Comment scanner un QR-Code en toute sécurité en 2024 ?

Divers7 min read

Avez-vous constaté l’omniprésence des QR-Codes, ces codes-barres carrés particuliers, dans votre quotidien ? Menus de restaurants, affichages publicitaires, pass sanitaires, musées, emballages produits… Ces dernières années, l’utilisation des codes QR s’est généralisée. Cependant, comme toute nouvelle technologie, elle peut être également exploitée à des fins malveillantes, par le biais d'escroqueries par phishing, ce que l'on appelle communément les « escroqueries au code QR ».

Si nous abordons les sujets QR-Code et sécurité aujourd’hui, c’est parce qu’Anghello propose des QR-Codes pour l’enregistrement des visiteurs. Il nous semble donc judicieux de lever le voile sur ces tentatives malveillantes et les bonnes pratiques pour les éviter.

Le QR-Code expliqué en bref

Initialement créés dans les années 90 par une entreprise japonaise, les QR-Codes sont des codes-barres améliorés. Le code-barre classique, inventé dans les années 70, se compose d’une série linéaire de barres et d'espaces d'épaisseurs variables. Il est assez limité et est utilisé pour retranscrire l’identifiant unique d’un produit (code EAN composé de chiffres).

Les QR-Codes utilisent une représentation en 2 dimensions, ce qui leur offre plus de possibilités :

  • Ils peuvent contenir plus d’informations, tels que du texte libre, un email, ou une longue URL
  • Ils sont aussi beaucoup plus rapides et faciles à scanner, quels que soient l’angle ou la caméra utilisée. D’ou leur nom “QR Code”, qui signifie “Quick Response Code” (“code à réponse rapide”).

Et les flashcodes ? Même si les 2 se ressemblent visuellement, flashcode est une marque déposée par l'Association Française du Multimédia Mobile (AF2M), alors que le QRCode est une norme de codes-barres à 2 dimensions (tout comme le Datamatrix, autre norme moins connue du grand public).

Qu’est ce que le Quishing ou “l'arnaque au QR code” ?

Il s’agit d’une technique d’escroquerie utilisée par les pirates pour inciter leurs victimes à scanner des QR codes malveillants. Ces QR-codes vous redirigent alors vers de faux sites web (sites de phishing) ou des programmes malveillants pour voler vos informations.

Le nom “Quishing” est d’ailleurs la contraction des 2 termes "QR code" et "phishing", le fishing (ou hameçonnage) utilisant une stratégie similaire mais basé sur les faux-emails.

Concrètement, voici comment se déroule une attaque au quishing :

  1. Le pirate génère un QR code qui redirige vers un site d’hameçonnage ou vers un logiciel malveillant à télécharger. Il le déguise souvent pour qu’il s’adapte au contexte et incite la victime à le scanner.

  2. L’attaquant communique ce QR code stratégiquement, en fonction des victimes ciblées:

    • affichage sur des supports physiques dans les lieux public (métro, feu de signalisation…),

    • envoie sur internet à des victimes ciblées par email, messagerie instantanée ou via les médias sociaux.

    • en le collant discrètement par dessus un “vrai” QR-code existant (affiche publicitaire, menu de restaurants, accueil d’établissements) afin de tromper leur victime, croyant que le QR Code est sûr.

  3. La victime scanne le QR code avec son smartphone et est redirigée vers le site web malveillants qui se fait souvent passer pour un organisme bien connu (banques, service public, services de livraisons, etc.) afin de vous inciter à communiquer des informations sensibles (identifiant, mot de passe, numéro de carte bancaire…).

Comment se protéger des attaques par QR-Code

Visuellement, il n’y a aucune méthode certifiant qu’un QR code est sûr ou malveillant : il y a des dizaines de variantes graphiques de QR Codes (matrice utilisant des carrés, des cercles, des couleurs, un logo intégré, …).

Mais comme pour les tentatives de phishing, il existe des règles de bon sens et des réflexes à adopter pour éviter de vous faire hameçonner :

  • Méfiez-vous des QR-Codes qui semblent rajoutés par-dessus un support physique existant.
  • Privilégiez l’application native de lecture de votre téléphone : les lecteurs natifs de votre smartphone peuvent proposer des mécanismes pour détecter et bloquer les urls malveillantes, alors que de nombreuses applications gratuites de lecture de QR-Code sont susceptibles d’être moins fiables, et dont l’origine est parfois douteuse.
  • Vérifiez systématiquement l’url de destination du QR-Code avant de l’ouvrir : celle-ci est généralement affichée lors du survol du QR-Code avec l’appareil photo.
  • Questionnez-vous si des informations sensibles vous sont demandées après le scan du QR-Code, tels que mot de passe, informations bancaires…

Comment scanner un QR-Code depuis un smartphone ?

Chaque marque de smartphones propose différents outils et méthodes pour scanner un QR Code, surtout les modèles fonctionnant avec le système d’exploitation Android et leur surcouche applicative.

Méthodes génériques à tous les smartphones Android

La plupart des smartphones Android récents disposent de l’application Google Lens pré-installée. Cette application est directement accessible dans la barre de recherche ou l’assistant Google, sous la forme d’une icône ressemblant à un appareil photo :

Pour scanner un qr-code avec Google Lens sous Android :

  1. Ouvrir Google Lens,
  2. Lors de la première utilisation de Google Lens, vous devez l’autoriser à utiliser votre appareil photo.
  3. Survolez le qr-code (l’angle n’a pas d’importance).
  4. ne fois le QR-Code détecté, une notification s'affiche avec une action recommandée. Étant donné que la plupart des QR codes contiennent une adresse web, elle suggérera d'ouvrir l’adresse web dans votre navigateur web par défaut.
  5. Appuyez sur la notification ou sur le déclencheur photo pour ouvrir l’url contenu dans le QR-Code dans votre navigateur.

Méthodes spécifiques pour les principales marques de smartphones Android

Smartphones Google Pixel :

  • Ouvrez l'application appareil photo, vous trouverez une icône dans la partie inférieure gauche de l’écran.
  • C'est l'icône Google Lens, cliquez sur cette icône pour continuer le scan de QR-Code avec Google Lens.

Smartphones Android Samsung :

  • Utilisez l’appareil photo, le lecteur de code est nativement inclus dans le logiciel de l'appareil photo.
  • Survolez le Qr-code et procédez comme avec Google Lens.
  • A noter que Samsung intègre souvent un raccourci pour la lecture de QR-Code dans le panneau de raccourcis Android.

Smartphones Android Xiaomi :

  • Utiliser l’appareil photo, la reconnaissance de QR Code est normalement activée par défaut sur la plupart de leurs modèles.
  • Survolez le QR-Code,
  • Si la notification n'apparaît pas automatiquement, une icône QR-Code devrait s’afficher dans le coin inférieur droit de l'écran.
  • Appuyez sur cette icône pour voir l'URL contenue dans le QR-Code et l'ouvrir si vous le souhaitez.

Smartphones Android Huawei / Honor :

  • Utiliser également l’application appareil photo ou l’application de lecteur de QR-Code EMUI propre à la marque et installée par défaut.

Smartphones Android Asus :

  • Utiliser l’appareil photo, la reconnaissance de QR Code est activée par défaut comme pour les Xiaomi.

Smartphones Android Realme:

  • Comme pour les Google Pixel, vous trouverez l’icône Google Pixel dans la partie inférieure gauche de l’application appareil photo.
  • Cliquez sur cette icône pour continuer le scan de QR-Code avec Google Lens.

Iphone d’Apple:

  • Ouvrir l’application appareil photo native d’iOS
  • Pointez l’objectif sur le QR Code, l’appareil photo détecte automatiquement le code QR et le surligne.
  • Appuyez sur la notification qui apparaît lorsque le QR-Code est détecté.

Conclusion

Si vous avez le moindre doute sur un QR Code, ne le flashez pas et signalez-le à l’établissement concerné afin de prévenir toutes tentatives d’escroqueries.

Privilégiez l’utilisation des lecteurs fournis par défaut ou l’application Google Lens plutôt que les applications proposées sur les marketplaces.

Anghello propose 2 options supplémentaires pour sécuriser l’usage des QR-Codes pour son application d’enregistrement des visiteurs :

  • Sa propre application de lecture qui ne nécessite aucune installation sur le smartphone du visiteur, et qui n’ouvre que les URLs générées par ses services.
  • Une compatibilité avec les boîtiers de QR-codes dynamiques, affichant des QR codes à usage unique qui changent à intervalle régulier. C'est une bonne alternative aux QR codes imprimés pour les besoins de pointage géo-localisé.

Modernisez et sécurisez votre gestion des visiteurs en quelques clics