Faire face à la menace croissante du « Quishing »

avril 2024 par Fabrice De Vesian, Channel Manager chez Yubico

En décembre dernier, dans le département du Loiret, des automobilistes ont flashé un QR code placé sur une borne de recharge pour voitures électriques, et leurs coordonnées bancaires ont été piratées. Aujourd’hui, ces cyberattaques par QR codes, appelées « Quishing », sont de plus en plus fréquentes. Selon un récent rapport, la France se classe troisième au niveau mondial sur le nombre de numérisation des QR codes, avec un total de 4,0 % des scans mondiaux, soit une augmentation de 51,14 % par rapport à 2023.

Ils feront même partie du dispositif de sécurité des Jeux 2024, comme vient de l’annoncer le gouvernement, pour circuler dans la capitale. Au fil du temps, les QR codes sont devenus une cible attrayante pour les cybercriminels en tant que nouvelle forme d’attaque de phishing, leur permettant de cibler un grand nombre d’utilisateurs en raison de l’adoption générale et de la facilité de leur utilisation.

Fabrice de Vésian, Sales Manager France chez Yubico, explique comment et pourquoi ces QR codes sont exploités par les cybercriminels, et les mesures qui permettent de se protéger de ce type de cyberattaques.

« Les QR codes sont devenus omniprésents dans de nombreux aspects de la vie quotidienne, notamment pour télécharger une application, accéder à des informations sur un produit ou à un menu. Ils permettent aussi d’envoyer ou de recevoir un paiement, de rejoindre un réseau Wi-Fi, de se connecter à un compte, de participer à des concours, d’assurer des services de billetterie mobile ou encore pour accéder à certains quartiers de Paris durant les Jeux 2024, comme vient de l’annoncer le Ministre de l’Intérieur Gérald Darmanin. Au regard de la diversité des supports utilisés, cela signifie que les consommateurs peuvent être ciblés, tout comme les entreprises. Aussi, les QR codes offrent aux cybercriminels un moyen facile de viser un grand nombre d’utilisateurs, de diffuser des malwares par le biais de liens malveillants insérés dans les QR codes, que les utilisateurs peuvent scanner involontairement, les redirigeant vers des sites web frauduleux ou en leur faisant télécharger des fichiers malveillants sur leur appareil.

Tout comme les autres méthodes de phishing, ce type d’attaque repose sur la confiance. Les codes frauduleux sont ainsi placés dans des lieux physiques qui les font paraître légitimes, en étant présents sur des affiches publicitaires, des emballages, des sites web ou encore des cartes de visite. Ils peuvent également être exploités dans le cadre de campagnes de phishing pour inciter les utilisateurs à divulguer des informations sensibles telles que des identifiants de connexion, des mots de passe voire même données bancaires.

Pour se protéger de toute tentative d’attaque, il est donc essentiel d’être conscient des risques potentiels qui sont associés à ces QR codes et d’adopter d’importantes mesures de sécurité. En ayant recours à des scanners de QR code provenant uniquement de sources officielles qui permettent de détecter toute anomalie ou tentative de manipulation, les utilisateurs peuvent réduire le risque de télécharger des applications malveillantes. De plus, il est primordial de ne jamais saisir d’informations personnelles en réponse à un code suspect, de privilégier les méthodes de paiement sécurisées et d’éviter de divulguer des informations bancaires via un QR code.

En maintenant régulièrement à jour les logiciels et applications, les utilisateurs bénéficient par ailleurs des dernières fonctionnalités de sécurité et correctifs, renforçant ainsi la résistance de leurs appareils contre les menaces potentielles. Enfin, l’adoption de l’authentification multi-facteur (MFA) résistante au phishing, telles que des clés de sécurité matérielles, ajoute une couche supplémentaire de protection en cas de tentative d’usurpation d’identité ou de phishing. Par exemple, si un cybercriminel parvient à inciter un utilisateur de scanner un QR code malveillant, la MFA peut contrecarrer l’accès non autorisé à un compte ou à des données sensibles. Ceci est réalisé en demandant à l’utilisateur de fournir quelque chose qu’il sait, comme un code secret, et quelque chose qu’il possède, comme une clé de sécurité, et requiert une deuxième vérification grâce à l’insertion ou au touché de la clé.

En mettant en pratique ces mesures de sécurité, les utilisateurs, qu’il s’agisse de particuliers ou d’entreprises, peuvent se protéger de manière proactive contre le quishing et réduire les risques pour leurs appareils et leurs informations personnelles ; un enjeu majeur au regard de l’omniprésence de ces QR codes au quotidien. »