Carrefour vient de lancer une alerte de sécurité concernant son réseau de bornes de recharge pour véhicules électriques. Des escrocs apposent de faux QR codes sur les installations pour détourner les paiements des usagers vers des sites frauduleux. Cette technique, baptisée Quishing, qui cible directement vos coordonnées bancaires. Voici les détails techniques pour repérer la fraude et sécuriser vos sessions de charge.
Le Quishing : quand l'adhésif remplace le hacking
La méthode employée est techniquement rudimentaire mais redoutablement efficace. Au lieu de pirater le logiciel de la borne, les malfaiteurs collent simplement un autocollant par-dessus le QR code légitime. Ce sticker renvoie l'utilisateur vers une fausse page de paiement, imitant souvent parfaitement l'interface de l'opérateur ou un service tiers générique. L'utilisateur, pressé de lancer sa charge, entre ses numéros de carte bancaire sur ce site miroir. Les données sont immédiatement capturées, et aucune charge ne démarre, ou pire, un abonnement récurrent est souscrit à votre insu. C'est une attaque physique qui exploite la confiance aveugle que l'on porte à la signalétique des infrastructures.
Les contre-mesures recommandées par l'enseigne
Face à la multiplication des cas, l'enseigne de grande distribution a communiqué une procédure stricte. La première étape est une vérification visuelle et tactile : si le QR code présente une surépaisseur, semble mal aligné ou est un simple autocollant collé grossièrement sur la plaque signalétique, il ne faut surtout pas le scanner. Carrefour recommande de contourner totalement la lecture optique en passant par la webapplication officielle recharge.carrefour.fr. En passant directement par l'URL ou l'application, vous éliminez le risque d'interception par un code falsifié. Si vous détectez une anomalie, le signalement à l'accueil du magasin est demandé pour que les équipes techniques retirent le dispositif.
Que faire en cas de compromission ?
Si vous avez scanné un code douteux et saisi vos informations, la réactivité est la seule option. Il faut faire opposition immédiatement auprès de votre banque pour bloquer la carte concernée. Un dépôt de plainte auprès de la gendarmerie ou de la police est ensuite nécessaire pour acter l'escroquerie. Ce type de fraude rappelle les limites de sécurité inhérentes aux QR codes statiques dans l'espace public. Contrairement aux puces NFC ou aux protocoles chiffrés, un QR code n'offre aucune garantie d'intégrité physique.
On en dit quoi ?
C'est un problème de sécurité récurrent qui dépasse le simple cas de Carrefour. Le choix du QR code comme moyen de paiement principal sur les bornes publiques est une erreur de conception fondamentale en termes de cybersécurité. C'est une technologie passive, non sécurisée et trop facilement falsifiable. La vraie solution technique réside dans la généralisation du Plug & Charge où la voiture s'authentifie elle-même via le câble, ou à défaut, l'utilisation systématique des cartes RFID des opérateurs de mobilité. En attendant, l'application native de l'opérateur reste le seul moyen fiable d'initier une charge sans risquer le phishing. Le QR code sur une borne publique devrait être considéré comme suspect par défaut, croyez-moi.
Un véritable système domestique d’alimentation plug-and-play qui intègre la production d’énergie photovoltaïque ainsi que la charge et la décharge bidirectionnelles.
