La majorité des utilisateurs scannent les QR codes en dépit des risques de sécurité d’après une étude de MobileIron.

Des billets de train et d’avion aux menus des restaurants, les QR codes, ces petits carrés eux-mêmes constitués de petits carrés noirs ou blancs sont devenus communs dans nos vies quotidiennes. Avec nos smartphones, il suffit de passer notre appareil photo dessus pour avoir accès à toutes sortes de service. Mais ces codes-barres du XXIe siècle posent des problèmes insoupçonnés de sécurité. MobileIron, (entreprise cotée au NASDAQ), plateforme de sécurité mobile pour l’« Everywhere Enterprise », révèle les résultats d’une nouvelle étude sur le sentiment des consommateurs. 74% des personnes interrogées estiment que, dans un univers sans contact, les codes QR leur facilitent la vie. Or, la majorité des utilisateurs n’ont aucune fonction de sécurité sur leur appareil mobile. 51 % déclarent ne pas avoir de logiciel de sécurité ou ne pas savoir si un tel logiciel est installé sur leur appareil.


Le succès des QR codes

Avec le Covid, la distanciation physique a permis l’accélération du développement de certains usages digitaux, notamment sur mobile. Dans ce contexte, l’étude relève que près de la moitié (47 %) des personnes interrogées ont remarqué une augmentation de l’utilisation des QR codes. Très souvent les employés d’entreprise utilisent leur propre appareil mobile, non sécurisé, pour contacter d’autres personnes, interagir avec toute une variété d’applications et de services cloud et rester productifs tout en travaillant depuis n’importe quel emplacement. De nombreux employés utilisent également leur appareil mobile pour scanner des QR codes dans le cadre de leur vie quotidienne, ce qui compromet leur propre sécurité, mais aussi celle de l’entreprise.

La montée en flèche des QR codes en chiffres

–  84 % des personnes interrogées ont déjà scanné un code QR auparavant, 32 % la semaine dernière et 26 % le mois dernier.

–  Au cours des six derniers mois, 38 % des répondants ont scanné un code QR dans un restaurant, un bar ou un café, 37 % chez un commerçant et 32 % sur un produit de consommation.

–   53 % des répondants souhaitent que les codes QR soient plus largement utilisés dans le futur.

–   43 % prévoient d’utiliser un code QR comme moyen de paiement dans un avenir proche.

–  40 % voteraient à l’aide d’un code QR reçu par courrier si cette option était proposée.

Dans le cadre de la pandémie de COVID-19, les hackers profitent de ces lacunes de sécurité et ciblent de plus en plus les appareils mobiles avec des attaques sophistiquées. Les appareils mobiles sont en effet des cibles attrayantes, car leur interface amène les utilisateurs à prendre des mesures immédiates, tout en limitant la quantité d’informations disponibles. De plus, lorsqu’ils sont sur leur appareil mobile, les utilisateurs sont souvent distraits, et peuvent donc plus facilement être victimes d’attaques.

“Les hackers lancent des attaques sur tous les vecteurs de menaces mobiles. Ils ciblent notamment les courriels, les messages texte, les SMS, les messages instantanés, les médias sociaux et d’autres modes de communication, constate Alex Mosher, vice-président Solutions de MobileIron. Je pense que nous allons bientôt assister à un assaut d’attaques via les QR codes. Un hacker pourrait facilement incorporer une URL malveillante dans un QR code. Cette URL pourrait contenir un logiciel malveillant personnalisé. Le hacker pourrait ainsi exfiltrer les données de l’appareil mobile dès que le QR code serait scanné. Autre stratégie, un hacker pourrait incorporer dans un QR code une URL malveillante dirigeant l’utilisateur vers un site de phishing et l’encourageant à divulguer ses identifiants. Il lui suffirait ensuite d’utiliser ces informations pour infiltrer l’entreprise.”

En quelques chiffres, l’étude donne à voir l’étendue du risque lié à l’usage son sécurisé des QR codes. Près de trois quarts (71 %) des personnes interrogées ne peuvent pas faire la distinction entre un QR code légitime et un QR code malveillant, alors que 67 % font la distinction entre une URL légitime et une URL malveillante. Si la plupart des répondants (67 %) savent que les QR codes peuvent ouvrir une URL, ils sont moins conscients des autres actions possibles des QR codes.

Seuls 19 % des répondants pensent que le fait de balayer un QR code peut créer un e-mail. 20 % pensent que ce balayage peut lancer un appel téléphonique et 24 % qu’il peut créer un message texte.

51 % des personnes interrogées ont des inquiétudes quant à la confidentialité, la sécurité, les finances, et d’autres domaines en ce qui concerne l’utilisation des QR codes, mais elles les utilisent quand même. 34 % n’ont aucune inquiétude liée à l’utilisation de ceux-ci. 35 % des répondants ne savent pas si les hackers peuvent cibler leurs victimes en utilisant un QR code.

“Les entreprises doivent repenser d’urgence leur stratégie de sécurité pour se concentrer sur les appareils mobiles, conclut Alex Mosher. Elles doivent dans le même temps donner la priorité à une expérience utilisateur sans failles. Une solution UEM (Unified Endpoint Management) peut fournir les contrôles informatiques nécessaires. Une telle solution peut sécuriser, gérer et surveiller chaque appareil, utilisateur, application et chaque réseau utilisé pour l’accès aux données de l’entreprise, tout en optimisant la productivité. Les entreprises peuvent également s’appuyer sur une solution UEM associée à une solution de défense contre les menaces mobiles. Elles pourront ainsi détecter les menaces mobiles (dont les codes QR malveillants) et y remédier, même lorsqu’un appareil mobile est hors ligne.”