Le Quishing, la nouvelle cyberattaque au QR code
Les cyberattaques de type “phishing” font désormais partie du quotidien des institutions, des entreprises et des particuliers. D’après les autorités publiques françaises, en 2023, le phishing (ou hameçonnage en français) reste la première cybermenace. Même si celles-ci deviennent presque monnaie courante : il ne faut pas les sous-estimer. De nouvelles techniques de phishing continuent d’apparaître comme le Quishing, une cyberattaque à partir de QR-code. En quoi consiste le Quishing ? Comment les cybercriminels se servent-ils des QR codes pour piéger leurs cibles ?
LE QUISHING OU LA CYBERATTAQUE DE PHISHING PAR DES FAUX QR CODES
Particuliers, entreprises, collectivités : nous sommes déjà toutes et tous concernés par les cyberattaques de type phishing. Les cybercriminels continuent d’innover dans ce domaine. Dernièrement, une nouvelle cybermenace inquiète particulièrement les experts en cybercriminalité : le quishing ou les faux QR codes.
En quoi cela consiste-t-il ? Comme son nom anglais l’indique, le Quishing un mélange de phishing via des QR codes. Lors d’une cyberattaque de phishing, la victime est incitée à cliquer sur un lien afin de :
- récupérer des données personnelles (mot de passe, informations bancaires…) pour pouvoir obtenir ultérieurement une rançon, pour revendre les informations...
- télécharger des pièces jointes avec du contenu malveillant pour, par exemple, s’infiltrer dans des systèmes d’information.
Dans le cas d’une cyberattaque de Quishing, le QR code frauduleux peut être diffusé à différents endroits, via différents canaux : email, MMS, pdf, vidéo, réseaux sociaux... ou encore support physique (carte de restaurant, borne…). Comme pour le phishing, le canal privilégié du Quishing est également l’email.
LA DÉMOCRATISATION DU QR-CODE, UNE AUBAINE POUR LES CYBERCRIMINELS
Inventé au Japon dans les années 90, un QR code (ou un code de réponse rapide) est une image carrée assez typique, qui se reconnaît rapidement et qui fonctionne de la même manière qu’un code barre. Sa particularité : cette image est bidimensionnelle.
C’est-à-dire ? Le QR code se scanne via l’appareil photo ou une application dédiée à la lecture de QR codes d’un smartphone ou d’une tablette pour accéder directement à un site web ou encore à des données stockées (comme des fichiers pdf).
Il y a quelques années, les QR codes ont commencé à fleurir sur divers supports papier et digitaux en Asie. Avec la crise sanitaire du Covid-19, l’utilisation du QR code a explosé. Carte de restaurant, parking, borne de recharge de voiture… Il suffit de “flasher” pour accéder aux informations rapidement sans contact. Par exemple, dans certains restaurants, les QR codes vont permettre de consulter la carte, de commander et même… de payer. Bien entendu, dans ce contexte, la démocratisation des QR codes est vue comme une aubaine pour les cybercriminels.
L'INTERPRÉTATION DU QR-CODE, UNE FAILLE DES SYSTÈMES DE SÉCURITÉ DES BOÎTES MAIL ÉLECTRONIQUES
L’habitude de voir des QR codes et de flasher est bien ancrée dans les comportements des internautes. Tant personnellement que professionnellement. Malheureusement, les technologies de cybersécurité rencontrent quelques difficultés à identifier les faux QR codes.
Sur une boîte de courrier électronique, le fournisseur met en place des solutions de cybersécurité pour filtrer les emails malveillants automatiquement. Pour cela, une analyse des contenus est faite au préalable. L’analyse se porte principalement sur les mots des textes, les URL et les pièces jointes. Les technologies employées considèrent le QR code comme une simple image et non comme un fichier ou une URL. Ainsi, il est facile pour le cybercriminel de :
- dissimuler une URL malveillante vers un formulaire de données ou encore un site ecommerce frauduleux,
- faire télécharger un document malveillant.
COMMENT SE DÉROULE UNE CYBERATTAQUE DE QUISHING ?
Une cyberattaque de quishing se déroule en plusieurs étapes :
- La création et la diffusion du QR code frauduleux. Une fois que le faux QR code a été créé, le cybercriminel intègre ce QR code à des supports papier et digitaux pour le diffuser. Cela peut être une publicité (comme un prospectus de supermarché), une publication sur les réseaux sociaux, un email ou encore un objet physique (comme une carte de restaurant).
- La collecte d’informations ou le téléchargement de documents malveillants. Une fois redirigé, l’internaute est invité à remplir un formulaire (ex: un concours) ou à télécharger une pièce jointe avec un logiciel malveillant intégré.
- L’utilisation des informations à des fins malveillantes. On pense à l’usurpation d'identité, à la fraude financière ou encore à une rançon, appelée ransomware ou rançongiciel.
A l’approche des Jeux Olympiques Paris 2024, le développement du Quishing inquiète particulièrement les cybergendarmes et les experts de la cybersécurité. Lors d'événements mondiaux de ce type, l’utilisation des QR codes va encore s’intensifier. Des campagnes de prévention sont mises en place pour sensibiliser le plus grand nombre sur l’existence du Quishing.