Les dangers des QRcode

Un article pour compléter celui que j’ai récemment publié.

https://humm.loverde.fr/?p=9383

J’ai été un peu rapide sur le sujet et j’estime que c’était suffisant mais comme il en est beaucoup question en ce moment, à cause de mésaventures d’utilisateurs peu méfiants, je suis obligé de faire une mise au point.

Les risques

1. Le phishing ou hameçonnage
Quishing est le terme utilisé quand les QRcode utilisent le phishing.
Le phishing intégre un site de connexion dans la page de destination et invite à saisir des informations importantes telles que des coordonnées bancaires.
Le QRcode n’est qu’un moyen d’atteindre la page. Rien de nouveau dans le Landerneau.

2. Distribution de contenu malveillant
Certains QRcode téléchargent automatiquement une application contenant un logiciel malveillant (*)(voir plus bas)

3. Sites d’annuaire suspects
Ce risque de sécurité lié au code QR est principalement utilisé pour inciter les gens à payer pour les services publics et les services qu’ils utilisent.
Obtenir un certificat de non gage pour vendre un véhicule est gratuit en France et des sites proposent la même chose moyennant paiement et un abonnement à leur service. C’est mentionné et vous avez donné votre accord par un clic sans trop vous en rendre compte.
https://verif-auto.com/ (vous n’êtes pas obligé de cliquer)

Là encore, le QRcode n’est qu’un moyen d’atteindre la page qui va vous piéger en tablant sur votre manque de vigilance.

Se prémunir

1. Évaluer la sécurité de l’URL
Si le code QR vous dirige vers une URL suspecte, la première étape est l’évaluation de la sécurité de l’URL en vérifiant l’authenticité de son domaine et l’entreprise qui s’y associe.
Soit en utilisant des vérificateurs de domaine gratuits disponibles en ligne, comme

https://www.urlvoid.com// ou

https://fr.scamdoc.com/

Attention toutefois, le site bit.ly est fiable, c’est un raccourcisseur d’URL. Son rôle est de diminuer la taille d’URL de sites. Il ne fait que des redirections vers d’autres sites qui eux, peuvent être frauduleux.

Soit en vérifiant le certificat SSL du site (certificat numérique qui fournit une authentification de site Web) par un clic sur l’icône d’information du domaine dans la barre de recherche d’URL.

2. Se méfier des liens bit.ly
Les URL suspectes utilisent des raccourcisseurs d’URL pour les déguiser en sites légitimes. bit.ly par exemple est gratuit et permet aux utilisateurs de raccourcir leurs URL.
Pour vérifier l’URL d’origine du lien, copiez le lien bit.ly dans la barre d’adresse en ajoutant un + à la fin. Il faut être abonné et c’est gratuit.

3. Sécurisez votre smartphone
Indispensable pour empêcher l’installation de programmes indésirables.
Sujet déjà abordé :
https://atelierinformatiqueutl.wordpress.com/securiser-son-smartphone/
https://www.cnil.fr

4. Le lecteur de qrcode (*)
Assurez-vous que votre application affiche d’abord ce que le code contient avant d’exécuter la fonction.

Une application parmi d’autres qui fait le job comme convenu :

https://play.google.com/store/apps/details?id=com.scanteam.qrcodereader

Résultat du scan de la première image

Assurez-vous également que l’URL commence par https://, ce qui est automatique si vous avez pris les précautions d’usage :

https://atelierinformatiqueutl.wordpress.com/#https

Il va de soi que le danger ne peut venir que d’un QRcode aboutissant à un lien, les autres (texte, géolocalisation, vcard…) sont inoffensifs.

bit.ly/Christian_Loverde

Partager :

(3 commentaires)

  1. Christian, je t’ai cité dans mon article d’aujourd’hui. J’espère que cela ne te gêne pas. Dis-moi si je peux laisser le lien vers ton article ou si je dois l’ôter. Merci.

Laisser un commentaire