Quishing : quand le QR code devient une arme de phishing
Jean-Vincent QUILICHINI
Le phishing classique par e-mail est de mieux en mieux filtré par les passerelles et les antispams. Pour contourner l’analyse textuelle, les attaquants envoient des messages sobres — parfois même légitimes en apparence — et déplacent l’action malveillante vers un QR code imprimé ou affiché à l’écran. Ce phénomène, souvent appelé quishing (contraction de QR et phishing), cible particulièrement les environnements où les utilisateurs scannent des codes sans réfléchir : open spaces, événements, parkings, livraisons.
Pourquoi le quishing fonctionne
Contrairement à un lien cliquable, un QR code cache l’URL de destination jusqu’au scan. Les utilisateurs ne voient pas le domaine avant d’être redirigés. Les attaquants enchaînent souvent des redirections ou des domaines nouvellement enregistrés pour échapper aux listes de blocage statiques.
Les cas d’usage fréquents incluent :
- Faux e-mails « livraison » ou « colis bloqué » avec QR à scanner pour payer des frais.
- Fausses notifications bancaires ou administratives (« régularisez votre dossier »).
- Affichages frauduleux sur des supports papier (affiches, tickets) imitant des services publics ou des marques.
Signaux d’alerte pour les utilisateurs
Une sensibilisation efficace repose sur des règles simples :
- Ne jamais scanner un QR reçu par e-mail ou SMS si le contexte est pressant ou inhabituel.
- Vérifier l’expéditeur et le canal : un service sérieux propose en général une alternative (site officiel, application).
- Après scan, inspecter l’URL dans le navigateur avant de saisir des identifiants — même sur mobile.
- Méfiance accrue pour les QR collés par-dessus des affichages légitimes (overlay).
Mesures côté organisation
- Politique BYOD et Wi-Fi invité : limiter l’accès aux ressources sensibles depuis des appareils non gérés utilisés pour scanner des codes.
- Passerelle e-mail : détecter les messages qui ne contiennent qu’une image (QR) peu de texte analysable — combiner analyse d’image/OCR et règles heuristiques.
- Formation : intégrer le quishing aux exercices de phishing simulé, avec scénarios QR.
Rôle de la threat intelligence
Enrichir vos outils avec une réputation de domaines et d’URL permet de bloquer ou d’alerter lorsqu’une redirection aboutit à une infrastructure connue comme malveillante. Des plateformes comme isMalicious agrègent des centaines de sources pour évaluer rapidement si une entité observée après scan présente un risque — utile pour les SOC qui traitent les signalements utilisateurs et les analyses post-incident.
Conclusion
Le quishing exploite la friction cognitive : le code à barres 2D est perçu comme « technique » et donc fiable. Réduire ce risque demande sensibilisation, processus (signalement des tentatives) et données de réputation à jour pour rattraper ce que le filtrage amont ne voit pas. Traitez les QR comme des liens inconnus : toujours mériter une seconde vérification.
Related articles
Dec 10, 2024Understanding phishing and how to stay protectedPhishing is a growing cybersecurity threat that tricks individuals into providing sensitive information. Learn how to identify phishing attempts and implement strategies to stay safe online.
Dec 4, 2025Why Checking Malicious Domain and IP Reputation is Critical for Threat PreventionLearn why monitoring domain and IP reputation is essential for cybersecurity. Discover how to detect malicious threats, prevent phishing attacks, and leverage threat intelligence to protect your infrastructure.
Jan 20, 2026Beyond Phishing: Modern Social Engineering TacticsSocial engineering has evolved beyond simple phishing emails. Discover the latest tactics used by attackers, including vishing, smishing, and pigmenting, and how to spot them.
Protect Your Infrastructure
Check any IP or domain against our threat intelligence database with 500M+ records.
Try the IP / Domain Checker