Attaques par quishing : comment les codes QR volent les identifiants

S’il est vrai que les codes QR existent depuis longtemps, force est de constater que leur usage s’est largement généralisé dans notre quotidien après la pandémie de COVID-19. Ce qui n’était à l’origine que des menus sans contact s’est transformé en cartes d’embarquement, systèmes de paiement et passerelles d’authentification. Toutefois, cette omniprésence constitue un terreau fertile pour les cybercriminels qui ont transformé ces carrés pixélisés en outils sophistiqués de collecte d’identifiants.

Bienvenue dans l’univers du quishing, une attaque par hameçonnage impliquant l’utilisation de codes QR qui révolutionne la façon dont les acteurs malveillants compromettent l’authentification des utilisateurs et volent leurs mots de passe.

L’essor de l’hameçonnage par code QR

Selon une étude menée par NordVPN, 73 % des Américains scannent les codes QR sans les vérifier, et plus de 26 millions d’entre eux ont déjà été redirigés vers des sites malveillants. Ce manque de vérification offre d’immenses possibilités aux hackers qui comprennent que les codes QR sont essentiellement des URL invisibles que les utilisateurs ne peuvent pas inspecter avant de cliquer dessus.

Une autre étude réalisée cette année a révélé que 26 % de tous les liens malveillants sont désormais envoyés via des codes QR. Cette évolution n’est pas fortuite, mais stratégique. À mesure que les filtres de sécurité des e-mails deviennent plus sophistiqués pour détecter les tentatives d’hameçonnage traditionnelles, les hackers se tournent vers des méthodes qui permettent de contourner entièrement ces protections.

L’intérêt pour les cybercriminels est évident : imprimer un code QR malveillant, le coller sur un code légitime et attendre que les victimes le scannent. Contrairement aux e-mails suspects qui peuvent raviver les notions de sécurité informatique, les codes QR semblent sûrs et officiels, en particulier lorsqu’ils apparaissent à des endroits où il est courant de les utiliser tels que les parcmètres, les tables de restaurant ou les répertoires des immeubles de bureaux.

Comment les attaques par quishing ciblent-elles les systèmes d’authentification ?

Les attaques par hameçonnage par code QR suivent généralement des schémas prévisibles qui compromettent directement la sécurité des mots de passe et les systèmes d’authentification des organisations :

• Collecte d’identifiants : l’attaque par quishing la plus courante consiste à rediriger les utilisateurs vers des répliques convaincantes de pages de connexion. Un employé scanne ce qui semble être un code QR pour accéder au Wi-Fi du bâtiment et se retrouve sur une fausse page de connexion Microsoft 365. Il saisit ses identifiants, les transmettant sans le savoir directement aux hackers qui peuvent alors accéder aux systèmes de l’entreprise. 
• Contournement de l’authentification multifacteur : les campagnes de quishing sophistiquées ne se contentent pas de collecter des mots de passe ; elles recueillent également des codes d’authentification multifacteur. Les hackers créent des sites proxy en temps réel qui capturent les identifiants et les utilisent immédiatement pour déclencher des invites d’authentification multifacteur légitimes. Lorsque les victimes saisissent leurs codes d’authentification en pensant se connecter à un service authentique, les hackers capturent ces codes et obtiennent un accès complet au compte. 
• Usurpation d’identité du service d’assistance : des codes QR figurant sur de faux flyers d’assistance informatique ou des avis de « mise à jour urgente du système » amènent les employés à remplir des formulaires leur demandant leurs mots de passe actuels « à des fins de vérification ». Ces informations sont ensuite utilisées pour mener des attaques basées sur les identifiants sur plusieurs systèmes. 
• Compromission des téléphones portables : les codes QR étant principalement scannés à l’aide d’appareils mobiles, les attaques réussies installent souvent des logiciels malveillants capables d’intercepter les codes d’authentification par SMS, de capturer les mots de passe stockés ou de surveiller les futures tentatives de connexion. 

Pourquoi le quishing réussit-il là où d’autres attaques échouent ?

Les campagnes d’hameçonnage traditionnelles se heurtent à plusieurs niveaux de sécurité : filtres de messagerie électronique, formation à la sécurité et apprentissage des utilisateurs à examiner attentivement les messages suspects. Les attaques par hameçonnage par code QR contournent bon nombre de ces défenses :

• Invisibilité : les utilisateurs ne peuvent pas prévisualiser les destinations des codes QR comme ils le font lorsqu’ils survolent les liens dans les e-mails. Cette confiance aveugle crée les conditions idéales à la réussite d’une ingénierie sociale. 
• Présence physique : les codes QR malveillants placés dans des endroits légitimes héritent de la crédibilité de leur environnement. Un code QR sur un prospectus d’apparence officielle dans le hall d’un bureau semble plus fiable qu’un e-mail provenant d’un expéditeur inconnu. 
• Vulnérabilité des téléphones portables : les codes QR sont principalement scannés à l’aide d’appareils mobiles personnels, qui disposent souvent de moins de contrôles de sécurité que les ordinateurs portables d’entreprise. De nombreuses organisations qui déploient une protection robuste des terminaux sur les ordinateurs ne veillent pas à protéger suffisamment les portables. 
• Exploitation de l’urgence :  les hackers placent des codes QR dans des situations où les utilisateurs se sentent obligés d’agir rapidement, par exemple lorsque la durée de stationnement est écoulée, lors d’évacuations urgentes de bâtiments ou dans le cadre d’avis de « maintenance du système » menaçant de suspendre les comptes. 

Scénarios réels d’attaques par quishing

Comprendre le déroulement de ces attaques en pratique permet d’illustrer pourquoi elles sont si efficaces contre les systèmes d’authentification :

• Arnaque aux parcmètres :  les hackers placent des codes QR frauduleux sur les parcmètres, redirigeant les conducteurs vers de faux sites de paiement. Les utilisateurs saisissent leurs informations de carte de crédit et créent souvent des comptes avec des mots de passe qu’ils réutilisent sur d’autres services, donnant ainsi aux hackers un accès potentiel aux systèmes de l’entreprise. 
• Faux accès WiFi : des codes QR malveillants apparaissent sur les panneaux « Accès au réseau invité » dans les cafés ou les centres de conférence. La lecture de ceux-ci mène à des pages de collecte d’identifiants conçues pour ressembler à des portails captifs légitimes, qui collectent les adresses e-mail et les mots de passe des entreprises. 
• Fraude au paiement de factures : les services financiers reçoivent des factures physiques accompagnées de codes QR pour « faciliter le paiement en ligne ». Ces codes mènent à des sites qui collectent les coordonnées bancaires et demandent souvent des informations « de vérification » supplémentaires qui peuvent servir à mener d’autres attaques. 
• Fraude à l’accès aux bâtiments : de faux codes QR apposés sur les panneaux des immeubles de bureaux prétendent permettre « l’enregistrement des visiteurs sans contact », mais collectent en réalité les identifiants des employés pour les utiliser ultérieurement dans le cadre de fraudes par échange de carte SIM ou d’autres attaques ciblées. 

Se défendre contre les attaques d’hameçonnage par code QR

Pour protéger votre organisation contre le quishing, il faut adopter une approche à plusieurs niveaux qui tienne compte à la fois des vulnérabilités techniques et du comportement humain :

Formation et sensibilisation des utilisateurs

Apprenez à vos employés à vérifier la source des codes QR avant de les scanner. Les codes QR légitimes doivent comporter des informations claires sur leur destination et leur objectif. Si un code QR apparaît sans contexte ou à un endroit où son utilisation n’est pas courante, les employés doivent le signaler aux équipes de sécurité informatique.

Mettez en place des politiques relatives à l’utilisation des codes QR dans les environnements d’entreprise. Définissez quand et où l’utilisation des codes QR peut être acceptée à des fins professionnelles, et créez des procédures de signalement des codes suspects.

Contrôles techniques

Déployez des solutions de gestion des portables (MDM) capables de détecter les domaines malveillants connus et d’y bloquer l’accès, même lorsqu’ils sont accessibles via des codes QR. Cette mesure fournit un filet de sécurité lorsque les utilisateurs sont confrontés à des attaques sophistiquées.

Mettez en place un filtrage au niveau du réseau qui inspecte tout le trafic, quelle que soit la manière dont les utilisateurs accèdent aux sites malveillants. De nombreuses organisations disposent d’un filtrage Web puissant sur leurs réseaux d’entreprise, mais ne surveillent guère les réseaux invités.

Renforcement de l’authentification

La défense la plus efficace contre les attaques par quishing réussies consiste à s’assurer que même les identifiants compromis ne peuvent pas fournir un accès véritable aux hackers. C’est là que des politiques de mot de passe et des systèmes d’authentification robustes deviennent essentiels.

Des politiques de mot de passe robustes qui empêchent la réutilisation des identifiants sur plusieurs systèmes limitent les dommages lorsque les comptes personnels des employés sont compromis par le biais d’une attaque par hameçonnage par code QR. Si un employé utilise le même mot de passe pour un faux site de paiement de stationnement et son compte d’entreprise, les hackers peuvent accéder aux systèmes de l’entreprise.

Les cadres d’authentification modernes qui reposent moins sur les mots de passe traditionnels réduisent l’impact du vol d’identifiants. Même si les hackers recueillent des informations de connexion grâce à des campagnes de quishing, une authentification multifacteur correctement mise en œuvre crée des obstacles supplémentaires à l’accès au système.

Protection du help desk

Les opérations du service d’assistance – ou help desk – sont particulièrement exposées au risque d’ingénierie sociale via le quishing. Les hackers qui ont recueilli des informations sur les employés grâce àl’hameçonnage par code QR peuvent utiliser ces données pour usurper l’identité des utilisateurs lorsqu’ils appellent pour demander la réinitialisation d’un mot de passe ou l’accès à un compte.

La protection des opérations du help desk nécessite des processus d’authentification qui vont au-delà des informations que les hackers ont pu recueillir grâce à des campagnes de quishing. Avant d’apporter des modifications à des comptes sensibles, l’on ne saurait considérer comme vérification suffisante le simple fait de connaître le nom, le matricule de l’employé ou l’historique de connexions récentes d’une personne.

Des solutions telles que Specops Secure Service Desk imposent la vérification de l’identité de l’appelant grâce à des méthodes qui éliminent les possibilités d’usurpation d’identité, en exigeant une vérification via des facteurs résistants à l’hameçonnage plutôt que de se contenter des informations qu’un hacker pourrait avoir recueillies par le biais de l’ingénierie sociale.

L’avenir de la sécurité des codes QR

Alors que l’utilisation des codes QR ne cesse de se généraliser, les organisations doivent adopter des approches proactives en matière de sécurité plutôt que des réponses réactives aux attaques réussies. Cela veut dire qu’il faut considérer les codes QR comme des vecteurs d’attaque potentiels dans la planification de la sécurité et s’assurer que les systèmes d’authentification peuvent résister à la compromission des identifiants, quelle qu’en soit la source.

L’objectif n’est pas d’éliminer les codes QR des opérations commerciales, car ils offrent de réels avantages en termes de commodité et d’efficacité. Les organisations doivent plutôt mettre en place des cadres de sécurité qui partent du principe que la compromission des identifiants est inévitable et s’attacher à en limiter les dommages le cas échéant.

Les codes QR ne sont pas près de disparaître, tout comme les hackers qui les exploitent. Les organisations qui anticipent les attaques par quishing sont celles qui partent du principe que la compromission des identifiants est inévitable et mettent en place une sécurité adaptée. Pour les organisations qui cherchent à renforcer leur posture globale d’authentification contre les attaques d’ingénierie sociale telles que le quishing, l’évaluation des politiques actuelles en matière de mots de passe et des procédures du help desk constitue une base solide pour se défendre contre les menaces en constante évolution.

Envisagez de mettre en œuvre Specops Password Policy pour imposer des mots de passe forts et uniques et analyser en permanence votre Active Directory à la recherche de plus de 4 milliards de mots de passe compromis. Lorsque les employés sont confrontés à des attaques sophistiquées de type « quishing », l’adoption de politiques de mot de passe robustes évitent que les identifiants compromis ne puissent être utilisés sur plusieurs systèmes. Réservez dès aujourd’hui une démonstration en ligne de Specops Password Policy.