JO de Paris 2024: Faut-il craindre les nouvelles arnaques aux faux QR codes pendant les Jeux ?

Sur le podium des nouvelles escroqueries, le quishing pourrait bien ravir la plus haute marche durant les JO de Paris 2024. A l’aide de faux QR codes, cette arnaque 2.0 pourrait ainsi se répandre comme une trainée de poudre durant les JO : au restaurant, dans les parkings, sur les bornes de recharge pour véhicules ou de location de vélo. En quoi consiste le quishing et comment s’en prémunir ? 20 Minutes vous invite à scanner ce qui suit !

Des parkings aux bornes de recharge électriques

Quishing, ou tentative d’hameçonnage (fishing) par QR code (pour Quick Response Code). Cette arnaque dont on parle de plus en plus vise, comme les SMS ou mails frauduleux, à nous soutirer de l’argent illicitement ou à récupérer nos données personnelles.

Les malfrats sont des petits malins. En apposant en lieu et place de QR codes existants de vrais QR codes nous orientant vers un site qui n’est pas celui que l’on croit, ils réussissent à nous escroquer… plutôt facilement. Plusieurs centaines de procédures pénales seraient en cours, suite à ces malversations. Pas plus tard que le 15 juillet dernier, la ville de Nice invitait ses habitants à se méfier de faux QR codes collés sur des horodateurs de la ville.

Facile de se faire piéger

« On en parle effectivement beaucoup pour le paiement de places de parking », évoque Vincent Biret, CEO de Unitag, société française spécialisée dans la création de QR codes, présente dans 90 pays et travaillant avec des marques comme Warner Bros. ou Chanel. Mais le quishing n’est pas né de la dernière pluie. Les premiers cas, alors peu médiatisés, son apparus dès la fin du Covid et la multiplication des QR codes permettant, comme au restaurant, d’accéder à des informations en ne manipulant que son seul smartphone.

Et aujourd’hui les QR codes sont partout : dans les boutiques, sur des cartes de visite numériques, les menus des nombreux restaurants, les produits pour accéder à des modes d’emploi… Il est ainsi facile de se faire piéger. D’autant plus facile qu’au bout du QR code illicite se trouve un site qui peut ressembler comme deux gouttes d’eau à un site tout ce qu’il y a de plus officiel. Et le piège se referme. « Ça restera pour nous voler des petites sommes, dans des endroits le plus souvent physiques où il y a des choses à payer », précise Vincent Biret.

Attention et vigilance

Alors, comment éviter d’ajouter son nom sur la liste des victimes de ces QR codes bidon ? D’abord et étant attentif. Un QR code sous forme d’autocollant posé sur une borne de charge de véhicule, sur une affiche… doit nous alerter. Ensuite, ne le scanner que s’il provient d’une source de confiance… ce qui peut être plus compliqué à appréhender. Mais après l’attention, c’est la vigilance qui doit s’imposer. Comment ? En vérifiant le nom de domaine du site où le scan du QR code nous a conduits. Si l’on ne se sent pas compétent, des sites comme Phishing-initiative.eu/contrib ou le récent Cybersecurite.orange.fr s’en chargent pour nous. Il suffit de copier/coller l’URL dans un champ de recherche pour que le sérieux de l’adresse soit vérifié dans l’instant.

Dupliquer un nom de domaine reste très compliqué pour les escrocs (ou alors le nom de domaine est corrompu). Veillez donc à son exacte orthographe, à la présence éventuelle de fautes… comme pour les mails et SMS frauduleux… même si les pirates ont fait de gros progrès en orthographe depuis un certain temps ! Ainsi qu’en graphisme.

À défaut de petits autocollants pour substituer leurs faux QR codes aux vrais, « certains criminels savent dupliquer des affiches complètes intégrant un QR code », note le PDG d’Unitag. L’illusion n’en est que meilleure.

« Il va y avoir des tentatives »

De quoi s’inquiéter d’une recrudescence de tentatives d’arnaques durant cette période estivale, et a fortiori celle des JO de Paris ? « Comme toujours, plus il a de monde, plus cela donne d’opportunités aux criminels. Oui, hélas, le quishing, comme tout type de fraude d’ailleurs, risque d’être en augmentation. Il va y avoir des tentatives. Certaines aboutiront, certaines échoueront », prévient le PDG d’Unitag.

Si par malheur vous étiez victime d’une arnaque aux faux QR codes, le site www.cybermalveillance.gouv.fr rappelle, sinon les gestes qui sauvent, du moins quelques mesures à prendre, comme le dépôt de plainte.

Quant aux QR codes frauduleux, ils peuvent également être neutralisés. « On peut reconnaître qu’il y a quelque chose de problématique. Nos systèmes de sécurité automatiques vont vérifier la page et limiter la création de QR codes et comptes. On travaille aussi avec des partenaires financiers. On peut désactiver un QR code. On a cette capacité », explique Vincent Biret, CEO de Unitag. Qui a observé en 2023 que sur environ 30 millions de QR codes générés par sa société l’an passé, seul 0,006 % l’avait été à des fins malveillantes.

Reste que le QR code, créé en Asie dans les années 90, est un outil qui évolue. S’il ne s’émancipe dans nos contrées que depuis cinq ans environ, il sera à l’avenir de plus en plus sophistiqué : présence de logos à l’intérieur, insertion de filigranes… devraient le sécuriser davantage. Il devrait aussi remplacer pour de bon le code-barres d’ici à fin 2027.