Les Failles de Sécurité des Codes QR dans les Applications de Paiement et d’Authentification

Imaginez-vous en train de payer votre café matinal avec un simple scan de votre smartphone. Mais derrière ce geste anodin, un piège invisible est tendu. En 2024, plusieurs incidents remarquables de fraude liés aux codes QR ont été signalés, notamment le remplacement de codes QR légitimes par de faux dans des lieux publics, siphonnant ainsi des milliers de comptes bancaires en quelques minutes.

Les codes QR (Quick Response), autrefois symboles d’innovation dans plusieurs secteurs, sont désormais au centre de graves préoccupations en matière de sécurité. De plus en plus utilisés dans les applications de paiement mobile et d’authentification, ces carrés numériques, aussi innocents qu’ils puissent paraître, deviennent des vecteurs potentiels pour des attaques sophistiquées. Derrière leur apparente simplicité se cachent des failles qui pourraient bien compromettre la confiance des utilisateurs et exposer des millions de données sensibles. Dans un secteur où la sécurité est primordiale, le mythe du code QR infaillible est en train de s’effriter, et les conséquences pourraient être dévastatrices. Cet article explore les risques cachés de cette technologie omniprésente et interroge la réelle sécurité des transactions numériques modernes.

Quand l’Innovation Devient une Arme : Les Dangers Cachés des Codes QR

Les codes QR, bien qu’extrêmement pratiques, présentent plusieurs vulnérabilités qui peuvent être exploitées par des hackers, menaçant ainsi la sécurité des utilisateurs. Ces derniers doivent être prudents lorsqu’ils scannent des codes QR, en particulier dans des environnements non surveillés.  

Angel Grant, vice-président de la sécurité pour la société F5, spécialisée dans la sécurité multi-cloud, a expliqué que les codes QR ont été sur le radar des escrocs depuis le tout début : « Whenever a new technology or a new offering comes out, cybercriminals look for ways to manipulate it. So we’ve seen criminals targeting QR codes pretty much from when they were originally put out ».

Voici un aperçu des principaux risques associés à l’utilisation des codes QR :

• Substitution de Code QR : Dans des environnements où les utilisateurs scannent des codes QR pour des paiements ou des services, il est relativement facile pour un hacker de substituer un code QR légitime par un code QR malveillant. En novembre 2023, une femme de 71 ans a été victime d’une escroquerie au code QR à la gare de Thornaby, dans le Teesside, ce qui lui a fait perdre 13 000 £. Les escrocs avaient placé un faux code QR au-dessus d’un code légitime sur un panneau de stationnement. Après avoir scanné le code et saisi les détails de sa carte sur un site web frauduleux, sa transaction a été bloquée dans un premier temps par la banque. Cependant, les fraudeurs se sont ensuite fait passer pour des employés de la banque et l’ont convaincue de contracter un prêt de 7 500 £. Ils ont ensuite modifié ses coordonnées bancaires, commandé de nouvelles cartes et créé un compte en ligne, ce qui a conduit au retrait de tous les codes QR des parkings TransPennine Express. La victime a déclaré: “I can’t believe I fell for it. I’ve had so many sleepless nights and spent hours and hours speaking to my bank and credit card company trying to sort it all. “

• Redirection Vers des Sites Malveillants : Avez-vous déjà tombé sur un site web étrange après avoir scanné un code QR ? C’est exactement ce que les escrocs veulent. Ces codes peuvent cacher une URL redirigeant les utilisateurs vers un site web malveillant. Ce site peut ensuite tenter de télécharger des logiciels espions ou récolter des informations personnelles sensibles. L’ING Bank, d’origine néerlandaise, permettait à ses clients de s’authentifier via des codes QR pour simplifier l’accès à des services en ligne. Ces derniers ont été victimes d’une arnaque ou les cybercriminels ont usurpé l’identité de la banque en diffusant de faux codes QR ressemblant à ceux utilisés par la banque pour l’identification de ses clients. Cela a permis aux fraudeurs d’accéder aux comptes bancaires des victimes et de transférer des fonds, vidant ainsi les comptes de plusieurs milliers d’euros. ING s’est retiré du marché de la banque en ligne en France et a fermé les comptes de ses clients particuliers.

• Sécurité des Applications de Double Authentification : Vous pensez être en sécurité avec la double authentification ? Détrompez-vous. Même ces systèmes peuvent être contournés si vous scannez le mauvais code QR. Un incident signalé en 2023, au cours duquel des attaquants ont exploité des codes QR utilisés via Discord app pour se connecter à des comptes via l’authentification à deux facteurs (2FA). Les codes QR destinés à des connexions rapides ont été manipulés incitant les utilisateurs à scanner un code QR malveillant, ce qui a permis d’utiliser leurs noms d’utilisateur et mots de passe afin d’obtenir un accès non autorisé à leurs comptes.

• Injections de Données Malveillantes : Les codes QR peuvent également être utilisés pour injecter des données malveillantes. Une importante campagne de phishing par code QR ciblant les informations d’identification Microsoft dans une grande entreprise du secteur de l’énergie basée aux États-Unis a été détectée par Cofense, une société spécialisée dans la détection du phishing. Les hackers utilisent des codes QR pour tromper les utilisateurs et les amener à compromettre leurs informations d’identification Microsoft.  29 % de plus de 1 000 courriels contenant des codes QR malveillants ont été envoyés à cette entreprise.

QR Codes Statiques vs Dynamiques

Dans l’univers des codes QR, il existe deux grandes catégories : les codes QR statiques et les codes QR dynamiques. Bien que ces deux technologies soient largement utilisées, elles présentent des vulnérabilités distinctes qui méritent une attention particulière.

Les Codes QR Statiques : Simples mais Risqués

Les codes QR statiques sont des codes fixes qui, une fois générés, ne peuvent pas être modifiés. Ils contiennent une seule URL ou une petite quantité d’informations, qui reste inchangée. Leur simplicité les rend faciles à utiliser, mais c’est également leur plus grande faiblesse. Cette rigidité, bien qu’elle limite les possibilités de manipulation après la création, offre peu de flexibilité si une mise à jour ou un changement est nécessaire, ce qui est un inconvénient majeur dans des environnements dynamiques. Une fois qu’un code statique est créé, il est extrêmement vulnérable à la substitution. Les attaques via codes QR statiques impliquent souvent la création de codes malveillants ou leur substitution dans des environnements physiques tels que des affiches, des panneaux de stationnement ou des documents imprimés.

Les Codes QR Dynamiques : Flexibilité et Menaces

Contrairement aux codes QR statiques, les codes QR dynamiques contiennent une URL qui redirige vers un serveur pouvant être reprogrammé pour rediriger l’utilisateur vers une nouvelle destination ou le contenu auquel ils sont liés peut être modifié même après leur création. Cela offre une flexibilité incroyable, notamment pour les campagnes marketing ou les systèmes de paiement, où le contenu peut être actualisé sans besoin de générer un nouveau code. Cependant, Cette flexibilité a un coût. Elle rend les codes dynamiques plus vulnérables aux attaques car un pirate informatique qui réussit à prendre le contrôle du serveur peut modifier la destination finale sans altérer l’apparence du code QR lui-même.

Tandis que les codes QR statiques sont simples mais vulnérables à la substitution physique, les codes QR dynamiques, bien que plus flexibles, nécessitent des mesures de sécurité robustes pour prévenir les modifications malveillantes. Pour les entreprises et les utilisateurs, il est crucial de comprendre ces différences et d’adopter les meilleures pratiques pour minimiser les risques associés à l’utilisation des codes QR.

Qshing : Le Piège Invisible Derrière Chaque Scan

Le “Qshing” est un terme que vous devriez connaître. Il combine “QR code” et “phishing” pour désigner une technique de cyberattaque qui exploite les codes QR pour piéger les utilisateurs et accéder à leurs informations sensibles sur leurs appareils et cela en les redirigeant vers des pages de connexion factices qui ressemblent à des services légitimes. Les utilisateurs, croyant entrer leurs identifiants sur une page authentique, se retrouvent à fournir leurs informations de connexion aux attaquants. Harmony Email de Check Point a rapporté une augmentation surprenante de 587% d’attaques Quishing. Les chercheurs ont relevé des milliers d’attaques liées aux codes QR chaque mois. Jeremy Fuchs, chercheur/analyste en cybersécurité chez Check Point, a expliqué que les hackers attirent les utilisateurs à l’aide de codes QR et les redirigent vers des sites web de collecte d’informations d’identification. Au Royaume-Uni et en Europe, environ 86,66 % des utilisateurs de smartphones ont scanné un code QR au moins une fois dans leur vie, et 36,40 % ont scanné un code au moins une fois par semaine.

Les étapes typiques d’une attaque de Qshing consistent à :

1. Créer un Code QR Malveillant ou le hacker génère un code QR qui redirige vers un site web de phishing ou télécharge un logiciel malveillant.
2. Distribuer le Code QR : Le code QR malveillant est ensuite placé dans des lieux publics, intégré dans des courriels, ou même imprimé sur des documents physiques tels que des affiches ou des dépliants.
3. Scanner le Code QR par la Victime : L’utilisateur scanne le code QR, croyant accéder à une ressource légitime ou effectuer une transaction sécurisée.
4. Redirection et Compromission : Une fois scanné, le code QR redirige l’utilisateur vers un site de phishing qui ressemble à un site authentique, où il est incité à entrer des informations personnelles ou de connexion. Alternativement, le code QR peut déclencher le téléchargement de logiciels malveillants qui compromettent l’appareil de l’utilisateur.

Le Qshing peut ainsi entrainer plusieurs risques pour les utilisateurs et les organisations y compris le vol des informations personnelles et le téléchargement automatique de logiciels espions. Dans les contextes de paiement mobile, le Qshing peut détourner des transactions financières vers des comptes frauduleux, exposant les utilisateurs à des pertes financières. Ces attaques peuvent gravement éroder la confiance des utilisateurs dans l’utilisation des codes QR pour les transactions et l’accès à des services en ligne.

Lire article: QR Phishing: The Scam That’s Sneaking Up Behind You

Au-Delà des Codes QR : iBeacon, la Nouvelle Frontière de la Sécurité Bancaire

Dans un monde de plus en plus axé sur la rapidité et la commodité, les codes QR se sont imposés comme un pilier des paiements mobiles. Derrière l’apparente facilité des transactions se cachent des failles de sécurité inquiétantes. C’est ici qu’intervient une alternative innovante et plus sécurisée : la technologie iBeacon. En offrant une sécurité renforcée et une expérience utilisateur sans compromis, iBeacon pourrait bien représenter l’avenir des transactions mobiles.

Limites et Risques des Codes QR

Les banques doivent sérieusement envisager de nouvelles alternatives pour répondre aux exigences croissantes de sécurité et de confiance dans les transactions mobiles. Voici un aperçu des principales limites et risques des codes QR dans les applications de paiement :

• Phishing : technique qui trompe les utilisateurs pour qu’ils divulguent des informations sensibles, telles que des identifiants de compte et des mots de passe.

• Fraude : ou les utilisateurs et les marchands peuvent subir des pertes financières importantes avant même de réaliser qu’ils ont été victimes de fraude.

• Man-in-the-Middle (MitM) : les communications entre l’utilisateur et le serveur peuvent être interceptées et modifiées par des attaquants, compromettant ainsi la sécurité des transactions.

Efforts de Récupération : Une fois qu’une défaillance de sécurité est exploitée, il faut dépenser énormément de temps et de ressources pour récupérer les pertes, enquêter sur les fraudes et rétablir la confiance des utilisateurs. Cela détourne les efforts des banques de l’innovation et de l’amélioration des services.

Arnaque Bancaire en Allemagne :

En décembre 2021, des utilisateurs de services bancaires mobiles en Allemagne ont été ciblés par une arnaque sophistiquée utilisant des QR codes. Les cybercriminels ont envoyé des emails en se faisant passer pour deux grandes banques allemandes, incluant des logos officiels et des messages cohérents avec les communications précédentes des banques. Ces emails contenaient des QR codes qui redirigeaient les utilisateurs vers des sites malveillants, où ils étaient invités à entrer leurs identifiants bancaires. Cette campagne a habilement évité les méthodes habituelles de phishing qui créent un sentiment d’urgence, rendant l’attaque d’autant plus difficile à détecter

La Technologie iBeacon, Une Alternative Sécurisée

iBeacon utilise des signaux Bluetooth basse énergie (Bluetooth Low Energy, BLE) et la communication en champ proche (NFC) pour créer des connexions sécurisées et personnalisées entre l’utilisateur et l’application bancaire. Cette approche réduit considérablement les risques d’interception et de manipulation des données, tout en offrant une expérience utilisateur fluide et sans contact

Voici pourquoi les banques doivent sérieusement envisager la transition vers la technologie iBeacon :

• Sécurité Renforcée : Les iBeacons émettent des signaux cryptés qui ne peuvent pas être facilement interceptés ou falsifiés par des attaquants. Cela réduit considérablement le risque de fraude et de phishing.

• Authentification Multi-Facteurs (MFA) : Les transactions via iBeacon peuvent être couplées à des méthodes d’authentification multi-facteurs, ajoutant une couche de sécurité supplémentaire qui vérifie l’identité de l’utilisateur avant de valider une transaction.

• Convivialité et Confiance : Les utilisateurs et les banques peuvent avoir plus de confiance dans un système où les transactions sont sécurisées par des technologies de pointe. Cela améliore l’expérience utilisateur et renforce la fidélité à long terme.

• Innovation et Efficacité : En adoptant des technologies comme iBeacon, les banques peuvent se concentrer sur l’innovation plutôt que sur la gestion des failles de sécurité. Cela permet de développer de nouvelles fonctionnalités et d’améliorer les services offerts aux clients.

En adoptant iBeacon, les banques peuvent non seulement renforcer la sécurité de leurs services, mais aussi se positionner à la pointe de l’innovation technologique, répondant ainsi aux attentes d’une clientèle de plus en plus exigeante et soucieuse de la confidentialité de ses données.

Études de Cas

Différentes approches technologiques sont adoptées pour répondre aux besoins de sécurité et de praticité des utilisateurs. Cependant, toutes les solutions ne se valent pas en termes de protection contre les menaces numériques. Pour illustrer cette réalité, comparons des études de cas marquantes en Tunisie, en Suisse et en France, où les choix technologiques ont conduit à des résultats contrastés en matière de sécurité des transactions.

Tunisie – MS-Solutions : Bien que les cyber-menaces restent relativement marginales en Tunisie en termes d’impact, elles sont néanmoins présentes dans l’esprit des utilisateurs. Des solutions existent pour renforcer la sécurité des transactions, et les établissements financiers s’efforcent de les mettre à jour régulièrement, tout en anticipant les évolutions nécessaires. Les banques tunisiennes, grâce à MS-Solutions, ont adopté des solutions de paiement mobile qui privilégient la sécurité au-delà des techno-tendances. En choisissant d’éviter des technologies vulnérables comme les codes QR, ces institutions ont pu renforcer la protection de leurs transactions contre les fraudes et les défaillances. Cette approche proactive montre une vision claire de la sécurité financière, évitant ainsi les pièges liés à des outils populaires mais risqués.

Suisse – Twint : En Suisse, Twint s’est imposé comme l’application de paiement mobile la plus populaire, avec 590 millions de transactions dont 72% concernent les paiements à la caisse des magasins. Cette popularité, cependant, a mis en lumière des vulnérabilités notables en matière de sécurité. Le système de paiement Twint repose sur des numéros de téléphone pour effectuer des transactions. Les utilisateurs ont été exposés à des risques de fraude et à des transactions non officielles, mettant en lumière les lacunes de cette technologie. En 2023, rien que dans le canton de Vaud, la police cantonale recense plus de 900 escroqueries liées à des paiements par Twint pour un préjudice total de près de 700’000 francs. Pour contrer ces menaces, Twint a collaboré avec NetGuardians, une fintech suisse spécialisée dans la prévention des fraudes. NetGuardians utilise des technologies basées sur l’intelligence artificielle et l’analyse comportementale pour surveiller en temps réel toutes les transactions effectuées via Twint, réduisant ainsi considérablement les risques de fraude.

Lire plus : Week 28: TWINT – isolated cases of phishing and fraud

Les banques et les institutions financières doivent être visionnaires et adopter des technologies qui offrent une sécurité robuste et une meilleure expérience utilisateur. En se tournant vers des alternatives comme la technologie iBeacon pour les transactions mobiles, elles peuvent non seulement protéger leurs clients contre les fraudes mais aussi se concentrer sur l’innovation et l’amélioration continue de leurs services.

Les banques qui nous ont fait confiance pour utiliser des technologies comme iBeacon sont aujourd’hui beaucoup plus confortables. Elles n’ont pas à gérer les complications des failles de sécurité associées aux codes QR et peuvent offrir à leurs clients une expérience de paiement sécurisée et fiable. L’adoption de technologies avancées et sécurisées est essentielle pour bâtir un futur où les transactions mobiles sont non seulement pratiques mais aussi sûres et dignes de confiance.