Le Temps – Les arnaques au code QR se multiplient
Cette article a été publié par Anouch Seydtaghia le 13 juillet 2024 sur le site internet Le Temps
Des faux autocollants redirigeant vers des sites frauduleux sont collés dans des parkings du canton de Vaud, de Paris et de plusieurs villes américaines. Il convient d’être vigilant et de ne pas cliquer sur n’importe quel lien depuis son smartphone.
Les escrocs, maîtres en nouvelles technologies, ne nous harcèlent pas seulement depuis la Russie, la Chine ou le Nigeria. Ils vivent aussi parmi nous. Depuis plusieurs jours, les tentatives d’arnaque au code QR se multiplient dans l’espace public, et notamment dans les parkings. De l’entreprise PayByPhone en passant par des spécialistes en cybersécurité et les polices cantonales, les appels à la prudence se multiplient.
Même dans les vitrines
Les codes QR, ces compositions de carrés blanc et noir, le grand public les a surtout découverts durant la pandémie. On les scannait avec le capteur photo de son smartphone pour accéder au menu des restaurants, on les utilisait dans les applications de traçage. Et depuis quelques mois, ils sont apparus sur les factures. Sorte de super raccourcis faits de pixels, les codes QR permettent d’accéder immédiatement à des sites web, des applications ou d’obtenir toutes les informations pour des paiements.
Ces derniers jours, la police vaudoise a lancé plusieurs avertissements. A Lausanne, Nyon ou encore à Vevey, des escrocs ont apposé de faux codes QR sur des bornes de paiement de parking. Les autocollants frauduleux ont été collés sur celles de la société PayByPhone. L’automobiliste inattentif risque, au lieu de payer sa place de parc, de se faire dépouiller. «Ces codes QR redirigent vers une page de phishing dont le but est de dérober des informations de carte de crédit», avertit la police cantonale vaudoise qui précise qu’on peut «également trouver ces autocollants malveillants avec code QR dans des stations-services, sur des distributeurs de billets, des vitrines de magasin etc».
La menace est donc bien réelle. Et pour les escrocs, le rapport coût-bénéfice est terriblement attractif. «Les codes QR sont faciles à créer et à distribuer. Toute personne peut générer un code QR en ligne et l’imprimer ou l’afficher. De plus, l’usage de ces codes s’est généralisé. Les gens sont aujourd’hui habitués à les scanner sans trop de prudence», estime Sandy Lavorel, expert au sein de la société de cybersécurité NetGuardians, basée à Yverdon. Le spécialiste poursuit: «Un code QR malveillant est visuellement identique à un code légitime.
Il est difficile pour les utilisateurs de détecter une arnaque juste en regardant le code QR.
Sandy Lavorel, Expert chez NetGuardians
Il est difficile pour les utilisateurs de détecter une arnaque juste en le regardant. Enfin, de nombreuses personnes ne sont pas conscientes des risques. Elles ne comprennent pas que le scan peut les rediriger vers des sites de phishing, télécharger un logiciel malveillant permettant ensuite aux criminels de réaliser des arnaques et de leur soutirer de l’argent.»
Quels sont les dégâts? «Pour le moment, il s’agit d’un phénomène où nous n’avons pas encore reçu de plainte pénale. Les autocollants frauduleux ont été signalés et enlevés à temps» nous répondait jeudi Florence Frei, porte-parole de la police cantonale vaudoise, qui conseille ceci: «Si de l’argent a déjà été versé, contacter sa banque et demander s’il est possible de faire une demande de retour de fonds, dans tous les cas il faut faire bloquer sa carte.»
PayByPhone réagit
Mais jeudi toujours, Sandy Lavorel repérait un autocollant frauduleux à Vevey. «De nombreux utilisateurs se font piéger par ces arnaques, mais il est très difficile de les quantifier. Dans des lieux où les gens s’attendent à voir des codes QR, comme les parkings, les événements publics, comme les Jeux olympiques, le Tour de France ou les festivals ou même les restaurants, ils sont moins méfiants.»
L’affaire est suffisamment sérieuse pour que l’entreprise PayByPhone réagisse. Il y a quelques jours, la société publiait un long bulletin d’alerte sur son site, avec notamment ce conseil: «Avant de scanner un code QR, examinez-le et assurez-vous qu’il ne semble pas altéré, déformé ou modifié de quelque manière que ce soit. Les codes QR PayByPhone sont toujours incrustés dans le visuel de l’autocollant et ne sont jamais collés par-dessus.»
PostFinance touchée
Certains des clients de PayByPhone ont-ils perdu de l’argent? «Nous n’avons pas connaissance d’un cas spécifique en Suisse», répond Siân Hughes, porte-parole de la société. Elle dit ne pas craindre une baisse de confiance dans ses services: «Malheureusement, ce type de fraude est répandu partout, pas seulement dans le stationnement. Nous travaillons activement à sensibiliser nos automobilistes, en les encourageant à rester vigilants. Notre principal conseil est de télécharger l’application PayByPhone uniquement depuis l’App Store d’Apple, Google Play ou depuis notre site web, et jamais depuis un lien code QR.»
La menace est protéiforme. Fin mai, PostFinance lançait une alerte, des escrocs envoyant un courrier postal à ses clients pour les inciter à cliquer sur des liens frauduleux via des codes QR imprimés. Et fin mars, la police valaisanne racontait l’histoire d’une femme ayant perdu plusieurs milliers de francs à cause de codes QR vérolés liés à des sites de petites annonces.
Que faire en cas d’arnaque? «La récupération de l’argent perdu peut être difficile, mais pas impossible, affirme Sandy Lavorel. Surveillez régulièrement vos comptes pour détecter toute activité suspecte. Si vous vous rendez compte que vous avez transmis des informations sensibles ou réalisé un paiement via un code QR frauduleux, contactez immédiatement votre banque. Enfin, déposez plainte: cela peut aider à traquer les escrocs et potentiellement récupérer les fonds.» Le spécialiste conseille, de manière générale, de rester vigilant et de protéger ses informations personnelles.