Depuis quelques années maintenant, les codes QR (Quick Response) investissent de plus en plus l'espace public. En effet, ils permettent un accès rapide à diverses fonctions, et ils sont bien intégrés dans les appareils mobiles, avec un fonctionnement simple et bien compris. Mais pour de nombreuses raisons, ils posent aussi des soucis de sécurité.
Le principal problème, le plus évident, c'est que le code QR peut être considéré comme cryptique : les URL trafiquées pour ressembler vaguement à celle attendue par une personne suffisent déjà parfois pour mystifier un utilisateur peu attentif, alors qu'un code QR qui n'affiche pas directement l'adresse est évidemment très efficace. De nombreux malandrins l'ont bien compris : ils insèrent des codes QR dans des e-mails pour tenter d'arnaquer d'autres personnes et la FTC américaine a même récemment lancé une alerte à ce sujet, comme le rapporte Ars Technica.
Dans la même veine, comme expliqué par La République du Centre, il est finalement assez simple de pirater des codes QR. L'exemple cité est éloquent : le code QR d'une borne de recharge pour des voitures électriques a été remplacé par un autre code QR qui renvoyait vers un faux site, dont le but était de subtiliser les informations des clients. C'est un cas compliqué : le code renvoie vers une URL que l'utilisateur ne connaît pas nécessairement, dans un contexte où l'idée d'un piratage n'est pas la première qui vient en tête. De façon assez logique, vous serez probablement nettement moins prudents sur votre smartphone à l'extérieur et devant une borne (et potentiellement dans un lieu inconnu) que bien au chaud dans le canapé.
Dans la pratique, il y a évidemment quelques recommandations basiques. La première, la plus évidente, est de ne pas scanner au hasard des codes QR dans la rue. La seconde est de prendre la même précaution dans les e-mails : les spams à base de code QR deviennent populaires. Votre banque ou un transporteur ne vous enverront pas de code QR pour communiquer et si un message vous indique que vous avez reçu de l'argent pour une raison x ou y, votre réflexe doit être de vous rendre par vous-même sur le service lié, sans cliquer sur un lien ou scanner un code QR.
Il faut vérifier les URL
Bien évidemment, une fois un code scanné, nous vous conseillons de vérifier l'URL avant d'effectuer la moindre tâche. Certains outils permettent d'ailleurs de le faire avant d'ouvrir le lien. C'est le cas de l'appareil photo d'iOS, qui affiche l'URL au moment de la détection, mais pas de l'outil Scanner de code qui peut être ajouté dans le centre de contrôle : il ouvre directement les liens.
