L’ANSI, Agence nationale de la sécurité informatique, met en garde contre l’utilisation frauduleuse des QR codes ou codes QR, indiquant que bien que ces codes soient un moyen efficace et convivial pour le partage des informations, ils peuvent cependant être utilisés pour réaliser des attaques d’hameçonnage (ou phishing).
En effet, un code QR (abréviation de l’anglais quick response) signifie que le contenu du code peut être décodé rapidement après avoir été lu par un lecteur de code-barres.
De ce point de vue, l’Agence précise que l’agencement unique de points pixélisés distribués sur la surface carrée du code QR peuvent contenir un contenu textuel (qui peut contenir des informations relatives à une personne, une entreprise ou un service), ou des liens hypertextes (qui sont souvent utilisés pour envoyer l’utilisateur vers le site web ou les ressources de l’entreprise ou le créateur du code QR).
Le code QR ‘pollué’ peut contenir un lien qui pointe vers une page frauduleuse ou un lien de téléchargement d’un logiciel malveillant, lequel est en mesure de pirater les comptes des réseaux sociaux, d’envoyer des emails et des SMS aux contacts, et même de réaliser des achats et des opérations financières en exploitant les paramètres des cartes bancaires enregistrés au niveau du smartphone.
Ainsi, l’ANSI appelle à ne jamais scanner un QR code sans être sûr de la véracité de sa source, et à vérifier à ce que les informations qu’il affiche soient concordantes avec le service ou l’entreprise que l’on souhaite consulter. Si jamais le code QR scanné pointe vers une application, il faut vérifier la source de cette dernière et consulter l’avis des APP Store (Google store, Microsoft store…) en vérifiant les informations qui y sont relatives (ratings, vérification de sécurité, source, et développeur).
L’ANSI recommande d’installer un anti-virus sur les équipements mobiles (smartphones et tablettes), afin de minimiser les risques liés aux malwares.