Arnaque aux bornes de recharge de voitures électriques : attention au "quishing", cette nouvelle méthode d'hameçonnage par QR code

En remplaçant le QR code d'une borne de recharge de véhicules électriques d'un village du Loiret, des délinquants sont parvenus à se faire passer pour le site du prestataire.

On oublie parfois que la technologie, en plus de nous faciliter la vie, crée aussi des brèches dans lesquelles s'engouffrent quelques truands opportunistes. Cela a été le cas peu avant Noël dans le village de Lorris, dans le Loiret. Comme le racontent nos confrères de la République du centre, les utilisateurs de la borne de recharge électrique de cette commune rurale ont eu la mauvaise surprise de voir leur argent s'envoler de leur compte bancaire, sans que leur véhicule ne soit rechargé.

Faux site mais vrai virement

L'arnaque tient dans le QR code figurant sur la borne de recharge. Il a suffi aux délinquants de coller par-dessus leur propre QR code, renvoyant à un site ressemblant trait pour trait à celui du prestataire. Ils récupèrent ensuite les informations bancaire de l'usager de la borne, et les utilisent pour effectuer de petits virements, correspondant au prix de la recharge, afin qu'ils passent inaperçus.

Selon la maire de la commune interrogée par la Rép', Valérie Martin, "Il ne s'agit pas de grosses sommes". Cependant, "dès qu'on a été prévenus de ce piratage, notre prestataire INEO a été très réactif et la borne a été immédiatement désactivée pour éviter la multiplication des victimes".

Alerte au "quishing"

Pourtant, étant donnée l'apparente simplicité du procédé, le risque d'une multiplication de cette arnaque dans des zones plus peuplée existe. Depuis le mois de novembre, les sociétés de cyber-sécurité Sekoia et Vade alertent sur cette nouvelle méthode de vol, surnommée "quishing" (en référence au "phishing", qui consiste à hameçonner un internaute par un mail frauduleux). En mai 2023, la gendarmerie elle-même en a fait les frais en Seine-et-Marne. De fausses amendes de stationnement avaient été distribuées, là encore avec un QR code menant à un site frauduleux.

"C'est le risque de tout ce qui invisibilise le site sur lequel on se trouve", analyse Valéry Marchive, rédacteur-en-chef du Mag IT, média spécialisé en cybersécurité. "Ça peut conduire n'importe où sans que l'on s'en rende compte. Les cyber-délinquants utilisent des noms de domaine qui ont l'air légitime pour héberger des copies parfaites du site-cible."

Qui pis est, la connexion au faux site étant, aux yeux de l'hébergeur, sécurisée, le petit cadenas dans votre barre de recherche peut même être présent, "mais on oublie souvent qu'il ne garantit pas l'authenticité du site". De fait, des plateformes "clés-en-main" fournissent désormais aux pirates en herbe des kits de phishing permettant de mettre en place un faux site web et le QR code associé sans grande expertise technique.

Alors, comment se protéger de ces arnaque d'un nouveau genre ? Comme pour le hameçonnage plus "traditionnel", la vigilance est de mise : vérifiez l'URL (l'adresse) du site vers lequel vous envoie un QR code et restez aux aguets de toute demande vous paraissant suspecte.