Le quishing : qu’est-ce que c’est ?

Le phishing, ou hameçonnage en français, est une forme de piratage de plus en plus présente dans notre quotidien. Le but du malfaiteur est de se faire passer pour un organisme que vous connaissez, de vous envoyant un email très convainquant vous invitant à rentrer vos données personnelles. Et aujourd'hui, les malfaiteurs s'attaquent à un objet de plus en plus présent dans notre quotidien : le QR code.

Partager cet article

De manière brève

Une cyberattaque via un QR code s'appelle le "quishing"
Ne scannez un QR code uniquement lorsque vous êtes sûr de sa fiabilité
Redirigé vers un site frauduleux, vérifiez bien que vous êtes sur un site en HTTPS
Si vous ne remplissez pas de champs de données ou ne téléchargez rien, vous n'avez rien à craindre
En cas de doute de vol de données, prévenez vos organisames bancaires et portez plainte

1. Quishing : le phishing via un QR code

Le phishing traditionnel a innové en se servant du QR code pour pouvoir rediriger les utilisateurs vers des sites frauduleux ou pour vous faire installer un logiciel malveillant.

Les QR codes se multipliant un peu partout, sur la toile, pour effectuer des virements bancaires ou même encore dans des vitrines de magasins, les criminels vont également les utiliser pour essayer de vous piéger. Ils vont alors créer un QR code de toute pièce, bien souvent avec des logos de confiance, afin de vous scanniez.

Ces QR codes malveillants vont être diffusés de plusieurs manières. Le plus souvent, il sera envoyé par email, mais il peut aussi apparaître sur un site internet qui n’est pas suffisamment sécurisé. Enfin, il est également possible que ces QR codes soient même diffusés sur des flyers distribués dans des lieux publics ou collés à certains endroits.

Le QR code ne fait que vous renvoyer vers un site qui imitera au mieux un original légitime pour vous inciter à remplir les champs de données. Ils imitent fortement leur nom également mais avec de très petites variantes pour que cela soit moins visible. Ces sites seront souvent en HTTP mais, attention qu’ils peuvent également être en HTTPS, d’où l’intérêt de bien relire les noms des sites avec attention.

2. Des exemples

Récemment, vous avez peut être entendu parler de faux QR codes ayant été collés sur des bornes de recharge pour voitures électriques. L’autocollant est suffisamment bon pour que vous ne voyez pas qu’il s’agit d’un élément ajouté. Et dans ce cas, les victimes sont dirigées vers un faux site de paiement qui permettra au cybercriminel de récolter vos données bancaires.

Un autre exemple a été celui aussi pour les criminels de se faire passer pour des distributeurs de colis et courrier très connus, voir officiels de l’état. On vous fait parvenir alors un QR code accompagnant un message que votre coli est en attente de livraison et que vous devez alors intervenir pour finaliser l’opération. Le QR code servirait alors à suivre le coli ou prévoir la livraison mais la victime est redirigée vers un site web malveillant.

Un QR code est également un moyen de vous inviter à télécharger un logiciel qui pourrait être un ransomware, cryptant ainsi vos données et vous ne les récupérerez que contre rançon. Mais ces logiciels peuvent tout simplement contenir des virus pouvant corrompre vos données.

3. Comment ne pas tomber dans le piège ?

L’une des premières étapes est d’être sensibilisé à l’existence de ce type de fraude. Il faut toujours se demander si l’on est sûr de la légitimité du QR code que l’on veut scanner en fonction du contexte dans lequel on se trouve. Dans les entreprises, il est bon de former son personnel pour que ce dernier puisse détecter une éventuelle fraude, surtout pour les postes plus sensibles à subir ce type d’attaque.

La technique du Zero Trust est d’ailleurs une des meilleures armes, à savoir de partir du principe que rien n’est fiable, que cela soit interne ou externe à l’organisation. Tout doit donc être vérifié pour valider l’authenticité des identifiants pour limiter les risques d’intrusion. Cette pratique implique entre autre la mise en place de l’authentification multifactorielle et les segmentations du réseau informatique pour limiter les accès.

Outre cela, il est également nécessaire d’investir dans des types de pare-feu apte à détecter ce type de faille, ainsi que des anti-virus, anti-malwares et filtres d’email complets qui peuvent déjà limiter les potentielles attaques avant même d’arriver jusque l’utilisateur. Les outils de détection spécialisés, faisant souvent appel à l’IA, peuvent aussi aider et alerter les utilisateurs d’agissement suspect et détecter les tentatives d’intrusion grâce à son apprentissage autonome et ses capacités d’analyse des URL, du contenu des emails ou même des sites internet.

4. Récaputulatif

Toujours se poser la question de la légitimité du QR code à scanner.
Si on est redirigé vers un site : bien lire l’URL pour voir si le nom est bien orthographié et si on est bien en HTTPS
Ne jamais retaper ses coordonnées personnelles sur un site, même s’il est habituel. Toujours se poser la question de savoir si c’est bien normal de devoir réintroduire ces informations.
Toujours vérifier l’adresse email de l’expéditeur. Vous recevez un email par exemple d’Amazon mais l’adresse email de l’expéditeur ressemble à « [email protected] ».
De préférence, ne jamais suivre des liens via les emails afin d’éviter au maximum le phishing et aller chercher soi-même le site sur lequel on veut se rendre.

S'inscrire à notre Newsletter

Recevez des notifications et restez informés !

Lire plus d'articles

Cybersécurité

Qu’est ce que le rançongiciel « Qilin » ?

Qilin est un rançongiciel qui encrypte vos données et vous demande une rançon en échange. Voici nos conseils

TechTurn 04/06/2025

Informatique

Fin du support de Windows 10 en approche

Le 14 octobre 2025 marquera la fin du support du système d’exploitation Windows 10. Cela signifie que Microsoft ne mettra plus à jour les logiciels, ne fournira plus d’assistance technique et ni de correctif de sécurité. Il est donc crucial pour les entreprises de faire le nécessaire pour passer à Windows 11.

TechTurn 25/02/2025

Google

Mises à jour de Google : récapitulatif de 2024

Cette année fut chargée en mises à jour des algorithmes de Google : 4 mises à jour du noyau et 3 mises à jour spam.

TechTurn 06/01/2025

Voulez-vous faire évoluer votre entreprise?

Choisissez une entreprise qui obtiendra des résultats et qui vous parlera avec des mots compréhensibles au lieu de vous noyer sous le vocabulaire compliqué !