Un simple autocollant par-dessus le vrai QR code et voilà, les pirates sont en possession des coordonnées bancaires de plusieurs automobilistes du Loiret. Une arnaque rapidement détectée et seulement quelques dizaines d'euros débités. Un procédé bien rodé, explique Damien Bancal, expert en cyberintelligence.
Un faux QR code quasiment indétectable
"Ce qu'a fait le pirate, c'est ce que l'on appelle l'attaque de l'homme du milieu. Son QR code va en fait renvoyer le client sur un faux site qui promet de recharger son compte client pour pouvoir récupérer de l'électricité". Un site internet qui permet au pirate informatique de récupérer l'intégralité des informations que le client va transmettre. Et même pour un spécialiste comme lui, au premier abord, le faux est quasiment impossible à détecter.
"J'ai beau être un geek, si j'ai un QR code devant les yeux, je suis incapable de vous dire comme ça en le regardant ce qui s'y cache derrière". Mais selon cet expert, il existe un moyen de vérifier l'authenticité de ce genre de code : "Votre téléphone portable peut avoir ce que l'on appelle un lecteur de QR code, vous le flashez et il vous dit ce qui s'y cache". Bien surveiller donc le site vers lequel vous êtes dirigé. Et puisqu'il s'agit d'un autocollant, ne pas hésiter à vérifier à la main que rien n'a été ajouté sur la borne. Sinon, il faudra aller recharger sa voiture un peu plus loin.