Vous scannez un QR code au restaurant, sur un parcmètre ou dans un e-mail professionnel. En quelques secondes, vos données personnelles tombent entre les mains de cybercriminels. Cette menace porte un nom : le quishing. Contraction de « QR code » et de « phishing », cette technique d’hameçonnage exploite notre confiance aveugle envers ces petits carrés noirs et blancs. Alors comment fonctionne cette arnaque. Comment la repérer. Et surtout, comment s’en protéger. Découvrez tout ce qu’il faut savoir pour scanner en toute sécurité.
Qu’est-ce que le quishing exactement ?
Le quishing est une forme de phishing (hameçonnage) qui utilise des QR codes frauduleux pour rediriger les victimes vers des sites malveillants. L’objectif des escrocs reste le même que pour le phishing classique : voler des informations sensibles comme des mots de passe, des coordonnées bancaires ou des données d’identité.
La différence majeure réside dans le vecteur d’attaque. Au lieu d’un lien cliquable dans un e-mail, l’arnaqueur intègre un QR code piégé. Quand la victime le scanne avec son smartphone, elle est redirigée vers un faux site web. Ce site imite une page officielle (banque, administration, service de livraison) et incite à saisir des informations confidentielles.
Ce qui rend le quishing particulièrement redoutable, c’est que les logiciels de sécurité classiques ne détectent pas les QR codes malveillants. Un filtre anti-spam analyse les liens texte dans un e-mail. Mais un QR code apparaît comme une simple image. Le piège passe donc totalement inaperçu.
Comment fonctionne une attaque de quishing ?
Le mécanisme en détail
Une attaque de quishing suit un schéma bien rodé. Le cybercriminel génère un QR code contenant une URL malveillante , souvent masquée par un raccourcisseur d’URL. Il diffuse ensuite ce code par e-mail, courrier postal, affiche ou autocollant dans des lieux publics.
Le message qui accompagne le QR code crée un sentiment d’urgence : « Vérifiez votre compte. » « Votre colis attend. » « Votre authentification expire aujourd’hui. » La victime scanne le code et atterrit sur une page qui imite un service légitime. Elle saisit ses identifiants ou ses coordonnées bancaires. Les informations sont aussitôt récupérées par les escrocs.
Les formes les plus courantes
Le quishing se décline sous plusieurs variantes. Les faux avis de paiement restent très répandus : un QR code collé sur un parcmètre ou un horodateur redirige vers un site de paiement frauduleux. Les faux e-mails d’entreprise représentent aussi une menace croissante. Ils imitent des notifications de partage de fichiers, des demandes de réinitialisation d’authentification multifacteur (MFA) ou des factures à régler.
Au Royaume-Uni, l’organisme Action Fraud a signalé que les parkings sont le lieu privilégié des attaques de quishing. Les criminels y superposent des autocollants frauduleux sur les QR codes légitimes des bornes de paiement.
Pourquoi le quishing explose-t-il maintenant ?
La pandémie de COVID-19 a démocratisé massivement les QR codes. Menus de restaurants, billetterie, paiements sans contact : ces codes sont devenus omniprésents. Cette familiarité a créé un réflexe de confiance. La plupart des gens scannent un QR code sans vérifier où il mène.
Les chiffres illustrent cette montée en puissance. Selon le rapport Egress Phishing Threat Trends, la part des QR codes dans les e-mails de phishing est passée de 0,8 % en 2021 à 12,4 % en 2023. Elle se maintenait encore à 10,8 % en 2024. D’après une étude de Keepnet Labs, 26 % de tous les liens malveillants sont désormais transmis via QR code.
L’intelligence artificielle amplifie le phénomène. Les cybercriminels utilisent des outils d’IA pour créer des pages de phishing extrêmement convaincantes, sans les fautes d’orthographe qui trahissaient autrefois les arnaques.
Les données du rapport Abnormal Security H1 2024 révèlent par ailleurs que les cadres dirigeants sont 42 fois plus ciblés par des attaques de quishing que les employés ordinaires. Leur accès étendu aux systèmes d’entreprise en fait des cibles de choix pour les cybercriminels.
Comment se protéger efficacement contre le quishing ?
Adopter quelques réflexes simples suffit à réduire considérablement les risques.
Vérifiez systématiquement l’URL avant d’agir. Après avoir scanné un QR code, examinez l’adresse web affichée. Recherchez les fautes de frappe, les domaines inhabituels ou les raccourcisseurs d’URL suspects.
Méfiez-vous de l’urgence. Tout message qui vous presse d’agir immédiatement doit éveiller votre vigilance. Les banques et administrations ne demandent jamais de scanner un QR code en urgence.
Ne saisissez jamais d’informations sensibles sur un site atteint via un QR code. Passez plutôt par l’application officielle ou tapez directement l’adresse dans votre navigateur.
Inspectez les QR codes physiques. Dans les lieux publics, vérifiez si un autocollant a été collé par-dessus le code original. Un code pixelisé ou mal aligné est un signal d’alerte.
Utilisez un lecteur de QR code sécurisé. Certaines applications prévisualisent l’URL avant d’ouvrir le lien. Cette étape vous permet d’évaluer la fiabilité de la destination.
Les secteurs les plus touchés par le quishing
Le quishing ne cible pas uniquement les particuliers. Les entreprises représentent des cibles privilégiées. Selon les données d’Abnormal Security, environ 27 % des attaques de quishing au second semestre 2023 exploitaient de fausses notifications d’authentification multifacteur. L’objectif : récupérer les jetons de session et prendre le contrôle des comptes professionnels.
Les secteurs de l’énergie, de l’industrie et du commerce de détail figurent parmi les plus visés. Les TPE et PME se révèlent particulièrement vulnérables, car elles disposent rarement de protections capables de détecter les QR codes malveillants.
Les services publics sont également détournés par les escrocs. Au Royaume-Uni, Action Fraud a enregistré 784 signalements de quishing entre avril 2024 et avril 2025, pour des pertes cumulées avoisinant 3,5 millions de livres sterling.
Questions fréquentes
Le quishing est-il plus dangereux que le phishing classique ?
Oui, à plusieurs égards. Le phishing classique peut être détecté par les filtres anti-spam qui analysent les liens. Le quishing contourne ces protections car le QR code apparaît comme une simple image. De plus, le scan déplace l’action vers le smartphone, qui dispose de moins de protections. L’utilisateur voit rarement l’URL complète sur l’écran mobile. Cela facilite la tromperie.
Comment savoir si un QR code est frauduleux ?
Il est impossible de distinguer visuellement un QR code légitime d’un QR code malveillant. La meilleure protection consiste à vérifier l’URL qui s’affiche après le scan. Recherchez les noms de domaine suspects, les fautes de frappe ou les raccourcisseurs d’URL. Dans les espaces publics, examinez le support physique. Un autocollant collé par-dessus un code existant doit immédiatement vous alerter.
Que faire si j’ai scanné un QR code frauduleux ?
Agissez rapidement. Ne saisissez aucune information sur le site vers lequel vous êtes redirigé. Si vous avez déjà communiqué des données, changez immédiatement vos mots de passe. Contactez votre banque si des coordonnées financières sont compromises. Signalez l’incident aux autorités compétentes. En France, vous pouvez utiliser la plateforme Cybermalveillance.gouv.fr pour obtenir de l’aide.
Conclusion
Le quishing illustre la capacité des cybercriminels à détourner les technologies du quotidien. Plus les QR codes se généralisent, plus cette menace se renforce. La meilleure défense reste la vigilance humaine. Avant chaque scan, posez-vous une question simple : est-ce que je sais vraiment où ce code va m’emmener ? Ce réflexe peut vous épargner bien des ennuis. Partagez ces conseils autour de vous : la sensibilisation de tous est la clé pour contrer cette arnaque.