que savez-vous de lui ?

Avant d’effrayer le lecteur, remontons de quelques années en arrière, en 1994. Année du début de l’ère Aimé Jacquet, menant la France à sa première victoire en coupe du monde de football en 1998. Les bleues, quant à elles disputent actuellement l’Euro et sont en quarts de finale, refermons l’aparté. Donc, les codes QR ont été créés en 1994. Une filiale de Toyota, Denso Wave, a développé ce code pour faciliter le processus de fabrication, le suivi des véhicules et des pièces. Il a été conçu pour permettre des vitesses de décodage rapides, son nom est devenu logiquement « code Quick Response ». S’ils possèdent une notoriété digne d’une rock star, leur existence est due au développement et succès des codes à barres. Depuis ils sont extrêmement populaires, et c’est là où le bât blesse.

Les codes QR peuvent **stocker** jusqu’à 7 089 caractères numériques, 4 296 caractères alphanumériques, bien au-delà de la capacité du code-barres (une douzaine de caractères). Des lignes de codes pour exécuter une action, par exemple en Bash, n’ont pas besoin d’autant, 1 500 sont amplement suffisante, voire moins, beaucoup moins.

Que s’est-il passé ? Cet instrument pratique se retrouvait même dans les bibliothèques municipales, et plein d’autres endroits. Le nombre de chiffres dans les codes a donc été augmenté, générant une modification. Leurs tailles, et l’espace d’impression multipliaient les coûts d’impression. En outre, ces évolutions ont entraîné des complications occasionnelles lors de la lecture/du balayage des nouveaux codes. De la poudre de perlimpinpin, beaucoup de recherche et de travail, ont donné naissance aux codes QR 2D (bidimensionnels). Depuis leur avènement, ils ont vu leur population augmenter, les développements de la technologie pour améliorer la capacité de stockage et la fonctionnalité…

La taille accrue du QR code en fait une arme redoutable. Avec le langage de programmation **Python**, il est simple d’envoyer un **e-mail** sans fioriture. Le FBI avertissait ses concitoyens en début d’année 2022 : « ne scannez pas un code QR trouvé au hasard ». Les **escrocs** utilisent de faux codes QR pour voler vos mots de passe et votre argent.

Des individus malintentionnés les utilisent dorénavant pour voler des données personnelles ou compromettre un terminal, selon Le Parisien. Les escrocs ont toujours un coup d’avance ! Il suffit désormais de flasher le code avec son appareil photo pour être dirigé vers une URL. Elle peut permettre de lire un menu, télécharger une application ou montrer « patte blanche » dans l’application mise en place par le gouvernement « Tousanticovid ». Il n’est nullement question des RGPD. « Elle utilise le signal Bluetooth d’un téléphone pour détecter un “smartphone” à proximité et ainsi établir de manière anonyme que plusieurs personnes se sont croisées. L’application prend en compte les contacts à moins de 2 mètres pendant au moins 5 minutes », explique le site dédié.

Dans un article du quotidien Le Parisien, un « expert » précise que « la cyberattaque passe par l’appareil photo et contourne ainsi les antivirus et les filtres de sécurité ». Vous pouvez en quelques secondes créer le vôtre. « Il est tout aussi facile de modifier une application avec un code malveillant qui transforme le téléphone en mouchard ou siphonne les données », ajoute-il.

Pour effectuer une attaque ou un vol de données, il suffit de faire « ***Man-in-the-middle*** ». Pour cela ils peuvent remplacer un **QR Code** par le leur en apposant un autocollant. En le scannant, les utilisateurs sont renvoyés vers une copie ou l’original du site, avec exfiltration de leurs données, sans s’en apercevoir. (Crédits : Panda Security)

Selon des sources bien informées « le QR est une belle invention qui ne représente que peu de “menace” ». Les problèmes indiqués se situent que dans les différents traitements associés, pas dans le code QR, lui-même. L’usage des outils « informatiques » par tout un chacun « facilite » la vie quotidienne. « Les entreprises utilisent légitimement les codes QR pour fournir un accès sans contact pratique et les ont utilisés plus fréquemment pendant la pandémie de COVID-19. Cependant, les cybercriminels tirent parti de cette technologie en dirigeant les scans de codes QR vers des sites malveillants pour voler les données des victimes, en intégrant des logiciels malveillants pour accéder à l’appareil de la victime et en redirigeant le paiement à des fins cybercriminelles », expliquait le FBI dans son alerte. Pour toutes les questions sur les possibles fraudes , un site Cybermalveillance.

Qu’est-ce qui va différencier un « vrai » d’un « faux » QR code ? Humainement, c’est très compliqué.

Ars Technica rapportait que des malfaiteurs avaient placé des autocollants de codes QR frauduleux sur des parcmètres, dans les grandes villes du Texas. Ces autocollants visaient à inciter les gens à payer leur stationnement, mais sur un site Web frauduleux. Les agents de stationnement avaient trouvé des autocollants avec des codes QR frauduleux sur les bornes de paiement à Austin, Houston et San Antonio. Les autorités avaient dans un communiqué de presse, que des fraudes sur des parcmètres étaient constatées. Au final 29 des 900 avaient un autocollant recouvrant le code QR. En cas de doute, rapprochez-vous des forces de l’ordre, de votre banque et du site Cybermalveillance.