Les cybercriminels s'attaquent désormais au QR code pour accéder aux données personnelles des consommateurs
Le smartphone continue d'être le terminal préféré des utilisateurs pour communiquer, se divertir, et effectuer des transactions simplement. Le QR code apparaît alors comme un mécanisme de saisie rapide et pratique pour rendre les transactions mobiles plus efficaces. L'utilisation de ces codes s'est développé dans de nombreux domaines, notamment le marketing produits, l'emballage, les restaurants, la vente au détail, et les loisirs notamment. En cette période inédite, les QR codes contribuent à limiter les contacts directs entre les entreprises et les consommateurs dans tous les milieux : des restaurants aux salons de beauté, en passant par les centres de remise en forme. Les utilisateurs ont alors la possibilité de scanner le code facilement, et faire des achats de produits ou de services.
Une enquête réalisée en septembre 2020 par MobileIron a révélé que 86 % des personnes interrogées avaient scanné un QR code au cours de l'année précédente et que plus de la moitié (54 %) ont signalé une augmentation de l'utilisation de ce système depuis le début de la pandémie. Les personnes interrogées se sentaient plus en sécurité en utilisant ce mécanisme dans les restaurants ou bars (46 %) ainsi que chez les détaillants (38 %). Deux tiers des répondants (67 %) estiment quant à eux que cette technologie facilite la vie dans cette période où le contact est à éviter et, plus de la moitié (58 %) souhaitent qu'elle soit utilisée plus largement à l'avenir.
1,7 milliard est le chiffre estimé pour le nombre de coupons utilisant des codes QR scannés dans le monde en 2017, ce nombre devrait être multiplié par trois pour atteindre 5,3 milliards d'ici 2022. L'utilisation des QR codes sur les emballages de produits de consommation a également fortement augmenté en effet, ces emballages "intelligents" augmentent à un taux annuel de 8 % dans le monde.
Le rapport révèle également que si 69 % des personnes interrogées pensent pouvoir distinguer une URL malveillante, seules 37 % pensent être capable de détecter un QR code malveillant. Près des deux tiers (61 %) des personnes interrogées savent que ces codes peuvent ouvrir un site web et près de la moitié (49 %) savent qu'un QR code peut télécharger une application. Néanmoins, moins d'un tiers (31 %) sont au courant que ce code peut effectuer un paiement, inciter un utilisateur à suivre quelqu'un sur les réseaux sociaux (22 %) ou encore à passer un appel téléphonique (21 %). Un quart des répondants admettent avoir scanné un QR code ayant eu un résultat inattendu (comme être redirigé sur un site web douteux), et 16% affirment ne pas être sûr que le QR code ait réellement accompli sa mission.
Le manque de connaissances des utilisateurs sur le fonctionnement de cette technologie en fait un outil utile pour les cybercriminels. Dans le passé, ils ont été utilisés au sein de programmes de phishing pour pouvoir éviter aux solutions anti-phishing d'identifier des URL malveillantes dans les emails. Ils peuvent également être utilisés sur des sites web ou les réseaux sociaux.
Dans ce type de stratagème, les victimes scannent des QR codes frauduleux et se retrouvent sur des sites web malveillants où il leurs est demandé de fournir des identifiants, des informations personnelles, des noms d'utilisateurs, des mots de passe, ainsi que des informations de paiement, que les criminels exploitent ensuite. Ces sites peuvent également être utilisés pour simplement télécharger des programmes malveillants sur l'appareil d'un utilisateur.
L'éditeur de logiciel McAfee prédit que les cybercriminels utiliseront de plus en plus ces systèmes de QR codes et les élargiront également en utilisant des techniques d'ingénierie sociale. Par exemple, sachant que les professionnels cherchent à télécharger des applications qui génèrent des QR codes, les acteurs malintentionnés inciteront les consommateurs à télécharger des applications malveillantes qui prétendent faire la même chose. Malheureusement, au lieu de générer un code, l'application volera les données du propriétaire, que les escrocs pourront ensuite utiliser à diverses fins frauduleuses.
Malgré le fait que les QR codes soient considérés comme un mécanisme sûr, il est fort probable que cette technologie soit utilisée à mauvais escient par des acteurs malveillants en 2021 et au-delà.