Par Haas Avocats
Le « quishing » (phishing par QR Code) est une nouvelle cyberattaque exploitant les QR Code, c’est-à-dire des codes-barres à deux dimensions. Cette appellation résulte de la combinaison des mots « QR code » et « phishing » (ou « hameçonnage » en français).
Le phishing repose traditionnellement sur des courriels frauduleux ou des sites web trompeurs. Cette technique a été améliorée au fil des années et se base aujourd’hui sur des éléments réels visant à tromper la personne ciblée. L’un des exemples les plus courants dans le milieu professionnel est « l’arnaque au président ».
Les QR codes visent notamment à faciliter l’expérience utilisateur. Accéder à un menu dès l’arrivée au restaurant, payer son ticket de transport, il suffit d’un smartphone et d’un accès internet pour rapidement ouvrir la page du QR Code et accéder à un bien ou un service. Ainsi, cette arnaque est particulièrement efficace et difficile à détecter pour les utilisateurs non avertis.
Les attaquants utilisent des QR codes pour rediriger les utilisateurs vers des sites web malveillants ou logiciels malveillants. Ces sites et logiciels, souvent conçus pour imiter des plateformes légitimes, ont pour but de recueillir des informations sensibles, telles que des identifiants de connexion, des mots de passe ou des informations financières. Pourtant, la mise en place de cette arnaque est relativement simple pour les cybercriminels.
Tout d’abord, les cybercriminels génèrent un QR code contenant un URL menant à un site web malveillant ayant l’apparence d’un site légitime.
Le QR code est ensuite distribué par tout moyen. Cette distribution peut se faire par voie électronique (e.g. envoi par courriel, communication sur les réseaux sociaux) ou sur un support matériel (e.g. arrêt de bus, borne de stationnement, table de restaurant). Placés à des endroits stratégiques, les utilisateurs sont aisément incités à scanner le code pour accéder à des produits ou services.
Enfin, une fois le QR code scanné, l’utilisateur est redirigé vers le site malveillant, lequel peut demander à l’utilisateur de communiquer des informations personnelles ou installer des logiciels malveillants sur l’appareil.
En tant que cyberattaque, l’un des enjeux majeurs du quishing est le vol de données. Or, ces codes-barres sont généralement perçus comme pratiques, ce qui rend leur détournement très efficace.
Plusieurs précautions peuvent être prises :
Vérification des sources : avant de scanner un QR code, il faut vérifier d’où il provient. Si le code provient d'une source inconnue, il est préférable de ne pas le scanner.Le quishing est une menace croissante. Toutefois, la sensibilisation, la vigilance, la vérification des sources et l'utilisation d'outils de sécurité appropriés permettent de se protéger contre ce type d'attaque.
***
Le Cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il assiste et défend les personnes physiques et morales dans le cadre de contentieux judiciaires et extrajudiciaires. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.