La distanciation sociale et les gestes barrières ont contribué à un retour en force des QR Codes que l’on prend en photo pour accéder à une carte de restaurants, à un programme, à un plan afin de limiter les échanges de documents. Une pratique anodine qui n’est pourtant pas sans risque !

Avec la pandémie de COVID-19, nombre d’entreprises, bars, restaurants, salles de spectacles, lieux de loisirs et de cultures ont trouvé dans les QR Codes, ces étranges codes carrés que l’on prend en photo avec son smartphone, un moyen pratique d’éviter l’échange de documents et autres supports susceptibles de véhiculer le coronavirus.

Selon une nouvelle étude MobileIron, près de la moitié (47 %) des personnes interrogées ont remarqué une augmentation significative de l’utilisation des codes QR dans leur quotidien, notamment depuis le déconfinement.

Une pratique commune et qui devrait se perpétuer dans le temps. Selon l’étude :

–  84 % des personnes interrogées ont déjà scanné un code QR auparavant, 32 % la semaine dernière et 26 % le mois dernier.
–  Au cours des six derniers mois, 38 % des répondants ont scanné un code QR dans un restaurant, un bar ou un café, 37 % chez un commerçant et 32 % sur un produit de consommation.
–   53 % des répondants souhaitent que les codes QR soient plus largement utilisés dans le futur.

Le problème, c’est que ces QR codes ne sont pas aussi inoffensifs qu’ils en ont l’air. Des cybercriminels n’ont aucune difficulté à les masquer par des QR Codes trafiqués menant directement à des sites infectés, des sites de Phishing ou des URL de téléchargement de fichiers malveillants.
La menace est sérieuse notamment pour les entreprises. Car les smartphones personnels sont souvent utilisés pour les activités professionnelles (principe du BYOD). Et même lorsque les utilisateurs disposent de terminaux professionnels, ils ont tendance à utiliser ces derniers hors des contextes professionnels, notamment dans les restaurants le midi pour flasher les QR codes des cartes.

« Les hackers lancent des attaques sur tous les vecteurs de menaces mobiles. Ils ciblent notamment les courriels, les messages texte, les SMS, les messages instantanés, les médias sociaux et d’autres modes de communication », constate Alex Mosher, vice-président Solutions de MobileIron. « Je pense que nous allons bientôt assister à un assaut d’attaques via les QR codes. Un hacker pourrait facilement incorporer une URL malveillante dans un QR code. Cette URL pourrait contenir un logiciel malveillant personnalisé. Le hacker pourrait ainsi exfiltrer les données de l’appareil mobile dès que le QR code st scanné. Autre stratégie, un hacker pourrait incorporer dans un QR code une URL malveillante dirigeant l’utilisateur vers un site de phishing et l’encourageant à divulguer ses identifiants. Il lui suffirait ensuite d’utiliser ces informations pour infiltrer l’entreprise ».

La menace est d’autant plus sérieuse que les utilisateurs de smartphones sont rarement très attentifs à ce qu’ils font aux commandes de leur terminal mobile. En outre, les mobiles sont plutôt moins protégés que les ordinateurs. Rares sont les terminaux Android équipés d’un antivirus.

Le plus grand risque est comme souvent le manque de sensibilisation des utilisateurs. Face à un QR Code rares sont ceux qui pensent aux risques cyber. L’étude montre en effet que :

– 71 % des personnes interrogées ne font pas la distinction entre un QR code légitime et un QR code malveillant, alors que 67 % affirment faire la distinction entre une URL légitime et une URL malveillante.
–  67% des répondants savent que les QR codes QR peuvent ouvrir une URL, ils sont moins conscients des autres actions possibles. Typiquement, seuls 19 % des répondants savent que le fait de balayer un QR code peut créer un e-mail. Seuls 20 % savent qu’un simple flashage de code peut lancer un appel téléphonique et 24 % savent qu’il peut créer un message SMS.
–   51 % des personnes interrogées expriment des inquiétudes quant à la confidentialité, la sécurité, les finances, et d’autres domaines dans leur usage des QR Code, mais elles les utilisent quand même. 34 % n’ont aucune inquiétude au moment d’utiliser un QR Code.

Pour Alex Mosher « il est urgent que les entreprises repensent leur stratégie de sécurité en matière de mobiles » et sensibilise leurs collaborateurs aux risques inhérents aux QR Codes.