Revisitons l’adage qui dit que, dans la vie, il y a deux certitudes, la mort et les taxes, en leur ajoutant un troisième élément : les arnaques informatiques. En effet, même les Jeux olympiques qui s’ouvriront la semaine prochaine à Paris en font les frais, par ce qu’on appelle le quishing, soit de l’hameçonnage par code QR.

Appelons ça les risques de vivre à l’ère du numérique… et du tout-aumobile. Car les organisateurs des Jeux olympiques (JO) pensaient faire une bonne affaire en posant un peu partout dans la Ville lumière des autocollants munis d’un de ces fameux codes carrés noir et blanc, qu’il suffit de scanner avec l’appareil photo de son téléphone pour se rendre directement au site Web ou à l’application mobile désirée.

Hameçonnage de calibre olympique

Dans le cadre des JO, c’était perçu comme un moyen simple de diriger le public vers la billetterie en ligne, vers le plan du site olympique ou vers le code de connexion au réseau wifi le plus près. En cette époque où tout le monde trimbale un téléphone intelligent dans sa poche, mais où les touristes étrangers n’ont pas nécessairement un plan de données mobiles accessible en itinérance, cela semble tout à fait naturel, en effet.

Or, voilà. Ces codes carrés, qu’on appelle codes QR, sont depuis peu infectés par une vague de tentatives de fraudes. Des gens aux mauvaises intentions manifestes produisent de faux codes QR, reprenant les mêmes couleurs et la même typographie que les codes QR qu’ils désirent imiter, et les programment pour qu’ils envoient leurs victimes potentielles vers de faux sites transactionnels.

Vous devinez la suite, étant donné qu’à partir de là, c’est de l’hameçonnage pur et simple : le site en question demande à ses visiteurs de lui fournir leur information personnelle, notamment l’information de leur carte de crédit, qu’il s’empresse ensuite de transmettre à ses opérateurs.

En France, les organismes de cyberdéfense ont observé une hausse importante des cas de fraudes par code QR — sans surprise, les Français parlent de quishing, mais le bon mot québécois reste à inventer — depuis quelques mois, à l’aube des Jeux olympiques.

Il y a quelques jours, au moins une vidéo devenue virale sur les réseaux sociaux montrait comment de faux codes QR étaient collés pardessus les codes QR légitimes, sur les affichettes des JO qui se trouvent un peu partout à Paris. Il est visuellement impossible de distinguer un code QR falsifié d’un vrai code, puisque l’oeil humain est incapable d’en déchiffrer le sens. C’est seulement une fois arrivé à destination, sur le site Web où mène le code en question, qu’on peut s’apercevoir de la supercherie.

À Paris, on a recensé ces derniers jours au moins 800 cas d’escroquerie par code QR, comme quoi le phénomène n’est pas si marginal qu’il peut en avoir l’air.

Du numérique bien réel

L’expression quishing vient de la contraction, en anglais, de QR code phishing, de l’hameçonnage par code QR. Le phénomène émerge à mesure que les codes QR deviennent une technologie de plus en plus populaire et courante.

Il aura d’ailleurs fallu attendre longtemps avant que cette technologie décolle. Pourtant, elle fait très efficacement le pont entre le monde réel et le monde numérique.

Le code QR a été inventé dans les années 1990, presque au même moment où des ingénieurs d’Ericsson, en Suède, ont créé un protocole sans fil qu’ils ont surnommé le Bluetooth, en hommage au roi scandinave Harald Gormsson.

On doit le code QR à une filiale du constructeur japonais d’automobiles Toyota. Déjà, au milieu des années 1990, on promettait un bel avenir au code QR, sans savoir exactement comment il finirait par être adopté. En usine, il est utilisé depuis une trentaine d’années par des tonnes d’entreprises pour accélérer le tri de leurs pièces ou pour accélérer les chaînes d’assemblage.

Cela aura pris la pandémie pour que le code QR s’insère dans le quotidien du grand public : on numérise désormais ce petit carré monochrome pour lire le menu de bars et de restaurants partout dans le monde. On prend place dans l’avion, dans une salle de concert, ou ailleurs en présentant l’écran de son mobile à un préposé qui n’a qu’à le numériser.

Créer un code QR est d’une simplicité désarmante. C’est gratuit, en plus. Et pour des filous qui ne s’embêtent pas avec les considérations morales ou éthiques, c’est une nouvelle avenue extrêmement tentante pour essayer d’escroquer le public.

D’autant plus que les moyens de se protéger de cette nouvelle forme d’hameçonnage sont assez limités : en gros, évitez de numériser un code QR dont vous ignorez la provenance. Plus facile à dire qu’à faire. En plein Paris, les affiches qui contiennent ces signes trompeurs semblent provenir des organisateurs des JO.

Un moyen d’éviter de tomber dans le piège est de vous assurer de la validité de l’adresse Web vers laquelle vous renvoie un code que vous avez numérisé.

Le meilleur moyen d’éviter les arnaques par code QR est… d’éviter les codes QR.

Mais à ce jeu, c’est tout l’Internet qu’il faudrait éviter. Ah, et éteignez aussi l’antenne Bluetooth de votre téléphone. Les fraudeurs savent comment exploiter ce protocole sans fil pour entrer dans votre téléphone à votre insu.

Sinon, on vous souhaite d’excellentes vacances estivales !

Le meilleur moyen d’éviter les arnaques par code QR est… d’éviter les codes QR