L'arnaque au QR code va s'intensifier pendant les JO, prévient le site Cybermalveillance.gouv

Mélina LOUPIA
Publié le 09 juillet 2024 à 15h52
Ils vont fleurir partout pendant les JO, mais attention, certains de ces QR codes flashent aussi vos données personnelles - © Billion Photos / Shutterstock
Ils vont fleurir partout pendant les JO, mais attention, certains de ces QR codes flashent aussi vos données personnelles - © Billion Photos / Shutterstock

Les Jeux olympiques de Paris 2024 sont particulièrement scrutés par les services de cybersécurité. Cybermalveillance.gouv et UNCyber alertent cette fois sur le « quishing », cette technique qui exploite la multiplication des QR codes pendant l'événement pour dérober données personnelles et bancaires.

La fête du sport pour les uns, le festival des arnaques pour les autres. Les Jeux olympiques de Paris 2024 s'annoncent comme un festin pour les escrocs du net. À quelques semaines de l'événement, les spécialistes en cybersécurité sont sirènes hurlantes sur toutes les formes de cyberattaques et d'escroqueries qu'il peut engendrer.

L'arnaque au QR code en fait partie. Cette technique, qui a le vent en poupe depuis la pandémie, risque de faire des ravages pendant les JO. Les petits carrés noir et blanc seront omniprésents : billets, accès aux zones réglementées, connexion au Wi-Fi... Autant d'occasions pour les cybercriminels de piéger les visiteurs peu méfiants. Jean-Jacques Latour, de Cybermalveillance.gouv, ne mâche pas ses mots : « Les Jeux olympiques vont ameuter plus d'escrocs », déclare-t-il dans les colonnes de Ouest-France. Un avertissement qui mérite qu'on s'y attarde.

Le quishing, l'arnaque qui flashe vos données

Le quishing, contraction de « QR code » et « phishing », est le petit nouveau dans la famille des arnaques en ligne. Son principe ? Tromper l'utilisateur en lui faisant scanner un faux QR code. Vous pensez accéder à un site légitime, mais vous tombez dans un piège. À la clé : vol de données personnelles, mots de passe dérobés, ou pire, compte en banque vidé.

Pourquoi cette technique risque-t-elle de faire un carton pendant les JO ? C'est simple comme un coup de scanner. Les QR codes seront partout : restaurants, transports, zones d'accès... Les escrocs n'auront qu'à coller leurs faux codes par-dessus les vrais. Et le tour est joué ! « C'est très facile de faire un QR code », explique le lieutenant Eddy Rouf de l'Unité nationale Cyber, à nos confrères de Ouest-France. Les chiffres font froid dans le dos : plus de 800 procédures pénales en cours concernent déjà des arnaques au QR code.

L'UNCyber note une « hausse significative » de ces faits, tout comme l'ANSSI qui s'en était inquiété. Et ce n'est que le début. Les JO offrent un terrain de jeu idéal aux cybercriminels. Imaginez : des millions de visiteurs pressés, peu familiers avec la ville, smartphone à la main... Une aubaine pour les escrocs. « Cela pourrait se matérialiser par des affichages pour gagner des places et ainsi piéger des touristes », met en garde Jean-Jacques Latour. Le pire ? Cette arnaque contourne les antivirus et les filtres de sécurité. Un vrai casse-tête pour les autorités.

Méfiez-vous des QR codes dans la rue ! © Lee Charlie / Shutterstock
Méfiez-vous des QR codes dans la rue ! © Lee Charlie / Shutterstock

Les JO de Paris 2024 : un défi cybersécurité sans précédent

Les Jeux olympiques de Paris ne sont pas seulement un défi sportif, mais aussi un casse-tête de cybersécurité. L'ANSSI, gendarme français du numérique, ne se voile pas la face. Son directeur, Vincent Strube, l'avoue : « On ne va pas empêcher toutes les attaques de se produire ». Un constat qui fait froid dans le dos quand on sait que le volume des cyberattaques pourrait être « huit à dix fois supérieur » à celui des JO de Tokyo en 2021.

Le quishing n'est que la partie émergée de l'iceberg. Cyberespionnage, opérations perturbatrices, hacktivisme... Les menaces sont légion. La Russie est pointée du doigt comme le pays le plus susceptible de mener des cyberattaques, suivie par la Chine. Un vrai champ de mines numérique !

Alors, comment profiter sereinement des JO sans se faire arnaquer ? Voici quelques conseils en or :

  • Méfiez-vous des QR codes dans la rue. Privilégiez les sources officielles ;
  • Vérifiez l'URL avant de saisir vos données. Un « s » après « http » est un bon signe, par exemple ;
  • N'installez jamais d'applications via un QR code. Préférez les stores officiels ;
  • En cas de doute, tapez l'adresse manuellement plutôt que de scanner ;
  • N'hésitez pas à consulter nos guides sur les moyens de protection contre les cybermenaces ;
  • Évitez les réseaux Wi-Fi publics non sécurisés en suivant nos conseils.

Le site Cybermalveillance.gouv a publié un guide des bonnes pratiques spécialement destiné aux Jeux. Les JO seront une fête, ne laissez pas les cybercriminels gâcher la vôtre. Comme le dit si bien Vincent Strube : « Notre objectif, c'est de faire en sorte que ces cyberattaques ne nuisent pas au déroulement des Jeux ». À vous de jouer !

  • Lecture instantanée des QR codes.
  • Création de QR codes personnalisés.
  • Utilitaire gratuit.
8 / 10
Par Mélina LOUPIA

Modératrice, contributrice et community manager pour le regretté OVNI Le Post, puis journaliste société spécialisée dans la parentalité et la psychologie notamment sur Le HuffPost, l'univers du Web, des réseaux, des machines connectées et de tout ce qui s'écrit sur Internet s'inscrit dans le champ de mes sujets préférés.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (6)
Squeak

Il suffirait de créer une application officielle de lecture de QR codes avec une liste blanche de noms de domaine et mettre tout le reste à la poubelle pourtant.

codeartemis37

non.
une liste noire serait efficace mais pas pour longtemps.
quant à une liste blanche, cela retire l’intérêt même du qr code (éviter de taper une url), vu qu’il faudrait que TOUS les sites non frauduleux soient sur cette liste.

bonne chance au dev qui doit optimiser les performances de la liste :rofl:

Squeak

De manière générale oui c’est plus complexe, mais je pensais à la base plus à une application suivant le contexte des JO, ça limite le nombre d’URL par exemple et avec un message sous le QR code du style « Veillez à utiliser l’application officielle des JO pour scanner ce code afin de vous assurer que ce site est bien légitime ».

julla0

J’aurai bien voulu savoir comment fonctionne l’arnaque mais non, on n’apprend rien.

MattS32

C’est assez simple, dans de plus en plus d’endroit, il y a des QR affichés pour donner des liens utiles, par exemple pages d’informations touristiques, page d’accès à des services, etc…

Donc en générant des QR contenant un lien vers un site malveillant et en les collants dans des lieux publiques ont peut piéger les gens et les faire aller sur le site malveillant.

Dans le cas des JO, ça peut être par exemple un faux site de vente de billets ou des faux accès à des informations.

Dans le même ordre d’idée, ça se fait aussi beaucoup sur les bornes de recharge VE. Depuis que la loi impose de pouvoir payer sans badge d’accès, les bornes non équipées d’un lecteur CB on souvent été affublée d’un QR contenant soit un lien pour accéder à une page de paiement, soit un lien vers l’application du gestionnaire de la borne. Et des escrocs ont collé leur propre QR par dessus celui d’origine.

julla0

Merci pour l’éclaircissement.