Archives pour l'étiquette phishing

Codes QR : en Chine, un sésame qui ouvre toutes les portes…même les mauvaises

Wikipédia définit le code QR (de l’anglais Quick Response) comme un « code-barres constitué de modules noirs disposés dans un carré à fond blanc. L’agencement de ces points définit l’information que contient le code. »

Ce visuel peut être scanné par un appareil spécialement conçu à cet effet ou par un simple smartphone, qui vont décoder le message.

Par exemple, en scannant le code QR suivant, vous accéderez directement à mon profil Linkedin :

Code QR menant au profil Linkedin de Jérôme Delacroix
Code QR menant à mon profil Linkedin

 

 

 

 

 

 

 

Pour la petite histoire, c’est l’entreprise japonaise Denso-Wave qui a inventé le code QR en 1994. Elle consacre un site Web dédié à son invention, sur lequel vous pourrez tout savoir sur l’histoire et les usages du code QR.

S’il est un pays où le code QR est vraiment populaire, c’est bien la Chine. Les Chinois utilisent la technologie des codes QR des dizaines de fois chaque jour : pour ouvrir les portiques du métro, pour accéder aux locaux de leur entreprise, pour pénétrer dans une épicerie automatisée, pour payer au restaurant, etc. En matière de paiement mobile, justement, il est frappant de voir comment une technologie aussi simple que le code QR, ne nécessitant pas de puce spéciale dans le téléphone, a permis une explosion du phénomène en Chine, au point que l’on évoque une possible disparition de l’argent liquide dans le pays. A l’inverse, en France, le m-paiement reste confidentiel (à peine 10 millions de transactions en 2018) malgré les solutions sophistiquées mises en oeuvre, notamment celles à base de puces NFC (paiement sans contact).

Parmi les usages les plus répandus des codes QR en Chine, il y a le fait de pouvoir déverrouiller un vélo en libre-service, comme ceux proposés par les sociétés Mobike ou Didi, en scannant une étiquette collée sur le vélo. (Le système dit de « free-floating » a fait des émules dans le monde, comme en témoigne la multiplication des trottinettes électriques à Paris).

Vélo en libre-service muni d'une étiquette comportant un code QR
Vélo en libre-service muni d’une étiquette comportant un code QR

 

 

 

 

 

 

 

 

Malheureusement, des petits malins ont eu l’idée de détourner le système en recouvrant les étiquettes officielles par de fausses étiquettes comportant un code QR de leur confection. En scannant le code, l’utilisateur est renvoyé vers un faux site, ressemblant en tout point au site de la société de location. Il lui est alors demandé d’effectuer un paiement pour déverrouiller le vélo, par exemple en utilisant Wechat, Vous devinez la suite… Le paiement est bien effectué (vers le compte du fraudeur), mais le vélo reste désespérément bloqué.

Si des campagnes d’hameçonnage (phishing) utilisant les codes QR avaient déjà été repérées dans des e-mails, dès 2016, l’originalité ici est d’appliquer cette technique au paiement mobile sur des objets physiques.

Aujourd’hui, ce type de fraude est moins fréquent en Chine, car la supercherie a fini par être éventée. Mais ne doutons pas que les fraudeurs trouveront rapidement une autre idée…