Squid game fait des émules
C’est, au-delà de la série, le phénomène du moment qui fait grimper tous les statistiques, en France comme ailleurs. Pour confirmation, le fabricant des Vans en toile blanche que portent les joueurs se frotte les mains. Elles ont vu leurs ventes augmenter de 7 800 % depuis la diffusion sur Netflix. Les bénéfices engendrés par « The Squid Game » intéressent de nombreuses personnes, toutes ne sont pas forcément bien intentionnées. Les criminels ne reculent donc devant rien pour faire du profit.
Le code « QR » fleurit ici, et là. Sa traduction en mode verbeux signifie « quick response code ou code à réponse rapide », est un type de code-barres à deux dimensions. Celui-ci est lisible par un terminal qu’il soit vu par écran interposé ou sur sa version imprimée sur papier. Ce dernier, que vous trouvez sur votre passe sanitaire est constituée de modules-carrés noirs disposés dans un carré à fond blanc. Attention à ne pas confondre le Flashcode (ou encore 2D-Doc) avec le code QR (à la Française). Au sein de la péninsule ibérique, il est désormais légion. Comme partout ailleurs, cet outil affiche des informations auxquelles on accède lorsqu’on les scanne avec un appareil photo, d’un téléphone portable. Ces habitudes se sont généralisées notamment pour afficher un menu de restaurant, montrer patte blanche au cinéma… Pour autant, tel le couteau peut être un instrument magnifique pour délivrer une tortue des Galapagos emprise dans un filet de pêche. Il est également à l’honneur dans 4 615 vols avec armes blanches, 626 contre les particuliers et 595 contre les institutions, commerces en 2019, en France.
Méfiez-vous s’ils apparaissent seuls et suspendus dans des lieux publics
Police nationale (@policia) 15 octobre 2021
Comme une pièce de monnaie, il possède deux côtés. Le 15 octobre 2021, la police nationale espagnole alertait par un gazouillis d’un nouveau type d’escroquerie à Malaga. Les cybercriminels ont réussi à obtenir les données personnelles et bancaires des victimes, en exploitant les « codes QR ». Par conséquent, ils invitent chaque utilisateur à faire très attention lorsqu’ils en lisent un inconnu, soit à chaque instant. Précisément, les forces de l’ordre soulignent les risques liés au balayage des codes QR qui accompagnent les cartes, qui comportent un triangle, un cercle et un carré, lesquels reproduisent ceux qui apparaissent dans la série populaire et peuvent être trouvés seuls ou accrochés dans des lieux publics.
Dans « The Squid Game », ces cartes sont attribuées aux individus susceptibles de participer à la compétition de vie ou de mort qui est au centre de l’histoire de cette fiction. Au réel, toute personne qui scannérise la figure géométrique accompagnant les cartes frauduleuses avec son smartphone court le risque d’être contaminé, voire « piraté ». « Si nous scannons un code et que nous ne savons pas s’il est digne de confiance, il peut nous conduire vers des sites infectieux et mettre nos appareils en danger », martèle la police.
QRishing et QRljacking
Mais comment cela fonctionne-t-il ? C’est assez simple en soi ! Lorsqu’un quidam lambda scanne un « QR », au lieu d’accéder à une page web, de télécharger une application ou découvrir un menu… il se retrouve dans un espace où des lignes de codes dérobent vos données personnelles, comme bancaires. Par ailleurs, l’Institut national de cybersécurité ibérique (Incibe) souligne qu’il existe trois modèles d’attaques différentes profitant de ces codes. Deux attaques possibles, la première le Qrishing, puis le Qrljacking.
La première est de type phishing. Combinée à l’ingénierie sociale, la victime fournit ses données et indications d’identification en scannant un code « QR » dans une page web, un e-mail ou un message. Somme toute classiquement, l’individu est redirigé vers un site qui usurpe l’identité d’une l’entreprise officielle et qui demande des informations confidentielles ou bancaires. La seconde Qrljacking, ou détournement de session se caractérise par l’utilisation de l’ingénierie sociale pour dévier le compte d’un service qui accepte la fonction « Login with QR code » (comme celle du service WhatsApp). Ils essaient d’inciter la victime à scanner un code QR modifié qui se fait passer pour l’original qui a été précédemment capturé par les cybercriminels. Lors du scannage de ce dernier, provenant bien sûr d’un site web non fiable, le terminal téléphonique est donc infecté par un code conçu pour en exploiter les vulnérabilités.
Cascade de mauvaises nouvelles
Par la suite viennent les téléchargements de logiciels (Drive by download) ou de l’injection de codes malveillants (via un exploit présent sur la page web vers laquelle le code QR redirige). Le site malveillant est conçu pour exploiter les vulnérabilités présentes dans votre smartphone au niveau du logiciel et peut réaliser de multiples actions malveillantes :
- rejoindre un botnet (par exemple pour réaliser une attaque DDoS contre un site web légitime)
- divulguer des informations sensibles
- s’abonner à des services premium
- afficher des publicités de manière silencieuse à l’insu de l’utilisateur
- accéder à différents éléments de l’appareil (microphone, caméra…)
- accéder aux données du navigateur
- envoyer des e-mails
- récupérer la liste de vos contacts afin de leur envoyer des messages (malveillants, bien entendu)
- déclencher des appels téléphoniques vers des numéros surtaxés
- envoyer des SMS malveillants
- effectuer des paiements mobiles
Toutes ces actions se déroulent, évidemment, en arrière-plan, de sorte que les usagers ne sont pas conscients de ces comportements. « France Num » affichait le 23 août 2021, le résultat d’une enquête de MobileIron éloquente quant à nos smartphones et de leurs utilisations vis-à-vis des codes QR :
- 74 % des personnes interrogées estiment qu’ils leur facilitent la vie (mais 51 % déclarent ne pas avoir de logiciel de sécurité sur leur smartphone)
- 47 % de ce même panel ont noté une augmentation de leur utilisation
- Durant les 6 derniers mois, 38 % en ont scanné un dans un restaurant, un bar ou un café, et 37 % pour un commerce de détail
- 53 % des individus souhaitent qu’ils soient davantage utilisés dans l’avenir
- 66 % des interrogés avouent avoir des problèmes, dont plus de la moitié en sont conscients, mais les utilisent quand même
- 51 % des personnes interrogées sont inquiètes quant à la confidentialité et à la sécurité des données concernant l’utilisation des QR codes
Vous y êtes ? Très bien, car un homme averti en vaut deux, l’adage fonctionne également avec une femme. Ces conseils de prudence valent également pour toutes réceptions de courriels, clefs USB trouvées au sol, SMS… quelques règles distillées par « France Num » :
- Avant de scanner un QR code, s’assurer qu’il ne couvre pas un autre code
- En cas de doute, ne pas le scanner
- Vérifier l’URL proposée sur la notification avant de cliquer sur la redirection. Si elle est étrange ou très courte, quitter la notification
- Il doit vous amener à une information souhaitée, si ce n’est pas le cas, fermez la page et effacer l’historique de son navigateur
- S’il arrive vers une application de l’AppStore ou de Google Play, s’assurer que l’entreprise mentionnée sur cette page a bien développé l’application demandée
- Ne pas installer d’applications de sécurité à partir d’un lien scanné. On cherche à installer sur votre smartphone ou tablette, un logiciel malveillant (malware)
- Être méfiant sur les QR codes distribués sur des cartes, mentionnés sur des affiches lors d’évènements ou placés dans des lieux publics
Ping : Problèmes sur l’authenticité du « passe sanitaire » – Libre Expression
Ping : Le jackpotting sévit en France – Libre Expression
Ping : Attention aux possibles arnaques au QR code en France, elles sévissent déjà aux États-Unis – Libre Expression