Les qr codes sont devenus un réflexe quotidien : menu de restaurant, affiche de concert, courrier administratif, borne de parking. Cette omniprésence est précisément ce que les cybercriminels exploitent. Le quishing — contraction de QR code et de phishing — consiste à dissimuler une url malveillante dans un qr code pour contourner les filtres anti-phishing classiques et tromper des utilisateurs dont la méfiance est moins éveillée face à un carré pixelisé que face à un lien hypertexte suspect. Cet article décrypte la mécanique de cette attaque, ses scénarios les plus courants, les signaux qui permettent de la détecter et les mesures concrètes pour s’en protéger — que vous soyez particulier ou responsable de la sécurité d’une organisation.
- Le quishing est une forme de phishing qui utilise un qr code pour masquer une url malveillante et contourner les filtres de sécurité traditionnels.
- La chaîne d’attaque suit une logique d’ingénierie sociale éprouvée : prétexte crédible, sentiment d’urgence, redirection vers une fausse page de connexion ou installation de malware.
- Les signaux d’alerte sont identifiables avant même d’accéder à la page : provenance du qr code, prévisualisation de l’url, incohérences de domaine.
- Pour les particuliers, trois réflexes suffisent dans l’immédiat : ne pas scanner un code dont l’origine est inconnue, vérifier l’url prévisualisée, activer le mfa sur tous les comptes sensibles.
- En cas de scan d’un qr code frauduleux, agir vite : couper les sessions, changer les mots de passe, signaler sur cybermalveillance.gouv.fr et contacter sa banque.
Quishing : définition et place dans le phishing
Le phishing est une technique d’ingénierie sociale qui consiste à usurper l’identité d’un tiers de confiance — banque, administration, opérateur téléphonique — pour inciter une victime à divulguer des identifiants, des numéros de carte bancaire ou d’autres données sensibles. Il se décline en plusieurs variantes : le smishing exploite les SMS, le vishing passe par la voix, et le phishing par e-mail reste le vecteur le plus massif. Selon les données issues du rapport « Data Breach Investigations Report » de 2020, 86 % des violations analysées étaient motivées financièrement, et l’e-mail est décrit comme le principal vecteur de menace avec un volume et une sophistication en hausse constante.
Le quishing s’inscrit dans cette famille, mais avec une particularité technique décisive : l’url malveillante est encodée dans un qr code, ce qui la rend invisible à l’œil nu et imperméable aux filtres de messagerie qui analysent les liens en texte clair. Un filtre anti-phishing peut bloquer http://faux-site-banque.com dans un e-mail ; il ne peut pas lire le contenu d’une image matricielle sans traitement spécifique. Cette asymétrie est au cœur de l’efficacité du quishing.
Sur le plan définitionnel, une menace en cybersécurité désigne, selon le cadre du NIST, tout événement ou circonstance susceptible d’impacter négativement des opérations, des actifs ou des personnes via un accès non autorisé, une destruction, une divulgation ou une modification d’informations. Le quishing coche toutes ces cases : il vise l’accès non autorisé à des comptes, la collecte de données personnelles et, dans les cas les plus graves, l’installation d’un malware permettant une prise de contrôle durable du système.
Ce qui distingue le quishing du phishing classique, c’est aussi le support physique. Un qr code peut être imprimé, collé sur une affiche, inséré dans un courrier postal ou ajouté à un document PDF. Il sort ainsi du périmètre numérique habituel où les utilisateurs ont appris à se méfier, pour s’introduire dans des espaces de confiance du monde réel. Cette capacité à franchir la frontière physique-numérique en fait une menace particulièrement insidieuse, dont il faut comprendre la mécanique précise avant d’en identifier les manifestations concrètes.
Comment une attaque par qr code fonctionne, étape par étape
Une attaque de quishing ne s’improvise pas. Elle suit une chaîne d’actions structurée, dont chaque maillon est conçu pour maximiser la probabilité que la victime accomplisse le geste souhaité par l’attaquant.
Étape 1 — Préparation de l’infrastructure malveillante. L’attaquant enregistre un domaine trompeur, souvent en jouant sur les domaines et sous-domaines pour imiter une marque connue : secure-login.ma-banque-verification.com plutôt que ma-banque.com. Il déploie un kit de phishing — un ensemble de fichiers prêts à l’emploi reproduisant fidèlement l’interface d’un service légitime — et obtient un certificat TLS pour afficher le cadenas https dans le navigateur. Ce détail est crucial : beaucoup d’utilisateurs assimilent le cadenas à la sécurité du site, alors qu’il ne garantit que le chiffrement de la connexion, pas la légitimité du destinataire.
Étape 2 — Génération et distribution du qr code. L’url malveillante est encodée dans un qr code via n’importe quel générateur en ligne. Le code est ensuite distribué selon le contexte choisi : collé par-dessus un qr code légitime dans un espace public, inséré dans un e-mail d’apparence professionnelle, imprimé sur un faux courrier administratif ou glissé dans un colis.
Étape 3 — Scan et redirection. La victime scanne le code avec son smartphone. L’appareil mobile est une cible de choix : son écran réduit affiche rarement l’url complète, les solutions de sécurité y sont moins déployées qu’en environnement d’entreprise, et la navigation mobile favorise des interactions rapides. La redirection peut être directe ou passer par plusieurs intermédiaires pour brouiller les pistes et contourner les listes noires.
Étape 4 — Collecte d’identifiants ou installation. La fausse page demande à la victime de saisir ses identifiants, ses coordonnées bancaires ou de valider une action. Parallèlement, la simple visite du site peut déclencher le téléchargement d’un malware exploitant une vulnérabilité du navigateur mobile. Dans les scénarios les plus élaborés, l’attaquant utilise un proxy en temps réel pour relayer les identifiants saisis vers le vrai site, contournant ainsi le MFA par une attaque de type « adversary-in-the-middle ».
Étape 5 — Monétisation. Les identifiants volés alimentent des marchés clandestins, permettent des virements frauduleux, servent à prendre le contrôle de comptes professionnels ou déclenchent une chaîne d’infection par rançongiciel au sein d’une entreprise. Les données issues du rapport « Threat Landscape 2024 » confirment que le profit financier reste la première motivation des cyberattaques, devant l’espionnage et la destruction.
Cette chaîne d’attaque s’applique à des contextes très variés, que les scénarios suivants illustrent de façon concrète.
Scénarios fréquents : faux support, fausse facture, parking et livraison
Le quishing tire sa force de sa capacité à s’adapter à des contextes du quotidien où la vigilance est naturellement plus basse. Voici les scénarios les plus documentés.
Le faux support technique. Un e-mail ou un courrier interne signale une anomalie sur un compte (messagerie professionnelle, espace client, outil RH) et invite à scanner un qr code pour « vérifier son identité » ou « réactiver l’accès ». L’urgence est artificielle, le prétexte crédible. En entreprise, ce scénario cible souvent les équipes financières ou les assistants de direction qui traitent des accès à des systèmes sensibles.
La fausse facture ou le faux avis de paiement. Un document PDF joint à un e-mail contient un qr code invitant à régler une facture ou à consulter un relevé. Le kit de phishing reproduit l’interface d’un portail bancaire ou d’un service de paiement. Ce scénario est particulièrement efficace contre les PME dont les processus de validation des paiements sont moins formalisés.
Le parking et les transports. Des qr codes frauduleux sont collés sur des horodateurs, des bornes de recharge ou des panneaux d’information. L’utilisateur pense payer son stationnement ou accéder à un service de mobilité ; il saisit en réalité ses coordonnées bancaires sur une page contrefaite. Ce type d’attaque physique est difficile à contrer par des filtres logiciels.
La livraison et les services postaux. Un SMS ou un avis de passage papier indique un problème de livraison et propose un qr code pour reprogrammer la livraison ou payer des frais de douane. Ce scénario combine les techniques du smishing et du quishing, et exploite l’attente d’une commande en ligne pour maximiser la crédibilité.
Les conséquences possibles varient selon la profondeur de l’intrusion :
- Vol de comptes (messagerie, réseaux sociaux, services bancaires en ligne)
- Fraude bancaire directe ou détournement de virement
- Accès initial à un réseau d’entreprise, pouvant déboucher sur un rançongiciel
- Installation d’un malware de surveillance ou de vol de données sur le terminal mobile
- Usurpation d’identité exploitable pour des demandes de crédit frauduleuses
Le rapport « Threat Landscape 2024 » identifie le rançongiciel comme l’une des principales cybermenaces, avec des impacts incluant des pertes financières, des perturbations opérationnelles et des atteintes à la réputation. Dans ce contexte, un qr code collé sur la porte d’un entrepôt peut être le point d’entrée d’une crise majeure pour une PME industrielle. Comprendre ces scénarios permet d’affiner la grille de lecture des signaux d’alerte.
Signaux d’alerte : repérer un qr code piégé et une page de capture
La bonne nouvelle est que le quishing laisse des traces détectables, à condition de savoir où regarder. Voici une grille de lecture structurée en deux temps : avant le scan et après le scan.
Avant de scanner
- Provenance et support : un qr code collé par-dessus un autre code, légèrement décalé ou dont le support est différent (autocollant sur une affiche imprimée) est un signal fort. De même, un qr code reçu par e-mail d’un expéditeur inconnu ou dont l’adresse ne correspond pas au domaine officiel de l’organisation doit alerter.
- Contexte inhabituel : une demande urgente de scanner un code pour éviter la suspension d’un compte, payer une amende ou débloquer un colis non attendu reproduit la mécanique classique de l’ingénierie sociale.
- Qualité visuelle : un qr code flou, mal centré ou généré à basse résolution peut indiquer une superposition frauduleuse sur un code légitime.
Après le scan, avant de saisir quoi que ce soit
- Prévisualisation de l’url : la plupart des applications de scan affichent l’url de destination avant d’ouvrir le navigateur. Lire cette url est le geste le plus simple et le plus efficace. Un domaine comme banque-securite-connexion.net n’est pas le domaine officiel d’une banque.
- Analyse des domaines et sous-domaines : les attaquants jouent sur la structure des urls. ma-banque.faux-domaine.com est un sous-domaine de faux-domaine.com, pas de ma-banque.com. Lire l’url de droite à gauche, jusqu’au premier slash, permet d’identifier le vrai domaine racine.
- Présence du https et du certificat TLS : le cadenas est nécessaire mais insuffisant. Vérifier le nom de l’organisation dans le certificat (accessible en cliquant sur le cadenas) peut révéler une incohérence.
- Demandes d’urgence et de permissions : une page légitime ne demande pas l’accès à la caméra, aux contacts ou à la localisation pour une simple connexion. Toute demande de permission excessive est un signal d’alerte.
- Incohérences visuelles de marque : logo flou, police légèrement différente, formulations approximatives, adresse e-mail de contact générique — les kits de phishing sont souvent imparfaits.
Ces signaux ne garantissent pas une détection infaillible, mais ils réduisent drastiquement la surface d’exposition. Les réflexes de protection qui suivent s’appuient directement sur cette grille de lecture.
Se protéger du quishing : réflexes immédiats pour particuliers
La protection contre le quishing ne requiert pas de compétences techniques avancées. Elle repose sur quelques habitudes concrètes, applicables immédiatement.
Ne pas scanner un qr code dont l’origine est incertaine. C’est le réflexe fondamental. Un qr code affiché dans un lieu public, reçu par e-mail d’un expéditeur non vérifié ou glissé dans un courrier inattendu doit être traité avec la même prudence qu’un lien hypertexte inconnu. Si le contexte semble légitime, accéder directement au service concerné via son application officielle ou en tapant l’url connue dans le navigateur.
Utiliser une application de scan qui prévisualise l’url. Les applications natives des smartphones (appareil photo iOS, Google Lens) affichent généralement une prévisualisation de l’url avant ouverture. Des applications dédiées à la sécurité ajoutent une couche d’analyse de réputation du domaine. Prendre deux secondes pour lire cette url est le geste de vérification le plus simple qui soit.
-
I LOCK IT PRO antivol de cadre pour vélo | Suivi GPS en direct | Haute sécurité | Application smartphone | Système d'alarme 110 dB | Évitement des rayonsI LOCK IT Cadenas de vélo contrôlé par smartphone. Entièrement automatique, pratique et sûr compatible avec Android et iOS. GPS Live Tracking intégré avec carte SIM et données mobiles incluses. Maintenant, vous savez toujours où se trouve votre vélo. Si une alarme est activée sur votre vélo, vous démarrez le mode de suivi en direct. Avec l'application I Lock IT vous pouvez voir en temps réel où se trouve actuellement votre vélo. Protégé contre l'alarme : si quelqu'un tente de voler votre vélo, une alarme forte de 110 dB sera activée. Vous pouvez contrôler le cadenas confortablement avec l'application I Lock IT et I Lock IT se verrouille complètement pour vous de manière motorisée. Puissant et sûr, le support de fermeture passe chaque rayon. Les Lock IT ferme de manière fiable sans la nécessité d'une correction manuelle de la roue, grâce au système intégré de déviation dynamique des races. Dimensions : largeur maximale de passage 72 mm et largeur de montage 81-95 mm (support de décalage inclus pour une meilleure compatibilité lors du montage) Découvrez la sécurité innovante Made in Germany -
I Lock It PRO LITE Antivol de cadre de vélo | Antivol pour vélo haute sécurité | Application smartphone | Système d'alarme intelligent 110 dB | Évitement des rayonsI LOCK IT Contrôlez l'antivol de vélo par téléphone portable. Entièrement automatique, confortable et sûr compatible avec Android et iOS. Suivi GPS en direct intégré avec carte SIM et données mobiles. Maintenant, vous savez toujours où se trouve votre vélo. Si une alarme a été déclenchée sur votre vélo, le mode de suivi en direct démarre. Avec l'application I LOCK IT vous pouvez voir en temps réel où se trouve votre vélo actuellement. Alarme sécurisée : si quelqu'un essaie de voler votre vélo, une alarme sonore de 110 dB se déclenchera. Vous contrôlez facilement la serrure avec l'application I LOCK IT et I LOCK IT verrouillé pour vous, entièrement motorisé. Puissant et sûr, le verrou passe à côté de chaque rayon. I LOCK IT se ferme de manière fiable et cela sans correction manuelle de la roue, grâce au système dynamique intégré d'évitement des rayons. Dimensions : largeur de passage maximale de 72 mm et largeur de montage de 81 à 95 mm (support de décalage de trou inclus dans la livraison pour une compatibilité encore plus grande lors du montage) Faites l'expérience d'une sécurité innovante fabriquée en Allemagne -
Android - Les fondamentaux de la sécurité des smartphones et tablettes
Activer le MFA sur tous les comptes sensibles. Le MFA (authentification multi-facteurs) constitue un filet de sécurité même si les identifiants sont volés. Privilégier une application d’authentification (TOTP) plutôt que le SMS, plus vulnérable au SIM swapping. Attention toutefois au phénomène de MFA fatigue : des attaquants envoient des dizaines de notifications de validation pour épuiser la vigilance de la victime et la pousser à accepter. Ne jamais valider une notification MFA que l’on n’a pas soi-même initiée.
Utiliser un gestionnaire de mots de passe. Un gestionnaire de mots de passe génère des identifiants uniques par site et ne les propose à l’autocomplétion que sur le domaine enregistré. Si l’url de la page de capture est différente du domaine légitime, le gestionnaire n’y proposera aucun identifiant — signal d’alerte supplémentaire et protection automatique contre la saisie sur un faux site.
-
Atlancube Gardien de Mots de Passe Hors Ligne, Gérer Vos Mots de Passe - Clé USB Bluetooth, Cryptage de Niveau Militaire, Fonction de Remplissage Auto, 1 000 identifiants, CP001Fonction de remplissage automatique : dites adieu aux tracas de la saisie manuelle des mots de passe PasswordPocket remplit automatiquement vos informations d'identification en un seul clic. Protection des données sans Internet : utilisez le Bluetooth comme support de communication avec votre appareil. Éliminer le besoin d'accéder à Internet et réduire le risque d'accès non autorisé. Cryptage de qualité militaire : utilise des techniques de cryptage avancées pour protéger vos informations sensibles, vous offrant une confidentialité et une sécurité améliorées. -
NordVPN Amazon Essentiel, 10 Appareils, 2 Ans, VPN et Gestionnaire de Mots de Passe, Code NumériqueFaites des économies avec une exclusivité Amazon. NordVPN Amazon Essential offre deux outils de cybersécurité essentiels à un prix avantageux aux acheteurs d'Amazon. Sécurisez votre connexion. Utilisez NordVPN pour changer d'adresse IP et travaillez, naviguez et jouez en toute sécurité sur n'importe quel réseau, y compris votre café préféré, votre bureau à distance ou simplement votre salon. Gérez facilement votre vie numérique. NordPass conserve vos mots de passe pour que vous n'ayez pas à le faire. Synchronisez vos mots de passe sur tous les appareils que vous possédez et obtenez un accès sécurisé à vos comptes en quelques clics. Protégez n'importe quel appareil. NordVPN et NordPass disposent d'applications natives pour les appareils Windows, macOS, iOS, Linux et Android, ainsi que d'extensions de navigateur pratiques pour Chrome, Firefox et Edge. Vous pouvez également installer NordVPN sur votre routeur pour protéger toute la maison. Profitez d'une sécurité sans faille. La plupart des problèmes de connexion lorsque vous utilisez NordVPN peuvent être résolus en changeant de protocole VPN dans les paramètres de l'application ou en utilisant des serveurs obfusqués. Dans tous les cas, notre équipe d'assistance est prête à vous aider 24 heures sur 24, 7 jours sur 7. -
paper&you® Livre de mots de passe A6+ avec onglet A-Z "Shiny Teal" pour 320 données d'accès, gestionnaire de mots de passe petit format - durable & respectueux du climatTOUS LES MOTS DE PASSE EN UN COUP D'turquoise brillante'accès les plus importantes, cet organiseur de mots de passe pratique avec registre A-Z offre une vue d'ensemble parfaite de toutes les données importantes. PAGES SUPPLÉMENTAIRES PRATIQUES Des conseils sur la sécurité des mots de passe et des pages supplémentaires pour les données informatiques, les comptes e-mail, les cartes SIM et les cartes de fidélité ainsi que les données bancaires rendent ce carnet de notes particulièrement polyvalent. UNE MISE EN PAGE DISCRÈTE Grâce à la conception de la couverture sans titre et avec une banderole amovible, les données sensibles restent protégées, tandis que la structure intuitive permet une consultation simple et rapide. FINITION DE HAUTE QUALITÉ Le livre de mots de passe A6+ (10,5 x 16 cm) est doté d'turquoise brillante'une bande élastique et d'un marque-pages, pour une durabilité et un confort d'utilisation au quotidien. DURABLE & RESPECTUEUX AU CLIMAT Pour l'turquoise brillante'environnement, notre papier premium extra-épais 120g/m² est certifié FSC (FSC N004440) et imprimé de manière respectueuse au climat.
Bloquer les installations inconnues et maintenir les mises à jour. Sur Android, désactiver l’installation d’applications hors Play Store. Sur iOS, ne pas installer de profils de configuration non sollicités. Maintenir le système d’exploitation et les applications à jour pour corriger les vulnérabilités exploitables lors de la visite d’un site malveillant.
Signaler. En France, tout incident de phishing ou de quishing peut être signalé sur cybermalveillance.gouv.fr, plateforme nationale d’assistance aux victimes et de signalement. Les contenus frauduleux en ligne peuvent également être signalés via la plateforme PHAROS (Plateforme d’Harmonisation, d’Analyse, de Recoupement et d’Orientation des Signalements). En cas d’atteinte aux données personnelles, la CNIL peut être saisie. Pour un dépôt de plainte, la gendarmerie dispose d’unités spécialisées en cybercriminalité.
Ces réflexes individuels trouvent leur prolongement naturel dans les mesures organisationnelles que les entreprises doivent mettre en place pour réduire leur exposition collective.
Mesures en entreprise : prévention, contrôle et réponse à incident
En entreprise, le quishing présente un risque systémique : un seul employé qui scanne un qr code frauduleux peut ouvrir la porte à une compromission de l’ensemble du réseau. La réponse doit donc être organisationnelle autant que technique.
Sensibilisation et procédures. La sensibilisation cybersécurité est le premier levier. Des formations régulières, des simulations de quishing (sur le modèle des simulations de phishing par e-mail) et des procédures claires sur la gestion des qr codes dans les communications internes et externes réduisent significativement le risque humain. Le rapport « Global Cybersecurity Outlook 2026 » indique que 60 % de toutes les violations impliquent un facteur humain : investir dans la formation n’est pas une option.
Définir une politique d’affichage : tout qr code apposé dans les locaux (salle de réunion, cafétéria, accueil) doit être référencé et régulièrement vérifié pour détecter une éventuelle superposition frauduleuse. Les communications officielles ne doivent pas contenir de qr codes demandant des identifiants.
Filtrage web et DNS. Mettre en place un filtrage DNS qui bloque les domaines malveillants connus, y compris sur les appareils mobiles connectés au réseau de l’entreprise. Ce filtrage intercepte la requête de résolution de nom avant même que le navigateur charge la page, quelle que soit la façon dont l’url a été obtenue.
MDM et sécurité mobile. Un outil de MDM (Mobile Device Management) permet de gérer la flotte de terminaux mobiles professionnels : forcer les mises à jour, interdire l’installation d’applications non approuvées, appliquer des politiques de chiffrement et déployer des solutions de sécurité mobile. C’est un prérequis pour toute organisation dont les collaborateurs utilisent des smartphones pour accéder aux ressources internes.
EDR et supervision. Un EDR (Endpoint Detection and Response) déployé sur les postes de travail et les terminaux mobiles détecte les comportements suspects post-infection : connexions vers des domaines inconnus, tentatives d’escalade de privilèges, modifications de fichiers système. Couplé à un SIEM (Security Information and Event Management) qui corrèle les événements à l’échelle de l’infrastructure, il permet une détection précoce. Selon les données disponibles, la triade NDR-EDR-SIEM permet une réponse aux incidents 50 % plus rapide que des approches cloisonnées.
MFA généralisé et gestion des accès. Le MFA doit être obligatoire sur tous les accès sensibles : VPN, messagerie, outils collaboratifs, applications métier. Former les équipes à reconnaître la MFA fatigue et mettre en place des politiques de blocage après un nombre défini de notifications refusées.
Playbook de réponse à incident. Documenter les étapes à suivre en cas de suspicion de quishing : qui contacter en interne, comment isoler le terminal concerné, comment révoquer les tokens d’accès, quand impliquer le RSSI et les équipes juridiques, et comment notifier la CNIL si des données personnelles ont été compromises. Ce playbook doit être testé régulièrement.
| Mesure | Périmètre | Priorité |
|---|---|---|
| Sensibilisation et simulations de quishing | Tous les collaborateurs | Haute |
| MFA sur tous les accès sensibles | Systèmes critiques | Haute |
| Filtrage DNS | Réseau et mobiles | Haute |
| MDM sur les terminaux mobiles | Flotte mobile | Haute |
| EDR + SIEM | Postes et infrastructure | Moyenne-haute |
| Politique d’affichage des qr codes | Locaux et communications | Moyenne |
| Playbook de réponse à incident | Équipe sécurité | Haute |
Ces mesures techniques et organisationnelles s’ancrent dans une compréhension plus profonde de la logique du phishing, que le modèle des 4 P permet de formaliser.
Les 4 P du phishing et l’évolution vers le quishing
Pour comprendre pourquoi le quishing fonctionne, il est utile de décomposer la logique du phishing en quatre dimensions : prétexte, pression, piège, prise. Ce cadre pédagogique permet de voir comment le qr code renforce chacune de ces dimensions.
Le prétexte est la mise en scène qui rend l’attaque crédible. En phishing classique, il s’appuie sur l’usurpation d’une marque connue dans un e-mail. Le quishing étend ce prétexte au monde physique : un qr code affiché dans un contexte institutionnel (hôpital, mairie, entreprise) bénéficie d’une crédibilité implicite liée au lieu, indépendamment de son contenu.
La pression est le mécanisme qui pousse à agir sans réfléchir. « Votre compte sera suspendu dans 24 heures », « Réglez vos frais de douane avant ce soir ». Le qr code amplifie cette pression car il est perçu comme un outil technique neutre, associé à la rapidité et à la modernité. Scanner un code est un geste rapide, presque automatique, qui laisse peu de temps à la réflexion critique.
Le piège est la page de capture elle-même. En phishing classique, un filtre peut bloquer le lien dans l’e-mail. Avec le quishing, le lien est encodé dans une image : les outils de détection automatique peinent à l’analyser sans traitement spécifique. De plus, la victime arrive sur la page depuis son smartphone, où les solutions de sécurité sont moins présentes. Le kit de phishing déployé peut être sophistiqué au point de relayer les identifiants en temps réel vers le vrai site, contournant le MFA.
La prise désigne le butin : identifiants, données bancaires, accès à un réseau d’entreprise. Le qr code ne change pas la nature de ce que l’attaquant cherche à obtenir, mais il augmente le taux de conversion à chaque étape précédente. Les projections estiment le coût mondial de la cybercriminalité à 13 820 milliards de dollars d’ici 2028, un chiffre qui reflète l’efficacité croissante de ces techniques d’ingénierie sociale.
Comprendre ces quatre dimensions permet non seulement de détecter une attaque en cours, mais aussi de construire des réponses adaptées à chaque étape. C’est également le cadre qui guide les actions à entreprendre si, malgré tout, un qr code frauduleux a été scanné.
Que faire si vous avez scanné un qr code frauduleux
Agir vite est la priorité absolue. Chaque minute compte pour limiter l’étendue de la compromission.
1. Couper les sessions actives. Sur tous les comptes susceptibles d’avoir été compromis, déconnecter toutes les sessions actives depuis les paramètres de sécurité du compte (la plupart des services proposent une option « déconnecter tous les appareils »). Si des tokens d’accès OAuth ont été accordés à la fausse application, les révoquer immédiatement.
2. Changer les mots de passe. Commencer par les comptes les plus sensibles : messagerie principale, banque, réseaux sociaux professionnels. Utiliser le gestionnaire de mots de passe pour générer des mots de passe uniques et robustes. Ne pas réutiliser un ancien mot de passe.
3. Vérifier et renforcer le MFA. S’assurer que le MFA est actif sur tous les comptes sensibles. Si le MFA avait été contourné lors de l’attaque (scénario adversary-in-the-middle), contacter le support du service concerné pour signaler la compromission et demander la révocation des tokens de session.
4. Contacter sa banque. En cas de saisie de coordonnées bancaires ou de validation d’un paiement, appeler immédiatement sa banque pour signaler la fraude, faire opposition sur la carte concernée et demander le blocage des transactions suspectes. Conserver les relevés de compte pour documenter les prélèvements frauduleux éventuels.
5. Analyser le terminal. Si une application a été installée ou si le comportement du téléphone a changé (ralentissement, consommation anormale de batterie ou de données), effectuer une analyse avec une solution de sécurité mobile. Dans les cas graves, une réinitialisation aux paramètres d’usine peut être nécessaire.
6. Signaler et conserver les preuves.
- Signaler l’incident sur cybermalveillance.gouv.fr pour obtenir une assistance et contribuer à la cartographie nationale des menaces.
- Signaler le site frauduleux via PHAROS pour déclencher une procédure de retrait.
- Déposer une plainte auprès de la gendarmerie ou de la police, en apportant captures d’écran, e-mails ou courriers reçus, et le qr code lui-même si possible.
- Si des données personnelles de tiers ont été exposées (contexte professionnel), notifier la CNIL dans les 72 heures conformément au RGPD.
- Conserver toutes les preuves numériques : ne pas supprimer les messages, ne pas effacer l’historique de navigation avant d’en avoir fait une copie.
En entreprise, activer le playbook de réponse à incident, isoler le terminal du réseau, alerter le RSSI et documenter la chronologie de l’incident pour l’analyse post-mortem.
FAQ
Qu’est-ce que le phishing en cybersécurité ?
Le phishing est une technique d’ingénierie sociale qui consiste à usurper l’identité d’un tiers de confiance — banque, administration, entreprise — pour inciter une victime à divulguer des informations sensibles (identifiants, coordonnées bancaires) ou à installer un malware. Il se décline en phishing par e-mail, smishing (SMS), vishing (voix) et quishing (qr code). L’e-mail reste le vecteur le plus utilisé, mais le qr code est en forte progression car il contourne les filtres de détection classiques.
C’est quoi une menace en cybersécurité ?
Selon le cadre du NIST, une menace en cybersécurité est tout événement ou circonstance susceptible d’impacter négativement des opérations, des actifs ou des personnes via un accès non autorisé, une destruction, une divulgation ou une modification d’informations. Le rapport « Threat Landscape 2024 » identifie sept menaces majeures, dont les trois principales portent sur la disponibilité des systèmes, suivies par le rançongiciel et les atteintes aux données. Le quishing s’inscrit dans la catégorie des menaces contre les données, avec des ramifications potentielles vers le rançongiciel.
Quels sont les 4 P du phishing ?
Les 4 P du phishing sont : le prétexte (mise en scène crédible usurpant une identité de confiance), la pression (sentiment d’urgence poussant à agir sans réfléchir), le piège (page de capture ou lien malveillant collectant les données) et la prise (identifiants, données bancaires ou accès réseau obtenus). Le qr code renforce chacune de ces dimensions : il étend le prétexte au monde physique, accélère le geste de scan, contourne les filtres sur le piège et augmente le taux de conversion vers la prise.
Quelles sont les nouvelles menaces cyber ?
Le rapport « Threat Landscape 2024 » identifie comme menaces majeures les attaques par déni de service (plus massives et moins coûteuses à mener), le rançongiciel (ciblant particulièrement l’industrie et les services numériques) et les atteintes aux données. En parallèle, les attaques basées sur l’identité progressent fortement : 75 % des violations impliquent des identifiants compromis selon les projections pour 2026. Le quishing, le smishing et les attaques exploitant l’intelligence artificielle pour personnaliser l’ingénierie sociale représentent les évolutions les plus significatives du paysage des menaces actuelles.
Le quishing n’est pas une menace futuriste : elle s’appuie sur des comportements déjà installés, des outils accessibles et une surface d’attaque qui grandit à chaque nouveau qr code apposé dans l’espace public. La réponse la plus efficace reste la combinaison d’un réflexe simple — lire l’url avant d’agir — et de mesures techniques qui réduisent les conséquences d’une erreur humaine inévitable.
