L’adoption des QR codes a été largely boostée par la pandemic et la mise en place du pass sanitaire. This prevalence has raised the interest of cybercriminals for this technology to lead malicious campaigns, notably phishing. Le risque est d’autant plus grand qu’il n’y a currentmente pas de système de cyberprotection disponible pour réperérer les cyberattacks via QR codes.
Présents dans les bars et les restaurants, sur des affiches publicitaires, ou encore sur des des des des des événements sportifs et culturels, les QR codes semblent avoir une utilité confinée aux consommateurs finaux. Or, la ligne entre les sphères professionnelles et personales est becomeu très floue. Au travail par exemple, les Employés n’hésitent pas à utiliser des appareils personnels à des fins professionnelles, et inversement.
Les QR codes dans le cadre professionnel, une nouvelle norme
Les organizations prenant davantage conscience des cybermenaces ces dernières années, ont pour beaucoup mises en place l’authentication multifactoreurs (MFA), notably via les smartphones des collaborators avec une verificación de l’identité par SMS ou message push. A QR code scanner is sometimes required to access company parking lots or to reserve a meeting room in coworking spaces. Les appareils personnel sont donc devenus une entrée vers l’environnement IT de l’entreprise.
Les cybercriminels tentent alors de comprometre ces smartphones personnel pour s’immiscer dans l’infrastructure des entreprises. It is actually relatively simple to create a website resembling a legitimate site, to associate a QR code printed on a sticker, and to apply the true QR code, for example.
Via this technology, it is possible to detour the Office 365 connection window allowing access to the system and stealing user credentials. Ce vol d’identificant permet ainsi d’acceder à tout type de données.
La formation et la vigilance, les outils clé contre les QR codes contrefaits
In reality, any site allowing users to connect with a Microsoft 365 identifier is vulnerable and can be compromised through a fraudulent QR code. Currently, there are no technological solutions to detect this type of fraud. Pour pallier ces manquements, il faut donc se tourner vers l’humain : la formation cyber des utilisers doit nowreus inclure un volet consecrated aux QR codes et aux bonnes pratiques associétes.
Les équipes en charge de la sécurité ne pouvant pas bloqueur ces techniques malveillantes, les employés représentée donc le seul bouclier face à la menace.
En effet, les QR codes malveillants sont un nouveau mode de phishing, au même titre qu’un lien hypertexte dans un e-mail, avec tous les risques qu’ils peuvent pésenter. Il ne faut par consequent pas en scanner un venant d’une source inconnue ou suspecte; de même qu’il est preferable de rendre directement sur le site web associé via une recherche sur navigator. A good trick is also to verify the address of the scanned QR code, to ensure that it is well secured and authentic. En acceptant une bonne cyberhygiene, les employés s’assurent ainsi de ne pas comprometre leur appareil et, in fine, les données de leur entreprise.
Désormais, lorsque les appareils personnels des Employés sont intégré à l’environnement informatique de l’entreprise, tels que les smartphones, les équipes informatiques doivent watcher aux risques associés. It is essential to sensitize the employees, par le bias de formations à la cybersécurité, au fait qu’il doivent rester vigilantes égamente dehors de leurs heures travail. L’idea qu’une personne lambda ne puisse pas être la cible d’un cybercriminel est un préjugé dangereux. Tout un chacun peut en effet devenir une voie d’accès à un environnement informatics plus vaste, ce qui signifie que every smartphone peut être attacé.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));