Table des matières
Les QR codes sont devenus une méthode de communication rapide et omniprésente : ils servent à accéder à des menus de restaurant, à effectuer des paiements, à s’inscrire à des événements ou à télécharger des contenus numériques. Cependant, leur popularité attire aussi les escrocs. Les arnaques par QR code sont particulièrement sournoises car le code lui-même est neutre à l’œil nu : un simple carré noir sur fond blanc peut cacher une URL malveillante ou un fichier dangereux.
Même si leur utilisation semble simple et sécurisée, les QR codes présentent des failles exploitables.
Facilité de génération et de modification
Tout le monde peut créer un QR code en quelques secondes à partir d’un générateur gratuit. Les escrocs profitent de cette facilité pour créer des codes imitant ceux des marques officielles ou remplacer un QR code légitime par un QR code frauduleux.
Redirections invisibles
Contrairement à un lien classique que l’on peut inspecter avant de cliquer, le QR code redirige automatiquement vers une URL ou un fichier. L’utilisateur ne voit souvent pas l’adresse réelle avant que l’action ne soit déclenchée, ce qui facilite le phishing et l’installation de malwares.
Absence d’authentification
Scanner un QR code ne nécessite aucun mot de passe ni vérification. Si le code est malveillant, le téléphone peut ouvrir un site frauduleux ou télécharger un fichier automatiquement, augmentant le risque pour l’utilisateur.
Bien que les QR codes soient petits et anonymes, certains indices permettent de détecter une fraude potentielle avant le scan.
Position et support inhabituel
Un QR code placé sur un autocollant superposé sur un panneau officiel, un menu ou un flyer peut être frauduleux. Vérifier si le code est intégré de manière cohérente au support permet d’éviter les pièges.
Apparence déformée ou de mauvaise qualité
Les QR codes imprimés de manière floue, tronquée ou décolorée sont souvent générés par des tiers et collés sur des supports officiels. Une impression approximative ou un code partiellement recouvert par un autocollant peut alerter.
Présence de plusieurs QR codes superposés
Les escrocs superposent parfois leur code sur un code officiel. Cette superposition peut créer un léger décalage ou une épaisseur supplémentaire visible à l’œil nu.
Offres trop alléchantes ou urgentes
Un QR code associé à une offre “immanquable” ou “limitée dans le temps” peut être une tentative de phishing pour inciter à scanner rapidement, sans réflexion. Ces codes sont souvent utilisés pour collecter des informations personnelles ou bancaires.
Plusieurs méthodes permettent de vérifier un QR code avant de se retrouver sur un site ou une application frauduleuse.
Prévisualiser l’URL avec une application sécurisée
Certaines applications ou fonctionnalités intégrées aux smartphones permettent de voir l’adresse exacte du QR code avant d’ouvrir le lien. Si l’URL est inconnue ou comporte des caractères suspects, il est préférable de ne pas scanner.
Vérifier le contexte du code
Un QR code sur une surface inhabituelle, à un emplacement éloigné des zones officielles ou sur un support improvisé, mérite vigilance. Les codes mal placés dans les transports publics ou sur les prospectus non officiels sont souvent frauduleux.
Observer les incohérences visuelles
Les QR codes liés à une marque ou une entreprise doivent correspondre à l’apparence habituelle du support. Un logo manquant, des couleurs déformées ou des dimensions étranges peuvent signaler une manipulation.
En plus de l’inspection visuelle, certaines habitudes augmentent la sécurité.
Désactiver le lancement automatique
Certains smartphones ouvrent automatiquement le lien après le scan. Désactiver cette option permet de contrôler l’URL avant de visiter le site.
Limiter les informations partagées
Ne jamais entrer de données personnelles, mots de passe ou informations bancaires immédiatement après le scan. Les arnaques exploitent l’urgence pour obtenir des informations sensibles.
Analyser les permissions demandées
Si le QR code mène à un téléchargement ou une application, vérifier les permissions demandées. L’accès à vos contacts, stockage ou caméra peut signaler un fichier malveillant.
Mettre à jour son système et antivirus
Garder le smartphone à jour et utiliser un antivirus mobile reconnu peut détecter les malwares téléchargés via QR code et empêcher l’exploitation des failles.
Faux paiements et promotions
Des QR codes placés sur des reçus ou des panneaux prétendent offrir des réductions ou des cadeaux. Le scan redirige vers un site imitant un site officiel et demande les coordonnées bancaires. Selon une enquête de Kaspersky, 35 % des victimes d’arnaques QR code ont perdu de l’argent en moins de 10 minutes après le scan.
Installation de malwares
Certains QR codes redirigent vers des fichiers APK ou des applications malveillantes, surtout sur Android. Ces fichiers peuvent espionner l’utilisateur, voler des mots de passe ou bloquer le téléphone.
Phishing et vol d’identité
Des codes frauduleux ouvrent des formulaires imitant des sites officiels (banques, services de livraison, boutiques en ligne) pour collecter des informations personnelles. Cette méthode a été exploitée dans plus de 20 % des campagnes de phishing mobile en 2023 selon Cybersecurity Ventures.