Les codes QR permettent de payer des factures, d’accéder au menu d'un restaurant ou de se connecter à un site Internet. Mais comme les données ainsi codées ne sont pas directement accessibles à l’œil humain, il convient de les utiliser avec prudence.
L’utilisation d’un code QR nécessite une série de précautions :
- Votre institut bancaire ne vous demandera jamais, ni par email, ni par SMS, ni par téléphone, de scanner un code QR avec l’application qui vous permet de vous identifier.
- Ne communiquez jamais vos identifiants de connexion (à votre site d’e-banking ou à votre application de Mobile Banking) sur un site auquel vous êtes parvenu via un code QR.
- Pour régler vos factures QR, utilisez en exclusivité l’application de votre institut financier.
- Pour scanner un code QR, utilisez l’appareil photo de votre téléphone ou une application dédiée qui vous montre d’abord le contenu du code et ne le traite pas immédiatement.
- Une fois le code QR scanné, vérifiez toujours la destination du lien ou les informations de paiement avant d'ouvrir la page cible ou d’effectuer la transaction.
- N’utilisez les codes QR que dans les situations où leur utilisation vous semble normale ou sans risque. Ne laissez personne vous convaincre d’effectuer des paiements au moyen d’un code QR.
Les dangers des codes QR
Qu'il s’agisse d'un simple lien ou des instructions à suivre pour effectuer une transaction bancaire, ces petites mosaïques peuvent contenir une quantité incroyable d'informations. Celles-ci peuvent être facilement lues à l’aide d'une application dédiée et sont souvent traitées de manière automatique. En plus de cette caractéristique, les escrocs profitent du fait que l’utilisateur ne peut généralement pas reconnaître le contenu d'un code QR avant de l’avoir scanné. La facilité avec laquelle il est possible de générer des codes QR n’arrange rien.
Ainsi, il arrive par exemple que de faux codes de paiement soient collés sur des vrais. Dans ce cas, les paiements effectués via ces codes QR collés atterrissent directement sur le compte des escrocs et non sur celui des véritables bénéficiaires.
Les e-mails de phishing contiennent également de plus en plus de codes QR. Ces derniers permettent en effet de tromper les antivirus et les victimes potentielles en dissimulant des liens vers des sites web malveillants. Un code QR peut également cacher un lien menant par exemple à un fichier malveillant ou une application malveillante, à une boutique en ligne douteuse ou à un point d’accès wifi piraté.
Pour scanner un code QR, il convient donc d'utiliser l’appareil photo normal de son smartphone ou, en alternative, une application de lecture des codes QR, qui affiche d'abord les contenus décodés avant de demander si l'on souhaite visiter un lien ou exécuter une action donnée. Cela n’est malheureusement pas le cas sur tous les dispositifs mobiles avec l’application appareil photo intégrée. On trouve dans les stores officiels plusieurs bonnes applications que l'on peut installer pour cela.
Les codes QR sont de plus en plus utilisés pour accéder aux services d’e-banking ou de mobile banking. Lorsque vous utilisez l’application d’authentification de votre institut financier pour accéder aux services d’e-banking ou de Mobile Banking, veillez à ne scanner que les codes QR présents sur la page de connexion officielle de votre banque ou sur les factures QR légitimement établies. Votre institut bancaire ne vous demandera jamais, ni par email, ni par SMS, ni par téléphone, de scanner un code QR.
Retour sur une histoire à succès
Les codes QR sont aujourd'hui largement répandus. À l'origine, le code QR a été développé pour le marquage de modules et de pièces détachées dans la production automobile. Les lettres QR signifient « Quick Response » en anglais, soit « réponse rapide ».
Depuis, les codes QR sont utilisés dans les factures QR, dans les publications et dans le marketing, pour créer un lien entre des objets physiques (produits, presse écrite, affichages, etc.) et le monde de l'Internet, et mettre ainsi à disposition du public des informations plus détaillées.
Comme le contenu des codes QR ne peut pas d'emblée être décodé par l'œil humain, le code QR doit tout d'abord être scanné, à l'aide d'un smartphone ou d'un lecteur spécial.
Exemple du code QR de « eBanking – en toute sécurité ! » (www.ebas.ch)
Peu coûteux, les codes QR sont faciles à utiliser. Générer un code QR ne nécessite aucune ressource particulière ni connaissance technique. Il existe une kyrielle de sites Internet permettant de générer des codes QR. Outre les codes QR classiques, on voit apparaître de plus en plus de codes QR créatifs générés sur mesure dans le but d’attirer l’attention et de créer un effet publicitaire.
Exemple de code QR créatif et coloré (du OFCS)
Un code QR se présente sous la forme d’une mosaïque de petits carrés ou points noirs et blancs – et parfois même de couleur. Encodées en binaire, les données qu'il contient peuvent être de toutes sortes, des adresses web ou des informations de paiement. Un marquage spécial (trois carrés répartis aux quatre coins de la mosaïque) donne le sens de lecture.
