En décembre dernier, dans le département du Loiret, des automobilistes ont flashé un QR code placé sur une borne de recharge pour voitures électriques, et leurs coordonnées bancaires ont été piratées. Aujourd’hui, ces cyberattaques par QR codes, appelées « Quishing », sont de plus en plus fréquentes.
Tribune Yubico – Selon un récent rapport, la France se classe troisième au niveau mondial sur le nombre de numérisation des QR codes, avec un total de 4,0 % des scans mondiaux, soit une augmentation de 51,14 % par rapport à 2023. Ils feront même partie du dispositif de sécurité des Jeux 2024, comme vient de l’annoncer le gouvernement, pour circuler dans la capitale. Au fil du temps, les QR codes sont devenus une cible attrayante pour les cybercriminels en tant que nouvelle forme d’attaque de phishing, leur permettant de cibler un grand nombre d’utilisateurs en raison de l’adoption générale et de la facilité de leur utilisation.
Fabrice de Vésian, Sales Manager France chez Yubico, explique comment et pourquoi ces QR codes sont exploités par les cybercriminels, et les mesures qui permettent de se protéger de ce type de cyberattaques.
« Les QR codes sont devenus omniprésents dans de nombreux aspects de la vie quotidienne, notamment pour télécharger une application, accéder à des informations sur un produit ou à un menu. Ils permettent aussi d’envoyer ou de recevoir un paiement, de rejoindre un réseau Wi-Fi, de se connecter à un compte, de participer à des concours, d’assurer des services de billetterie mobile ou encore pour accéder à certains quartiers de Paris durant les Jeux 2024, comme vient de l’annoncer le Ministre de l’Intérieur Gérald Darmanin. Au regard de la diversité des supports utilisés, cela signifie que les consommateurs peuvent être ciblés, tout comme les entreprises. Aussi, les QR codes offrent aux cybercriminels un moyen facile de viser un grand nombre d’utilisateurs, de diffuser des malwares par le biais de liens malveillants insérés dans les QR codes, que les utilisateurs peuvent scanner involontairement, les redirigeant vers des sites web frauduleux ou en leur faisant télécharger des fichiers malveillants sur leur appareil.