Les QR codes font fureur et les escrocs l’ont remarqué. « Méfiez-vous de ces petits carrés noirs et blancs », prévient Benoit Grunemwald, expert en cybersécurité chez Eset France.

Les QR codes ont le vent en poupe. Ces modestes carrés existent peut-être depuis 1994, mais ils sont réellement devenus célèbres depuis la crise du Covid-19. Aujourd’hui, vous pouvez les apercevoir partout, les codes étant utilisés pour l’affichage des menus de restaurants jusqu’aux transactions sans contact en passant par des applications de partage de contacts.
Toutefois, comme toute autre technologie courante, l’utilisation généralisée des QR codes a également attiré l’attention des escrocs, à des fins criminelles. Cette tendance a même suscité une alerte de la part du FBI (Federal bureau of investigation) aux États-Unis. Comment les fraudeurs utilisent-ils les codes à des fins illicites ?

Qu’est-ce qu’un QR code et comment fonctionne-t-il ?
Abréviation de ‘Quick response’, un QR code est un type de code-barres interprétable par une machine instantanément. Un QR code peut contenir jusqu’à 4 296 caractères alphanumériques, ce qui permet un décodage facile par l’appareil photo d’un smartphone.
Les chaînes de texte qui sont codées dans un QR code peuvent contenir une variété de données. L’action déclenchée par la lecture d’un QR code dépend de l’application qui interagit avec ledit code. Les codes peuvent être utilisés pour naviguer vers un site web, télécharger un fichier, ajouter un contact, se connecter à un réseau Wi-Fi et même effectuer des paiements. Les QR codes sont très polyvalents et peuvent être personnalisés pour inclure des logos. Les versions dynamiques des QR codes vous permettent même de modifier le contenu ou l’action à tout moment. Cette polyvalence peut toutefois être une arme à double tranchant.

Comment les QR codes peuvent être exploités ?
Le grand nombre de cas d’utilisation des QR codes (et le potentiel d’utilisation abusive) n’échappe pas aux fraudeurs. Voici comment les cybercriminels peuvent détourner les codes pour voler vos données et votre argent :

1.     Redirection vers un site web malveillant pour voler des informations sensibles : Les attaques d’hameçonnage ne se propagent pas uniquement par e-mails, des messages instantanés ou des SMS. Tout comme les attaquants peuvent utiliser des publicités malveillantes et d’autres techniques pour vous diriger vers des sites frauduleux, ils peuvent faire de même avec les codes QR.

2.      Téléchargement d’un fichier malveillant sur votre appareil : De nombreux bars et restaurants utilisent des QR codes pour télécharger un menu au format PDF ou installer une application vous permettant de passer une commande. Les attaquants peuvent facilement falsifier le QR code pour vous inciter à télécharger un fichier PDF malveillant ou une application mobile malveillante.

3.     Déclencher des actions sur votre appareil : Les QR codes peuvent déclencher des actions directement sur votre appareil, ces actions dépendant de l’application qui les lit. Cependant, il existe certaines actions de base que tout lecteur QR est capable d’interpréter. Il s’agit notamment de la connexion de l’appareil à un réseau Wi-Fi, de l’envoi d’un e-mail ou d’un SMS avec un texte prédéfini, ou de l’enregistrement des informations de contact sur votre appareil. Bien que ces actions ne soient pas malveillantes en soi, elles peuvent être utilisées pour connecter un appareil à un réseau compromis ou envoyer des messages en votre nom.

4.     Détourner un paiement : La plupart des applications financières permettent aujourd’hui d’effectuer des paiements au moyen de codes QR contenant des données appartenant au destinataire de l’argent. De nombreux magasins vous affichent ces codes pour ainsi faciliter la transaction. Cependant, un attaquant pourrait modifier ce QR avec ses propres données et recevoir des paiements sur son compte. Il pourrait également générer des codes avec des demandes de collecte d’argent pour vous tromper.

5.     Voler votre identité : De nombreux QR codes sont utilisés comme certificat pour vérifier vos informations, comme votre carte d’identité ou votre carnet de vaccination. Dans ces cas, les QR codes peuvent contenir des informations aussi sensibles que celles contenues dans votre pièce d’identité ou votre dossier médical, qu’un attaquant pourrait facilement obtenir en scannant le QR code.

Nous avons adopté les QR codes dans notre vie quotidienne. Et comme avec toutes les nouvelles pratiques, il nous faut prendre de nouvelles habitudes pour rester vigilants. Chaque nouvelle technologie amène son lot d’avantages mais aussi de menaces.

Benoit Grunemwald, expert en cybersécurité chez Eset France

Aujourd’hui, la digitalisation de nos modes de vie n’a jamais été aussi importante explique Edusign, entreprise spécialisée dans l’émargement digital ainsi que dans la gestion de documentation administrative. Notre quotidien s’en est retrouvé profondément bouleversé : dans nos habitudes de travail, de consommation ou encore pour prendre soin de notre santé. L’ensemble de nos démarches, administratives pour exemple, sont toutes devenues digitales ou bien en train de le devenir. Notre identité s’en retrouve par conséquent virtualisée. Une digitalisation qui soulève de nouveaux enjeux et défis.

La digitalisation de nos modes de vie accélérée depuis 2 ans
Le phénomène naturel de digitalisation de nos quotidiens a transformé nos méthodes de consommation et nos modes de vie. Les innovations telles que la signature électronique se sont largement démocratisées, ou encore récemment l’utilisation quotidienne que nous faisons du QR Code. Choc planétaire, la pandémie, a accéléré ce processus de numérisation et a fait naître le pass vaccinal, version en ligne de notre identité sanitaire. Une mise en ligne massive de nos documents administratifs et personnels, qui a développé le concept de détenir une ‘identité virtuelle’.

Les freins et obstacles de cette numérisation
Cette transition peut cependant présenter des obstacles pour les individus ou secteurs réticents aux innovations et changements de modes de vie de part une certaine complexité d’utilisation de prime abord. En effet, chaque innovation majeure s’accompagne d’une phase d’adoption de la population plus ou moins rapide. La digitalisation demande donc l’éducation des industries en retard et des particuliers afin d’avoir un impact global positif sur la société.
L’import massif de nos données sensibles en ligne soulève également la méfiance vis-à-vis de la sécurité de ces dernières et le besoin d’une politique anti-fraude fortement construite.

Faciliter la gestion de notre administratif
Un enjeu compris par Edusign qui permet, grâce à sa plateforme, la centralisation des documents administratifs, notamment dans le domaine de la formation. L’administratif restant le secteur générant le plus de documents, Edusign accompagne les acteurs en pleine transition numérique à l’aide d’une interface facile d’utilisation dont le confort de l’expérience utilisateur est la priorité. En plus d’un gain de temps dégagé grâce à ce type d’outils, la
plateforme assure la sécurité des données grâce à ses systèmes anti-fraude mis en place : liens, mails, QR Codes…

En raison du contexte sanitaire lié à l’épidémie de Covid-19 et plus particulièrement du couvre-feu en vigueur du 18 juin prochain, le spectacle Musiques en fête aux Chorégies d’Orange, qui mêle artistes de renom et jeunes talents, débutera à 19h30 et finira à 22h15.

Ouverture des portes

Les portes du Théâtre antique ouvriront à 17h30, afin que le public puisse se soumettre aux vérifications sanitaires (Pass sanitaire* et contrôle d’identité) et aux contrôles d’usage avant le début de la représentation. L’accès au Théâtre Antique ne sera pas autorisé sans la présentation d’un Pass sanitaire valide.

Port du masque et gel hydroalcoolique

Le port du masque reste obligatoire à partir de 11 ans et des bornes de gel hydro-alcoolique seront disponibles dans l’enceinte du Théâtre Antique. Compte tenu de l’application de la distanciation sociale, ayant entraîné la réduction de la jauge de la salle, aucun reliquat de places disponibles ne restera à la distribution.

Les infos pratiques

Musiques en fête aux Chorégies d’orange. Vendredi 18 juin. 19h30. Théâtre antique. Durée 2h45. Diffusion en direct sur France 3 en juin 2021. 10^e édition ! Réservation ici.

Le Pass sanitaire

Le Pass sanitaire se présente sous la forme d’un QR Code, à importer dans l’application Tousanticovid, rubrique Attestations & Carnet (fonction ‘scanner le QR Code’, ou imprimable depuis le portail Ameli.fr.

L’accès au spectacle sera autorisé

Lorsque le Pass attestera : soit d’une vaccination complète, soit d’un test PCR ou antigénique négatif de moins de 48h, soit le résultat d’un test RT-PCR ou antigénique positif attestant du rétablissement de la Covid, datant d’au moins 15 jours et de moins de six mois. Conformément aux directives du Ministère de la santé, le Pass est exigible pour les adultes et les enfants à partir de 11 ans inclus. Les spectateurs ne résidant pas en France devront se munir d’un document sanitaire officiel, en attendant la mise en place d’un système européen.

QR code

La lecture du QR Code de l’application ou du document ne donnera accès aux Chorégies qu’à l’identité du spectateur, de sa date de naissance, sans aucune autre donnée confidentielle, la validité du Pass étant déterminée par le seul message s’affichant à l’écran : ‘valide’ ou ‘non valide’. Aucune donnée ne sera conservée et le dispositif a été validé par la Cnil (Commission nationale de l’informatique et des libertés). Un Pass sanitaire non valide ne permettra pas au spectateur d’assister au spectacle. Plus d’infos ici.
M.H.