Quishing : quand le QR code devient une arme de phishing

Le phishing classique par e-mail est de mieux en mieux filtré par les passerelles et les antispams. Pour contourner l’analyse textuelle, les attaquants envoient des messages sobres — parfois même légitimes en apparence — et déplacent l’action malveillante vers un QR code imprimé ou affiché à l’écran. Ce phénomène, souvent appelé quishing (contraction de QR et phishing), cible particulièrement les environnements où les utilisateurs scannent des codes sans réfléchir : open spaces, événements, parkings, livraisons.

Pourquoi le quishing fonctionne

Contrairement à un lien cliquable, un QR code cache l’URL de destination jusqu’au scan. Les utilisateurs ne voient pas le domaine avant d’être redirigés. Les attaquants enchaînent souvent des redirections ou des domaines nouvellement enregistrés pour échapper aux listes de blocage statiques.

Les cas d’usage fréquents incluent :

• Faux e-mails « livraison » ou « colis bloqué » avec QR à scanner pour payer des frais.
• Fausses notifications bancaires ou administratives (« régularisez votre dossier »).
• Affichages frauduleux sur des supports papier (affiches, tickets) imitant des services publics ou des marques.

Signaux d’alerte pour les utilisateurs

Une sensibilisation efficace repose sur des règles simples :

1. Ne jamais scanner un QR reçu par e-mail ou SMS si le contexte est pressant ou inhabituel.
2. Vérifier l’expéditeur et le canal : un service sérieux propose en général une alternative (site officiel, application).
3. Après scan, inspecter l’URL dans le navigateur avant de saisir des identifiants — même sur mobile.
4. Méfiance accrue pour les QR collés par-dessus des affichages légitimes (overlay).

Mesures côté organisation

• Politique BYOD et Wi-Fi invité : limiter l’accès aux ressources sensibles depuis des appareils non gérés utilisés pour scanner des codes.
• Passerelle e-mail : détecter les messages qui ne contiennent qu’une image (QR) peu de texte analysable — combiner analyse d’image/OCR et règles heuristiques.
• Formation : intégrer le quishing aux exercices de phishing simulé, avec scénarios QR.

Rôle de la threat intelligence

Enrichir vos outils avec une réputation de domaines et d’URL permet de bloquer ou d’alerter lorsqu’une redirection aboutit à une infrastructure connue comme malveillante. Des plateformes comme isMalicious agrègent des centaines de sources pour évaluer rapidement si une entité observée après scan présente un risque — utile pour les SOC qui traitent les signalements utilisateurs et les analyses post-incident.

Conclusion

Le quishing exploite la friction cognitive : le code à barres 2D est perçu comme « technique » et donc fiable. Réduire ce risque demande sensibilisation, processus (signalement des tentatives) et données de réputation à jour pour rattraper ce que le filtrage amont ne voit pas. Traitez les QR comme des liens inconnus : toujours mériter une seconde vérification.