Avec la pandémie de COVID-19, les appareils mobiles ont pris une place encore plus prépondérante dans nos vies. Dans ce contexte, près de la moitié (47 %) des personnes interrogées ont remarqué une augmentation de l’utilisation des codes QR. Les employés utilisent plus que jamais des appareils mobiles. Très souvent, ils utilisent leur propre appareil, non sécurisé, pour contacter d’autres personnes, interagir avec toute une variété d’applications et de services cloud et rester productifs tout en travaillant depuis n’importe quel emplacement. De nombreux employés utilisent également leur appareil mobile pour scanner des codes QR dans le cadre de leur vie quotidienne, ce qui compromet leur propre sécurité, mais aussi celle de l’entreprise.

Voici quelques statistiques qui illustrent la montée en flèche des codes QR pendant la pandémie, sans aucun signe de ralentissement :
– 84 % des personnes interrogées ont déjà scanné un code QR auparavant, 32 % la semaine dernière et 26 % le mois dernier.
– Au cours des six derniers mois, 38 % des répondants ont scanné un code QR dans un restaurant, un bar ou un café, 37 % chez un commerçant et 32 % sur un produit de consommation.
– 53 % des répondants souhaitent que les codes QR soient plus largement utilisés dans le futur.
– 43 % prévoient d’utiliser un code QR comme moyen de paiement dans un avenir proche.
– 40 % voteraient à l’aide d’un code QR reçu par courrier si cette option était proposée.

Dans le cadre de la pandémie de COVID-19, les hackers profitent de ces lacunes de sécurité et ciblent de plus en plus les appareils mobiles avec des attaques sophistiquées. Les appareils mobiles sont en effet des cibles attrayantes, car leur interface amène les utilisateurs à prendre des mesures immédiates, tout en limitant la quantité d’informations disponibles. De plus, lorsqu’ils sont sur leur appareil mobile, les utilisateurs sont souvent distraits, et peuvent donc plus facilement être victimes d’attaques.

« Les hackers lancent des attaques sur tous les vecteurs de menaces mobiles. Ils ciblent notamment les courriels, les messages texte, les SMS, les messages instantanés, les médias sociaux et d’autres modes de communication », constate Alex Mosher, vice-président Solutions de MobileIron. « Je pense que nous allons bientôt assister à un assaut d’attaques via les codes QR. Un hacker pourrait facilement incorporer une URL malveillante dans un code QR. Cette URL pourrait contenir un logiciel malveillant personnalisé. Le hacker pourrait ainsi exfiltrer les données de l’appareil mobile dès que le code QR est scanné. Autre stratégie, un hacker pourrait incorporer dans un code QR une URL malveillante dirigeant l’utilisateur vers un site de phishing et l’encourageant à divulguer ses identifiants. Il lui suffirait ensuite d’utiliser ces informations pour infiltrer l’entreprise ».

Voici quelques statistiques sur les risques des codes QR pour les utilisateurs et pour les entreprises :
– Près de trois quarts (71 %) des personnes interrogées ne peuvent pas faire la distinction entre un code QR légitime et un code QR malveillant, alors que 67 % font la distinction entre une URL légitime et une URL malveillante.
– Si la plupart des répondants (67 %) savent que les codes QR peuvent ouvrir une URL, ils sont moins conscients des autres actions possibles des codes QR.
o Seuls 19 % des répondants pensent que le fait de balayer un code QR peut créer un e-mail. 20 % pensent que ce balayage peut lancer un appel téléphonique et 24 % qu’il peut créer un message texte.
– 51 % des personnes interrogées ont des inquiétudes quant à la confidentialité, la sécurité, les finances, et d’autres domaines en ce qui concerne l’utilisation des codes QR, mais elles les utilisent quand même. 34 % n’ont aucune inquiétude liée à l’utilisation des codes QR.
– 35 % des répondants ne savent pas si les hackers peuvent cibler leurs victimes en utilisant un code QR.

« Les entreprises doivent repenser d’urgence leur stratégie de sécurité pour se concentrer sur les appareils mobiles » estime Alex Mosher. « Elles doivent dans le même temps donner la priorité à une expérience utilisateur sans failles. Une solution UEM (Unified Endpoint Management) peut fournir les contrôles informatiques nécessaires. Une telle solution peut sécuriser, gérer et surveiller chaque appareil, utilisateur, application et chaque réseau utilisé pour l’accès aux données de l’entreprise, tout en optimisant la productivité. Les entreprises peuvent également s’appuyer sur une solution UEM associée à une solution de défense contre les menaces mobiles. Elles pourront ainsi détecter les menaces mobiles (dont les codes QR malveillants) et y remédier, même lorsqu’un appareil mobile est hors ligne ».

MobileIron Threat Defense (MTD) peut protéger les appareils des attaques ciblant les appareils, les réseaux et les applications. Aucune action n’est requise de l’utilisateur pour déployer MTD sur les appareils mobiles inscrits dans le client UEM de MobileIron. Ce déploiement est géré à distance par le département informatique. Les entreprises peuvent ainsi obtenir une adoption à 100 % des utilisateurs, sans impact sur la productivité. MobileIron est la seule solution du marché capable de déployer automatiquement une protection contre les menaces mobiles sans intervention des utilisateurs.

Dans le cadre de cette étude, plus de 2100 consommateurs ont été interrogés, aux États-Unis et au Royaume-Uni.