Les codes QR font depuis longtemps partie de notre quotidien. On les trouve sur les horodateurs, les menus, les affiches publicitaires ou les colis. Les banques, les administrations et les fournisseurs d'énergie les utilisent dans leurs courriers et leurs e-mails pour rediriger leurs clients vers des pages de paiement ou des formulaires. C'est précisément cette commodité qui rend les codes QR attrayants pour les criminels. Les experts parlent de quishing.
Le principe est simple : les utilisateurs scannent un code QR falsifié et sont redirigés vers un site web frauduleux. Là, ils sont invités à saisir des données personnelles, à divulguer leurs identifiants ou à effectuer des paiements. Contrairement aux liens Internet classiques, beaucoup de gens ne se rendent pas compte immédiatement du danger, car l’adresse de destination réelle reste invisible avant le scan.
Les cas de quishing se multiplient, en particulier dans les lieux publics. Sur les horodateurs, par exemple, des escrocs collent de faux autocollants QR par-dessus les codes d’origine. Quiconque scanne le code se retrouve sur une page de paiement d’apparence authentique et transfère directement de l’argent aux criminels.
Il convient donc d'examiner avec une attention particulière les codes QR dans les lieux publics. Des autocollants suspects, des panneaux mal collés ou des codes d'origine recouverts peuvent être des indices de manipulation. Dans la mesure du possible, les utilisateurs devraient vérifier si l'adresse Internet semble plausible après le scan. De nombreux smartphones affichent l'adresse de destination avant l'ouverture. Si l'orthographe, le nom du fournisseur ou le domaine ne correspondent pas exactement au service attendu, il convient d'interrompre immédiatement l'opération.
Il est souvent plus sûr d’utiliser directement l’application officielle d’un fournisseur. Si vous connaissez déjà l’adresse Internet d’un service, il vaut mieux la saisir manuellement plutôt que de scanner un code QR. En cas de doute, les paiements par carte sans contact ou les méthodes de paiement classiques constituent également un choix plus sûr.
De plus en plus, les criminels utilisent également des codes QR dans des e-mails ou des courriers. Ils y remplacent les liens Internet classiques, car de nombreux programmes de sécurité détectent désormais de manière fiable les URL suspectes. Un code QR, en revanche, est vérifié de manière moins rigoureuse par certains systèmes de protection. Particulièrement perfide : ces courriers ont souvent l’air officiels et imitent des banques, des services de livraison, des fournisseurs d’énergie ou des administrations.
Les destinataires doivent donc rester méfiants, même face à des courriers ou des e-mails. Si l'on vous presse d'agir rapidement, par exemple en raison de factures prétendument impayées, de comptes bloqués ou de livraisons manquées, la prudence est de mise. Personne ne devrait saisir de données sensibles ou d'informations de paiement sans avoir vérifié l'authenticité de la source. En cas de doute, il est recommandé de contacter directement l'entreprise via des numéros de téléphone connus ou des sites web officiels.
Des mesures de protection techniques peuvent également s'avérer utiles. De nombreux antivirus et solutions de sécurité vérifient désormais les codes QR pour détecter les sites frauduleux connus. Les smartphones doivent être mis à jour régulièrement afin de combler les failles de sécurité. Il est également recommandé d'utiliser l'authentification à deux facteurs pour les comptes en ligne importants.
Les experts estiment que le quishing va continuer à se développer dans les années à venir. En effet, les codes QR sont considérés comme pratiques, rapides et simples d'utilisation – et c'est précisément ce dont profitent les fraudeurs. Les consommateurs doivent donc apprendre à remettre en question de manière critique même les scans apparemment inoffensifs. Un bref moment de vérification peut empêcher qu'un simple scan ne se transforme en une fraude coûteuse.
