Les QR codes (Quick Response code : code à réponse rapide), ces codes-barres de forme carrée, permettant d’accéder instantanément à une page Web via un smartphone ou une tablette, ont été inventés au Japon dans les années 1990. Mais leur usage s’est développé progressivement au début du siècle, et ils sont surtout devenus incontournables au moment de la crise sanitaire, après le premier confinement. Nous avons alors pris l’habitude de « flasher » ces images avec notre smartphone, de plus en plus souvent, pour accéder à un descriptif dans une exposition, consulter le menu d’un restaurant ou d’un bar, effectuer un paiement en ligne, etc.

Plus de 800 procédures pénales en cours

Qui dit usage cyber répandu, dit forcément arnaque cyber. Le piège est simple : les escrocs collent un autocollant avec un faux QR code par-dessus le vrai. Et tant que le détournement n’est pas détecté, le sticker multiplie les victimes. Le faux QR code peut aussi être placé sur un faux flyer, réimprimé à partir du vrai, voire intégré en vidéo à un programme de télévision en différé…

Dernièrement, c’est sur des bornes de recharge pour voitures électriques, situées sur un parking, dans le Loiret, qu’un de ces faux QR codes a induit en erreur les utilisateurs. Le règlement doit se faire en scannant l’image, sauf que dans les faits, évidemment, les délinquants récupéraient les données bancaires au moment du paiement… sans mettre en route la borne pour réalimenter le véhicule électrique. On pourrait citer encore d’autres exemples, comme ces faux PV de stationnement glissés sous l’essuie-glace, ou le menu détourné d’un restaurant proposant une réduction importante à condition de payer d’avance… Mieux vaut ne pas être affamé, la commande n’arrivera jamais.

« On dénombre actuellement plus de 800 procédures pénales en cours concernant des QR codes, la plupart étant qualifiées d’escroqueries, indique le lieutenant Eddy Rouf, chef du bureau de la prévention et de la protection de l’Unité nationale Cyber (UNCyber). Il y a une hausse significative de ces faits ces derniers mois, car c’est très facile de faire un QR code, ça ne demande pas de compétences techniques, tout le monde peut en faire. Les délinquants vont utiliser ce biais pour récupérer des données personnelles, des mots de passe, introduire un agent malveillant (malware) dans le téléphone, ou détourner de l’argent. »

Pour éviter que ces faits ne se multiplient, les cyber gendarmes ont lancé une grande campagne de prévention sur ce phénomène de quishing, en transmettant des fiches d’information à toute la communauté Cybergend, aux référents et aux conseillers cyber, afin de s’appuyer sur le maillage territorial pour bien diffuser le message à toute la population. « Le premier conseil que l’on peut donner, c’est de vérifier que le QR code n’est pas un autocollant placé sur un autre, poursuit le lieutenant Rouf. S’il y a un autre QR code en dessous, c’est plutôt mauvais signe. Ensuite, il faut s’assurer que l’URL de la page Web correspond bien à l’URL du site sur lequel on est supposé arriver. De manière générale, il faut être très précautionneux en matière de cyber. »

D’autant que les outils d’intelligence artificielle gomment de plus en plus les fautes d’orthographe et de syntaxe qui permettaient auparavant de déceler plus facilement les arnaques !