Régler une dépense en utilisant un code QR peut être très pratique. Il suffit de scanner le code et de suivre les étapes pour autoriser la transaction. Néanmoins, ce système est loin d’être sans risque. Des escrocs peuvent notamment l’exploiter en remplaçant un code QR légitime par un autre malveillant. L’essor du code QR grâce à sa flexibilité Depuis 2020 et l’épidémie de COVID-19, le code QR a gagné en popularité. Les restaurants et bars l’ont par exemple adopté pour remplacer les traditionnelles cartes listant les plats et boissons proposés. Il évite ainsi tout contact, conservant un aspect plus hygiénique. Pour l’utiliser, c’est plutôt simple. Il suffit de dégainer un smartphone, de se connecter à Internet et de scanner le code en question avec l’application dédiée. Une fois celui-ci lu, il est transformé en un lien que l’utilisateur peut suivre pour accéder aux informations. Il peut également être utilisé pour payer un service ou une prestation. Nul besoin alors de sortir sa carte bancaire pour payer. En plus, cette solution évite au prestataire de s’équiper avec un terminal de paiement. Il suffit d’une solution pour générer un code QR à présenter au client. Celui-ci peut être imprimé et présenté au format physique ou simplement affiché sur un smartphone ou tout autre écran qui ne nécessite pas forcément d’être connecté à Internet. Les avantages sont donc multiples, d’autant qu’il est possible de générer dynamiquement des codes QR pour ajuster le montant du paiement à la situation. Cette option nécessite toutefois une connexion Internet pour mettre à jour les informations en temps réel. Les risques de payer avec un code QR Lorsqu’on voit un code QR, on ne sait pas ce qu’il cache. On se retrouve simplement face à un code-barres de forme carrée composé de formes noires et blanches. Lorsqu’on le scanne, on obtient un lien qui peut être plus ou moins explicite. Parfois, on découvre un alias court qui ne donne aucune indication sur la page de destination. Seule la présence du protocole “https” permet d’indiquer un minimum de sécurité en confirmant la présence d’un certificat d’authentification lié à la page web. Dans tous les cas, le code QR n’offre aucune sécurité lui-même. Les arnaqueurs peuvent donc en profiter pour masquer leurs intentions. Ainsi, en générant un code QR renvoyant vers un site malicieux, ils peuvent tromper la vigilance des utilisateurs pour leur soutirer des informations personnelles ainsi que des données sensibles comme les données bancaires. Plus simplement, ils peuvent également mettre en place un faux paiement pour vous escroquer. La flexibilité du système est justement exploitée pour créer une attaque polymorphe comme nous l’évoquions en mars dernier. Les escrocs peuvent en effet générer un code QR au format physique et le diffuser partout. Il peut être ajouté à un document papier, placé sur un catalogue, mis dans un sac en plastique ou encore collé par-dessus un code légitime au niveau d’un horodateur ou d’une borne de recharge. Cela peut également survenir dans tout lieu affichant justement le sésame. En ligne, les risques sont également présents. Les malfaiteurs peuvent mettre en place de faux sites ou envoyer des emails malicieux qui contiennent un code QR. Généralement, ils imitent la communication d’une entité qui a pignon sur rue pour tromper la vigilance de leurs potentielles victimes. C’est souvent le cas avec des arnaques qui exploitent l’image de célèbres transporteurs pour indiquer un souci avec un colis en transit. Ils peuvent également être intégrés à un site pour finaliser une commande par exemple. Comment se protéger ? Dans l’idéal, mieux vaut éviter de payer avec un code QR. Sinon, il faut bien vérifier que ce dernier n’est pas présent sur un autocollant qui aurait pu être ajouté a posteriori. Lorsque vous le scannez, vérifiez l’adresse du site vers lequel vous allez être redirigé. Mieux vaut privilégier un site en “https” et s’assurer que ce dernier correspond à l’entité pour laquelle on désire émettre un paiement. Si vous recevez un code QR d’une origine inconnue, surtout ne le scannez pas, même si le message qui l’accompagne joue sur l’urgence pour vous demander un paiement pour débloquer une situation. La méfiance est de mise, et ce, que ce soit sur Internet ou dans les lieux publics. Mise à jour : Précisons tout de même que les arnaques aux codes QR sont peu communes en Belgique pour l’heure et que des systèmes de sécurité sont mis en place pour protéger les utilisateurs lors des paiements. Le risque vient principalement de codes QR qui cachent un lien malveillant redirigeant vers un site conçu pour subtiliser les données sensibles.