Partager:
Des propriétaires de voitures électriques ont été arnaqués alors qu’ils voulaient recharger leur voiture. C’est le cas de Camille qui nous a contactés via le bouton orange Alertez-nous. En voulant payer pour démarrer la recharge, elle a été escroquée de 4.000 euros. Un faux QR code avait été collé sur le vrai. Ce type d’arnaque est amené à se multiplier avec l’augmentation du nombre de bornes de recharge. Quelles solutions ? Comment mieux protéger les consommateurs ? Et qui est responsable ?
Brancher sa voiture électrique à une borne et lancer le chargement via un QR code, Camille effectue ce geste sans réfléchir, par habitude. Mais sans le savoir, elle a été victime d’une escroquerie début mai. Le QR code qu’elle a scanné était un faux, collé sur le vrai. Il l’a dirigé vers une page internet frauduleuse où elle devait renseigner ses coordonnées bancaires.
"Cela ne fonctionnait pas donc je n’ai jamais pu recharger mon véhicule. 3-4 jours plus tard, je me suis rendu compte qu’il y avait un gros bug dans mon téléphone. Il s’éteignait et se rallumait plusieurs fois. Mes comptes ont été complètement vidés", témoigne Camille.
Elle a perdu 4.000 euros et n’est pas la seule. Au moins 12 bornes ont été ciblées. Une dizaine de clients d’une entreprise spécialisée en cybersécurité ont été victimes.
C’est un nouveau type d’attaque, une sorte de phishing physique. Le faux QR code a été installé pour ensuite collecter les données des victimes.
Que se passe-t-il une fois qu’on arrive sur cette fausse plateforme ? "L’utilisateur va y insérer ses données bancaires pour pouvoir soi-disant recharger son véhicule. Malheureusement, ces données sont récupérées par le pirate informatique, qui va les utiliser pour prendre de l’argent", explique Mathieu Lardinois, directeur commercial chez Skyforce, une société de cybersécurité. "Contrairement à du phishing où on reçoit une multitude de faux mails avec de faux colis qui ont été livrés sur les plateformes, ici, le pirate informatique vient coller un QR code sur ces bornes de recharge. Il y a un travail physique à effectuer avant de faire ce type d’attaque."
Mathieu Lardinois avertit les utilisateurs: "A chaque fois que vous scannez un QR code, il est important de vérifier le lien, la source de ce QR code, afin de ne pas tomber sur une plateforme de phishing. Il est important de vérifier, une fois que vous êtes sur une plateforme de paiement, qu’ils soient bien sécurisés".
Norme européenne
L’Europe impose par ailleurs depuis le mois d’avril qu’un paiement indépendant soit disponible sur les bornes de recharge, via un QR code ou un lecteur de carte. La première solution est moins chère, mais elle pose un problème de sécurité.
"C’est une question qu’en tant que fédération, on a déjà soulevé avec nos membres. On est à la recherche d’une solution. Il y aura aussi d’autres solutions dans les années à venir, comme les lecteurs de carte moins chers ou des lecteurs de carte plus simples, liés à votre carte bancaire directement, plutôt qu’un QR code. Aujourd’hui, le QR code est au minimum obligatoire. C’est la réalité aujourd’hui", indique Romain Deneyer, coordinateur chez EV Belgium, la fédération qui travaille au développement de la mobilité zéro émission dans notre pays.
L’entreprise dit avoir contrôlé toutes ses bornes en voirie. Les utilisateurs sont appelés à être prudents pour éviter toute mauvaise surprise.
Paiements par QR code désactivés début mai
Début mai, EnergyVision, entreprise spécialisée dans l'installation de panneaux solaires et de bornes de recharge, a de son côté dû désactiver les paiements par QR code aux bornes de recharge après des fraudes. La porte-parole Meghan Richil revient sur cette situation inédite.
"Le 7 mai, en début d’après-midi (13h15), un client nous a contactés pour nous signaler que 300€ avaient été débités de son compte à la suite d’un chargement sur une de nos bornes publiques. Dans l’heure (13h40), nous étions sur place et où nous avons pu constater avec horreur qu’un sticker avec un QR code frauduleux avait été collé sur notre propre QR code", raconte Meghan Richil. "Moins d’une heure plus tard (14h15), la police ainsi que le SPF Economie, le cabinet du ministre bruxellois Alain Maron, Sibelga et Bruxelles Environnement ont été informés de la situation. Entretemps et en moins de 4h, nos collaborateurs ont contrôlé nos 2000 points de recharge. 20 d’entre eux avaient ce fameux sticker."
EnergyVision indique avoir eu "depuis le début" des réserves concernant la sécurité des QR codes, mais étant donné qu’il s’agit d’une norme européenne, l'entreprise a dû s'y conformer. "Nous espérons que cet incident va permettre que la problématique puisse être considérée et que des solutions puissent être apportées. Afin également de limiter les risques de fraude, nous avons ajouté le QR code sur l’écran de nos bornes hors voiries donc sur les parkings semi-publics", conclut Meghan Richil.
