Ces QR codes mènent à une arnaque coûteuse... et les banques ne remboursent pas les victimes
Parmi les nombreuses arnaques générées en ligne, l'une des plus dangereuses et des plus récurrentes est le "phishing". Ce terme de cybercriminalité fait référence à vol de données personnelles. Le plus souvent, elle se cache dans un mail ou dans un sms, qui vous invite à cliquer sur un lien. Mais cette arnaque fait maintenant peau neuve et peut aussi survenir via un QR code.
Les QR codes font dorénavant partie intégrante de notre quotidien. Qu'il s'agisse de se connecter à un réseau wifi ou de découvrir la carte d'un restaurant, leur usage est presque devenu un réflexe. Mais récemment ces codes bien pratiques son aussi utilisés par des malfaiteurs qui remplacent de vrais QR Codes par certains qui conduisent à une page Internet conçue pour arnaquer. Ce phénomène se nomme le "quishing", une expression dérivée de "phishing". Depuis quelques temps, on le retrouve sur des plateformes commerciales en ligne, comme Le Bon Coin. Si le site de vente entre particuliers est régulièrement utilisé par les escrocs pour créer des arnaques, l'usage d'un QR code à cette fin est une première.
Ce nouveau type d'arnaque consiste à détourner les acheteurs du système de paiement sécurisé de la plateforme en leur faisant flasher un de ces QR codes faits se mesure par des voleurs. Le site UFC-Que-Choisir lance l'alerte sur ce type d'arnaque et raconte la mauvaise expérience, très éclairante, d'une acheteuse. Une utilisatrice du Bon coin repère un tour de poterie sur la plateforme et décide de faire une offre de 650 euros au vendeur (qui se présente sous un pseudo). Ce dernier accepte la proposition et envoie ensuite un QR code à l'acheteuse afin de procéder au paiement. Elle explique : "J'ai flashé avec mon smartphone le QR code affiché sur l'écran de mon ordinateur et suis arrivée sur une page de paiement sécurisé Le Bon Coin. Enfin, sur ce qui avait tout l'air d'une page officielle…"
L'acheteuse poursuit son achat comme à son habitude en choisissant un point relais pour la livraison avant de renseigner ses informations bancaires et de réaliser un authentification renforcée via l'application de sa banque. C'est alors que le vendeur lui explique "qu'un autre acheteur avait payé pour le tour en même temps, ce qui avait court-circuité le process." L'escroc lui demande alors de renouveler tout le processus d'achat. Au total, l'acheteuse a réglé trois fois les frais de l'article. Ce n'est que lorsque la banque qui soupçonne une opération frauduleuse bloque le troisième paiement, que l'acheteuse réalise son erreur.
Face à cette situation, l'utilisatrice a tenté d'informer Le Bon Coin qui ne lui est finalement pas venu en aide. Le paiement ayant été effectué en dehors de la plateforme, cette dernière a donc décliné toute responsabilité. En ultime recours, l'acheteuse s'est tournée vers sa banque dans l'espoir d'obtenir un remboursement. L'utilisatrice partage sa réponse : "Ma banque est restée tout aussi sourde à ma demande, car le processus de sécurité avait été validé". L'acheteuse a donc fini par porter plainte.
Mélanie Saldanha, juriste au sein de l'UFC-Que Choisir, explique pourquoi les banques peuvent refuser de rembourser les victimes et précise que tout client peut faire valoir ses arguments, notamment celui d'avoir été précautionneux : "Dans les cas de phishing, dont le quishing (phishing par QR code) est une déclinaison, le droit s'appuie sur ce qu'on appelle le faisceau d'indices, c'est-à-dire sur tous les éléments graphiques, conversationnels, qui permettront de juger si le consommateur a été négligent ou si, au contraire, n'importe qui se serait fait piéger". Dans ce cas précis, UFC-Que Choisir a pu avoir accès aux échanges entre les deux parties et le site a constaté que le vendeur s'exprimait de manière très cordiale, sans aucune faute d'orthographe et avec un ton très rassurant. Une méthode sophistiquée en somme, dont il faut se méfier.