Failles de sécurité dans les paiements électroniques effectués via les codes QR

Partager
Chine

Actualité
Chine | Sciences et technologies de l’information et de la communication : TIC, télécoms, micro-nanotechnologies, informatique
25 avril 2017

Le nombre d’escroqueries au code QR augmente en Chine, mettant en lumière les failles de sécurité existant dans les moyens de paiement électronique. En remplaçant les codes des commerçants légitimes par des copies malveillantes, les fraudeurs peuvent accéder aux informations personnelles des consommateurs et réaliser des actions non souhaitées sur leurs comptes bancaires.

Créé en 1994 au Japon par un fournisseur automobile, ce type de code à deux dimensions était initialement dédié à une utilisation industrielle pour le suivi de produits durant un processus d’assemblage. Il a vu son usage se répandre massivement en Asie dès le début des années 2000. Un code QR peut contenir jusqu’à 4 296 caractères alphanumériques et dispose d’un système de redondance permettant la correction d’erreurs. Cependant, l’œil humain n’est pas en mesure de détecter un code frauduleux, et il est relativement aisé pour les fraudeurs de manipuler un code QR et de le modifier. Ainsi selon LIU QingFeng, membre du conseil d’administration de la société informatique iFlytek, près d’un quart des virus informatiques en Chine seraient transmis par le biais de ces codes.

Dans la province du Guangdong, environ 90 millions de RMB (12,5 millions d’euros) ont été volés en 2016 en utilisant de codes QR modifiés, selon un rapport publié en mars 2017 par le Southern Metropolis Daily. Selon un autre rapport, la police de la ville de Foshan, toujours dans la province du Guangdong, a récemment arrêté un homme suspecté d’avoir escroqué 900 000 RMB (128 000 euros) en remplaçant des codes QR de commerçants par un code ayant un virus incrusté, programmé pour subtiliser les informations personnelles des consommateurs.

La prolifération de ce type de délits en Chine va de pair avec le développement rapide du paiement mobile. Un paiement ne nécessite que de scanner un code QR puis de confirmer la transaction, et la méfiance vis-à-vis de ce type de dispositifs est très faible. Le récent développement de l’industrie du vélo libre-service est aussi un facteur profitant à ces escroqueries puisqu’en remplaçant par un faux le code QR utilisé pour déverrouiller un vélo, les fraudeurs peuvent accéder aux données personnelles des utilisateurs. L’utilisation toujours plus répandue de ce type de dispositifs demande donc la sensibilisation des usagers et le renforcement de la sécurité des procédures de validation des codes avant d’autoriser l’accès aux données et au paiement.

Sources

http://www.scmp.com/business/china-business/article/2080841/rise-qr-code-scams-china-puts-online-payment-security

En savoir plus

http://mobilebusinessinsights.com/2016/05/how-qr-code-became-popular-among-mobile-users-in-china/
http://marketingtochina.com/the-ultimate-guide-to-qr-codes-in-china/
https://www.clickz.com/why-have-qr-codes-taken-off-in-china/23662/

Rédacteur

Florent ANON : florent.anon[a]diplomatie.gouv.fr