1. What is quishing in simple terms?

Quishing is a type of phishing attack that uses a QR Code instead of a regular link. When someone scans the QR Code, it can send them to a fake website designed to steal passwords, payment details, or other sensitive information. The term combines the words "QR Code" and "phishing."

2. What is the difference between phishing and quishing?

Traditional phishing uses clickable links in emails, text messages, or websites. Quishing hides the malicious link inside a QR Code. Both attacks have the same goal: tricking people into visiting a fake website. The main difference is that quishing uses a QR Code to hide the destination.

3. Can scanning a QR Code give you a virus?

Scanning a QR Code by itself does not install a virus. A QR Code simply directs your device to a destination, such as a website. The risk comes from what happens after the scan. If the QR Code leads to a malicious website, that site may try to steal your information or convince you to download harmful software.

4. Why is quishing so hard to detect?

Many security tools are designed to inspect links and text. A QR Code is an image, which can make it harder to analyze. Quishing attacks also often move users from a work computer to a personal phone. This can make it more difficult for organizations to monitor and block malicious activity.

5. What are common quishing attack examples?

Common examples include fake QR Code stickers placed over real QR Codes on parking meters, phishing emails that pretend to be Microsoft 365 account alerts, and fraudulent invoices that contain QR Codes leading to fake payment pages. In each case, the attacker uses a QR Code to hide a malicious website behind a seemingly normal request.

6. How can organizations protect themselves from quishing?

Organizations can reduce their risk by using email security tools that inspect QR Codes, enforcing strong MFA, limiting access to sensitive systems, and training employees to recognize QR Code scams. A clear incident response plan is also important so teams know what to do if someone scans a malicious QR Code or enters credentials on a fake website.

7. How can you spot a fake QR Code?

A fake QR Code often redirects users to a suspicious website that imitates a legitimate brand. Before entering any information, check that the website URL matches the brand's official domain. Be cautious if the page contains spelling mistakes, asks for sensitive information, or looks different from the company's usual branding.

Qu'est-ce que le « quishing » (hameçonnage par code QR) ?

Shanti Nair

Dernière mise à jour: June 10, 2026

Scanner un code QR est devenu aussi courant que de cliquer sur un lien. Les gens utilisent les codes QR pour payer leurs factures, accéder à des services et partager des informations, et le processus ne prend généralement que quelques secondes. Mais un simple scan peut parfois mener à un faux site web conçu pour voler des données. C’est le principe même des attaques de « quishing ».

Le quishing est une forme de phishing qui utilise des codes QR pour inciter les gens à visiter des sites web frauduleux. Ces escroqueries visent souvent les identifiants de connexion, les informations de paiement et les comptes professionnels.

Ce guide explique comment fonctionne le quishing, pourquoi les attaquants y ont recours et quels sont les groupes les plus exposés. Vous y trouverez également des conseils pratiques pour éviter les escroqueries courantes et découvrirez comment le quishing s’inscrit dans le débat plus large sur la sécurité des codes QR.

Table des matières

Qu’est-ce que le quishing ?
Le quishing en chiffres : à quelle vitesse la menace se développe
Comment fonctionne une attaque de quishing
Pourquoi le quishing contourne les mesures de sécurité traditionnelles des e-mails
Exemples concrets de quishing
Qui sont les cibles habituelles des attaques de quishing ?
Comment protéger votre organisation contre le quishing
Gardez le contrôle sur les codes QR créés par votre entreprise
Foire aux questions

Qu’est-ce que le quishing ?

Le quishing est un type d’attaque de phishing qui dissimule une URL malveillante dans une image de code QR plutôt que dans un lien texte cliquable. Le nom est un mélange de « QR Code » et de « phishing », et l’objectif est le même que pour toute attaque de phishing : vous rediriger vers un faux site web afin que les attaquants puissent voler vos identifiants de connexion, installer des logiciels malveillants ou collecter vos informations de paiement.

Ce qui distingue le quishing, c’est son mode de transmission. L’URL malveillante est intégrée dans un code QR que l’appareil photo de votre téléphone lit. Elle ne figure pas dans le corps d’un e-mail où les filtres de sécurité pourraient la détecter.

Selon Keepnet, les attaques de quishing ont augmenté de 587 % en 2023, faisant du phishing par QR Code l’une des techniques de phishing qui connaît la croissance la plus rapide à l’heure actuelle.

Le quishing s’ajoute à trois autres types d’attaques apparentées au sein de la famille du phishing.

Type d’attaque	Vecteur principal	Mode de transmission	Outil de sécurité qui le détecte habituellement	Pourquoi le quishing le contourne
Hameçonnage	E-mail	Lien textuel cliquable	Filtres de sécurité des e-mails et vérifications de la réputation des URL	N/A (référence)
Smishing	SMS	Message texte contenant un lien	Filtrage par l’opérateur mobile et outils de détection des menaces mobiles	N/A
Vishing	Appel vocal	Appel téléphonique avec ingénierie sociale	Outils de filtrage de l’identification de l’appelant et de détection des fraudes vocales	N/A
Quishing	E-mails, documents imprimés ou surfaces physiques	Image de code QR intégrée dans un e-mail, un PDF, une affiche, une facture ou un panneau	De nombreux outils de sécurité des e-mails se concentrent sur les URL visibles, les liens et les indicateurs textuels	L’URL malveillante est dissimulée dans une image de code QR et est souvent ouverte sur un appareil mobile distinct, hors du champ des contrôles de sécurité de l’organisation

Le tableau ci-dessus est important car le quishing exploite une faille que de nombreuses défenses traditionnelles contre le phishing n’étaient pas initialement conçues pour contrer. Au lieu de demander aux victimes de cliquer sur un lien visible, les attaquants cachent la destination à l’intérieur d’une image de code QR. Dans de nombreux cas, le scan a ensuite lieu sur un appareil mobile distinct, hors des contrôles de sécurité qui inspectent normalement le trafic web.

Les attaques de quishing se manifestent le plus souvent par deux canaux.

Le premier est le courrier électronique, où un attaquant intègre un code QR dans un message, une pièce jointe ou un PDF et encourage le destinataire à le scanner.
Le second est le monde physique, où un faux autocollant de code QR est placé par-dessus un code légitime sur un parcmètre, une table de café, un kiosque dans un hall d’entrée ou un panneau d’affichage public. Ces deux approches reposent sur le même comportement : scanner un code sans vérifier au préalable où il mène.

Le quishing en chiffres : à quelle vitesse la menace se développe

La montée en puissance du quishing n’est pas un risque futur. Elle se produit déjà à grande échelle. Selon une analyse de Keepnet Labs, les attaques de quishing ont bondi de 587 % en 2023, faisant du phishing par code QR l’une des cybermenaces qui connaît la croissance la plus rapide ces dernières années.

Plusieurs autres statistiques indiquent la même tendance :

4,2 millions de menaces basées sur des codes QR ont été détectées rien qu’au premier trimestre 2025.
89,3 % des attaques basées sur des QR codes visaient à voler des identifiants de connexion.
Les cadres supérieurs ont été 42 fois plus visés par des attaques de « quishing » que les employés non cadres.
26 % des liens malveillants transmis par e-mail étaient intégrés dans des QR Codes plutôt que présentés sous forme d’hyperliens traditionnels.
Microsoft indique bloquer en moyenne plus de 18 millions d’e-mails de phishing uniques contenant un QR Code dans le corps du message chaque semaine, et environ 3 millions d’e-mails de phishing par QR Code uniques par jour.

Ces données révèlent également comment opèrent les attaquants. Près de 9 attaques sur 10 utilisant des codes QR visent le vol d’identifiants, souvent en redirigeant les victimes vers de fausses pages de connexion imitant des marques et des outils professionnels de confiance. Selon le rapport d’Abnormal Security sur les menaces par e-mail du premier semestre 2024, les cadres supérieurs constituent une cible privilégiée car ils ont accès à des systèmes sensibles, aux autorisations financières et aux données de l’entreprise.

Selon la société de cybersécurité NordVPN, 73 % des Américains scannent des QR Codes sans vérification, et plus de 26 millions ont déjà été redirigés vers des sites malveillants. En dissimulant la destination à l’intérieur d’une image, les attaquants peuvent inciter les victimes à passer d’un appareil professionnel surveillé à un téléphone personnel, où les contrôles de sécurité peuvent être moins rigoureux.

La croissance du quishing suit de près celle de l’adoption des codes QR. Les menus sans contact, les paiements mobiles, les enregistrements lors d’événements et les processus d’authentification ont fait du scan de codes QR une pratique courante du quotidien. À mesure que le scan est devenu une habitude de confiance, les attaquants ont trouvé un nouveau moyen de mener des campagnes de phishing sans recourir aux liens traditionnels.

Comment fonctionne une attaque de quishing

Une attaque de quishing se déroule en six étapes. La faille de sécurité critique apparaît entre la troisième et la quatrième étape.

Étape 1 : l’attaquant génère le QR Code malveillant

L’attaquant crée un code QR qui pointe vers une URL malveillante. Il s’agit souvent d’un site de collecte d’identifiants, d’une page de téléchargement de logiciels malveillants ou d’un faux portail de paiement. Les attaquants peuvent utiliser des codes QR dynamiques à ce stade. Un code QR dynamique stocke la destination sur un serveur plutôt que dans le code lui-même. L’attaquant peut ainsi modifier l’URL de destination après la diffusion pour contourner les listes noires d’URL.

Étape 2 : Intégrer le code QR dans l’appât

L’attaquant insère l’image du code QR au format PNG ou JPG dans un e-mail de phishing. Une version plus sophistiquée intègre le code dans une pièce jointe PDF, telle qu’une facture, un document RH ou un avis de conformité. Les images intégrées dans des PDF sont encore moins examinées par les scanners automatisés.

Étape 3 : L’e-mail passe les filtres de sécurité de l’entreprise

La victime reçoit l’e-mail sur un ordinateur portable ou un appareil de l’entreprise. Les outils de sécurité standard analysent le corps des messages à la recherche d’URL malveillantes connues, de liens textuels suspects et de domaines signalés. Le code QR est une image. L’URL malveillante contenue dans l’image est invisible pour les filtres d’analyse de texte. L’e-mail atterrit dans la boîte de réception.

Étape 4 : La victime scanne le code avec son téléphone portable personnel

L’e-mail invite le destinataire à scanner le code avec son téléphone. L’appât peut prétendre que le lien est plus pratique sur mobile, ou imiter une réinitialisation de l’authentification multifactorielle (MFA) nécessitant un téléphone. La victime prend son appareil personnel et scanne le code.

Étape 5 : le navigateur mobile ouvre la page de phishing

Le téléphone portable personnel se trouve en dehors du périmètre de sécurité de l’entreprise. La plupart des appareils personnels ne sont pas équipés d’un logiciel de gestion des appareils mobiles (MDM). Le réseau privé virtuel (VPN) de l’entreprise n’est pas actif. Le navigateur suit l’URL décodée et affiche la page de l’attaquant.

Étape 6 : Collecte d’identifiants ou installation de logiciels malveillants

La victime saisit ses identifiants sur la fausse page de connexion, effectue un faux paiement ou télécharge une application qui semble nécessaire. L’attaquant capture les données.

Le pivot de l’appareil, c’est-à-dire le transfert d’un appareil d’entreprise vers un téléphone mobile personnel entre les étapes trois et quatre, est la raison structurelle pour laquelle le quishing fonctionne là où le phishing standard échoue. L’attaque exploite deux périmètres de sécurité distincts, et aucun des deux ne détecte l’ensemble de la chaîne.

📝Remarque : la menace du quishing est un problème distinct de l’utilisation des codes QR par les entreprises légitimes.

Une entreprise qui crée des codes QR pour des menus, des événements ou des documents a besoin de son propre cadre de sécurité. Ce cadre doit inclure des domaines vérifiés, des analyses de scan et des URL de destination contrôlées.

Par conséquent, la sécurité des codes QR pour les entreprises va au-delà de la prévention des escroqueries et inclut des décisions concernant le choix de la plateforme, la gestion des codes et les politiques de déploiement.

Pourquoi le quishing contourne la sécurité traditionnelle des e-mails

La plupart des e-mails de phishing contiennent un lien cliquable. Les outils de sécurité peuvent inspecter ce lien, vérifier sa réputation et le bloquer s’il semble suspect. Le quishing fonctionne différemment. Au lieu de placer le lien dans l’e-mail, les attaquants le cachent à l’intérieur d’un code QR.

Voici trois raisons pour lesquelles le quishing peut être plus difficile à détecter que le phishing traditionnel.

1. L’URL malveillante est cachée à l’intérieur d’une image

Les outils de sécurité des e-mails sont conçus pour analyser le texte, les liens et les domaines. Un code QR est une image, de sorte que l’URL de destination peut ne figurer nulle part dans le texte visible de l’e-mail.

Les éditeurs de solutions de sécurité ont désormais recours à l’analyse d’images pour détecter ces menaces. Par exemple, Microsoft indique bloquer environ 1,5 million d’attaques basées sur des codes QR par jour. Mais tous les outils de sécurité des e-mails n’offrent pas le même niveau de détection des codes QR.

2. Le scan s’effectue souvent sur un autre appareil

Beaucoup de personnes scannent les codes QR avec leur téléphone, même lorsque l’e-mail arrive sur un ordinateur professionnel.

Lorsqu’un employé clique sur un lien depuis un ordinateur portable de l’entreprise, les outils de sécurité peuvent souvent inspecter et surveiller cette activité. Mais lorsque cette même personne scanne un code QR avec son téléphone personnel, la visite peut se faire en dehors des contrôles de sécurité habituels de l’organisation. Cela offre aux attaquants une autre voie pour atteindre leur cible.

3. Les attaquants peuvent modifier la destination d’un code QR

Certaines campagnes de quishing utilisent des codes QR dynamiques. Un code QR dynamique pointe vers une destination qui peut être mise à jour ultérieurement. Cela permet aux attaquants de modifier l’URL finale après que le code QR a déjà été transmis. Dans certains cas, ils peuvent utiliser une destination inoffensive au départ et passer à une destination malveillante par la suite, rendant la détection plus difficile.

Le résultat est simple : un e-mail de phishing contenant un lien malveillant visible est souvent plus facile à analyser pour les outils de sécurité. Un code QR cache cette destination derrière une image et ajoute des étapes supplémentaires entre la victime et le site web malveillant.

Exemples concrets de quishing

Les attaques de quishing peuvent survenir partout où des QR Codes sont utilisés. Certaines arrivent par e-mail, tandis que d’autres apparaissent sur des panneaux, des affiches et des bornes de paiement dans les lieux publics. Les exemples ci-dessous montrent comment les attaquants utilisent les QR Codes pour dissimuler des sites web malveillants derrière un simple scan.

Arnaque aux parcmètres d’Austin (2022)

En 2022, des escrocs ont apposé de faux autocollants de codes QR sur 29 parcmètres à Austin, au Texas. Les conducteurs scannaient les codes pour payer leur stationnement, mais les codes QR redirigeaient vers un site de paiement frauduleux. Toute personne saisissant ses informations de paiement risquait de les transmettre directement aux escrocs.

L’attaque a fonctionné car les faux autocollants semblaient authentiques. La plupart des conducteurs n’avaient aucune raison de soupçonner que les codes QR d’origine avaient été remplacés.

Escroqueries liées à la vérification des comptes Microsoft 365

De nombreux e-mails de phishing se font passer pour Microsoft 365. Le message peut prétendre que votre mot de passe arrive à expiration, que votre compte doit être vérifié ou que vos paramètres d’authentification multifactorielle (MFA) doivent être mis à jour.

Au lieu d’inclure un lien, l’e-mail vous demande de scanner un code QR. Le code QR ouvre alors une fausse page de connexion Microsoft conçue pour voler les noms d’utilisateur et les mots de passe. Certaines campagnes tentent également de capturer des informations de session qui aident les attaquants à accéder aux comptes.

Comme l’URL malveillante est dissimulée dans le code QR, l’e-mail peut sembler plus sûr qu’un message de phishing classique à première vue.

Escroqueries liées aux factures et aux paiements

Les entreprises constituent une autre cible courante. Dans le cadre de ces attaques, les escrocs envoient des e-mails qui ressemblent à des factures, des demandes de paiement ou des relevés de compte provenant d’un fournisseur de confiance.

L’e-mail contient un faux QR Code censé mener aux détails de paiement ou aux pièces justificatives. Après avoir scanné le QR Code, la victime est redirigée vers un faux site web et invitée à saisir ses informations de paiement, ses coordonnées bancaires ou ses identifiants de compte. L’objectif est de voler de l’argent, des informations sensibles ou d’accéder aux systèmes de l’entreprise.

La confiance est un thème récurrent dans ces attaques. Les gens s’attendent à ce que les parcmètres, les pages de connexion Microsoft et les factures des fournisseurs soient légitimes. Les attaquants exploitent cette confiance en dissimulant des sites web malveillants derrière des codes QR. Les attaques par superposition physique sont particulièrement efficaces, car un faux autocollant de code QR peut se fondre dans un panneau, un menu, une borne ou un terminal de paiement par ailleurs légitime.

Le défi pour les utilisateurs est de savoir si un code QR est sûr avant de le scanner. Pour comprendre cette différence, il faut d’abord savoir si les codes QR sont sûrs et quelles mesures vous pouvez prendre pour vérifier une destination avant de l’ouvrir.

Qui sont les cibles habituelles des attaques de quishing ?

Les attaquants ne ciblent pas tout le monde de la même manière. Ils se concentrent sur les secteurs qui gèrent de l’argent, des informations sensibles ou un grand nombre de documents. Ils ciblent également les employés dont le travail consiste à approuver des paiements, à gérer des comptes ou à examiner des demandes.

Secteurs ciblés par les attaques de quishing

Secteur	Appât courant sous forme de code QR
Énergie	Factures de fournisseurs, documents de conformité, demandes de fournisseurs
Services financiers	Vérification de compte, validations de paiement, documents sécurisés
Fabrication	Documents d’expédition, factures fournisseurs, demandes d’achat
Assurance	Documents de police, identifiants de connexion au portail client, vérification de compte
Technologie	Réinitialisation de l’authentification multifactorielle (MFA), partage de documents, téléchargements de logiciels

Ces secteurs ont un point commun : de nombreux employés travaillent régulièrement avec des factures, des formulaires, des validations et des notifications de compte. Les pirates exploitent ces flux de travail quotidiens en concevant des codes QR malveillants qui ressemblent à des communications professionnelles courantes.

Rôles couramment ciblés par les attaques de quishing

Si certains secteurs sont exposés à des risques plus élevés, les attaquants ciblent souvent des employés spécifiques ayant accès à des fonds, à des données sensibles ou à des systèmes d’entreprise importants.

Cadres

Les cadres supérieurs font partie des groupes les plus ciblés. Selon Abnormal Security, les dirigeants de haut niveau reçoivent 42 fois plus d’attaques de quishing que les autres employés. Les attaquants utilisent souvent des demandes urgentes, des documents d’approbation ou des avis de vérification de compte, car les cadres supérieurs ont accès à des informations sensibles et aux systèmes financiers.

Équipes financières

Le personnel financier est une cible courante pour la fraude à la facture et les escroqueries liées aux paiements. Son travail l’amène à examiner les factures, à approuver les paiements et à collaborer avec les fournisseurs. Les attaquants le savent et dissimulent souvent des codes QR malveillants sous forme de demandes de paiement ou de documents financiers.

Équipes informatiques

Les employés informatiques gèrent régulièrement les réinitialisations de mot de passe, les mises à jour d’authentification multifactorielle (MFA) et les alertes de sécurité. Les e-mails de quishing copient souvent ces messages et utilisent des codes QR pour rediriger les victimes vers de fausses pages de connexion.

Équipes RH

Le personnel des RH travaille sur des CV, des formulaires d’intégration, des documents relatifs aux avantages sociaux et des dossiers des employés. Les attaquants peuvent déguiser les e-mails de quishing en documents de recrutement ou en demandes d’employés afin d’accéder aux systèmes de l’entreprise.

Personnel de première ligne et sur le terrain

Les employés travaillant dans des entrepôts, des usines, des magasins de détail et d’autres sites physiques sont exposés à un risque différent. Les pirates peuvent apposer de faux autocollants avec des codes QR sur les équipements, les bornes, les panneaux ou les terminaux de paiement que les employés utilisent quotidiennement.

Le point commun entre toutes ces cibles est la confiance. Les pirates recherchent des situations où scanner un code QR semble normal. Plus le processus est familier, plus une personne est susceptible de scanner d’abord et de poser des questions ensuite.

Comment protéger votre organisation contre le quishing

Le quishing fonctionne parce que les attaquants dissimulent des liens malveillants dans des codes QR et convainquent les gens de les scanner. Pour réduire ce risque, les organisations ont besoin de défenses couvrant à la fois la sécurité des e-mails et celle des codes QR. Les six mesures suivantes peuvent vous aider.

1. Utilisez des outils de sécurité des e-mails capables d’inspecter les codes QR

Les filtres de messagerie traditionnels sont conçus pour analyser les liens et le texte. Les attaques de quishing dissimulent la destination à l’intérieur d’une image de code QR.

Les outils modernes de sécurité des e-mails peuvent décoder les codes QR contenus dans les e-mails et les pièces jointes, puis vérifier si la destination est sûre. Sans cette capacité, des codes QR malveillants peuvent passer à travers les contrôles de sécurité sans être détectés.

Les normes d’authentification des e-mails telles que DMARC, SPF et DKIM restent importantes, mais elles ne vérifient que l’expéditeur. Elles n’inspectent pas le code QR lui-même.

2. Renforcez la protection des comptes grâce à une authentification multifactorielle (MFA) résistante au phishing

De nombreuses attaques de quishing visent à voler des noms d’utilisateur et des mots de passe. Une authentification multifactorielle (MFA) robuste réduit le risque qu’un mot de passe volé conduise à la compromission d’un compte.

Dans la mesure du possible, utilisez des méthodes résistantes au phishing, telles que les clés de sécurité ou les passkeys. Ces méthodes compliquent considérablement l’accès aux comptes pour les attaquants, même si un employé saisit son mot de passe sur un site web frauduleux.

3. Limitez l’accès des comptes compromis

Aucun contrôle de sécurité n’est parfait. Les organisations doivent partir du principe que certaines attaques finiront par aboutir.

Limiter l’accès en fonction des responsabilités professionnelles permet de réduire les dommages. Si des attaquants parviennent à accéder à un compte, ils ne doivent pas pouvoir se déplacer librement entre les systèmes, les données et les applications.

4. Former les employés à reconnaître les escroqueries par code QR

La plupart des programmes de sensibilisation à la sécurité se concentrent sur les liens suspects. Les employés doivent également apprendre comment fonctionne le « quishing ».

La formation doit aborder les signes avant-coureurs courants, tels que les codes QR inattendus dans les e-mails, les demandes urgentes de vérification de compte et les autocollants de codes QR placés sur des panneaux ou des bornes de paiement existants.

5. Intégrer le quishing dans les programmes de sécurité et de conformité

Les agences fédérales, notamment la Commission fédérale du commerce (FTC), le Bureau fédéral d’enquête (FBI) et l’Agence pour la cybersécurité et la sécurité des infrastructures (CISA), ont toutes mis en garde contre le phishing par code QR.

Les organisations doivent revoir leurs politiques de sécurité existantes et s’assurer que le quishing est inclus dans la formation des employés, les évaluations des risques et les procédures de réponse aux incidents. Cela est particulièrement important pour les secteurs réglementés qui suivent déjà des cadres de cybersécurité et de conformité.

6. Élaborer un plan d’intervention pour les incidents sur les appareils mobiles

De nombreuses attaques de quishing redirigent les utilisateurs d’un appareil professionnel vers un téléphone personnel.

Les organisations doivent disposer d’un processus clair pour enquêter sur les signalements de scans malveillants de codes QR, identifier les comptes compromis, réinitialiser les identifiants et surveiller les activités suspectes.

Le quishing diffère du phishing traditionnel car il dissimule des liens malveillants à l’intérieur de codes QR et redirige souvent les utilisateurs d’un appareil professionnel vers un téléphone personnel. Ces tactiques peuvent rendre les attaques plus difficiles à détecter et réduire l’efficacité des contrôles de sécurité conçus pour inspecter les liens textuels et le contenu des e-mails.

Alors que l’utilisation des codes QR continue de se développer, les organisations doivent considérer le quishing comme un risque de sécurité distinct. Les entreprises qui combinent une sécurité des e-mails tenant compte des codes QR, une authentification multifactorielle (MFA) robuste, la formation des employés et des procédures d’intervention claires sont mieux préparées à prévenir les attaques et à limiter les dégâts si l’une d’entre elles aboutit.

Gardez le contrôle sur les codes QR créés par votre entreprise

Tous les QR Codes ne constituent pas une menace. Les entreprises utilisent quotidiennement les QR Codes pour les paiements, les documents, l’expérience client et les flux de travail opérationnels. Le défi consiste à s’assurer que les utilisateurs peuvent faire confiance à la destination vers laquelle ces QR Codes les mènent.

The QR Code Generator (TQRCG) aide les entreprises à créer des codes QR traçables, modifiables et reliés à des destinations vérifiées. Cela offre aux organisations une meilleure visibilité sur la manière dont leurs codes QR sont utilisés et sur les destinations vers lesquelles ils dirigent les utilisateurs.

TQRCG répond également aux exigences de sécurité de l’enterprise, grâce aux certifications SOC 2 Type 2 et ISO 27001, ainsi qu’à la conformité au RGPD. Associés à des fonctionnalités telles que le suivi des scans et la gestion des URL de destination, ces contrôles aident les entreprises à renforcer la sécurité des codes QR tout en réduisant le risque d’utilisation abusive.

Foire aux questions

1. Qu’est-ce que le « quishing » en termes simples ?

Le quishing est un type d’attaque de phishing qui utilise un code QR à la place d’un lien classique. Lorsqu’une personne scanne le code QR, elle peut être redirigée vers un faux site web conçu pour voler des mots de passe, des informations de paiement ou d’autres données sensibles. Le terme combine les mots « QR Code » et « phishing ».

2. Quelle est la différence entre le phishing et le quishing ?

Le phishing traditionnel utilise des liens cliquables dans des e-mails, des SMS ou sur des sites web. Le quishing dissimule le lien malveillant à l’intérieur d’un code QR. Ces deux attaques ont le même objectif : inciter les gens à se rendre sur un faux site web. La principale différence réside dans le fait que le quishing utilise un code QR pour masquer la destination.

3. Le fait de scanner un QR Code peut-il vous infecter avec un virus ?

Le simple fait de scanner un code QR n’installe pas de virus. Un code QR redirige simplement votre appareil vers une destination, telle qu’un site web. Le risque réside dans ce qui se passe après le scan. Si le code QR mène à un site web malveillant, ce site peut tenter de voler vos informations ou de vous convaincre de télécharger un logiciel malveillant.

4. Pourquoi le quishing est-il si difficile à détecter ?

De nombreux outils de sécurité sont conçus pour inspecter les liens et le texte. Un code QR est une image, ce qui peut rendre son analyse plus difficile. Les attaques de quishing redirigent également souvent les utilisateurs d’un ordinateur professionnel vers un téléphone personnel. Cela peut compliquer la tâche des organisations qui souhaitent surveiller et bloquer les activités malveillantes.

5. Quels sont les exemples courants d’attaques de quishing ?

Parmi les exemples courants, on peut citer les faux autocollants de code QR placés par-dessus de véritables codes QR sur des parcmètres, les e-mails de phishing se faisant passer pour des alertes de compte Microsoft 365 et les fausses factures contenant des codes QR menant à de fausses pages de paiement. Dans chaque cas, l’attaquant utilise un code QR pour dissimuler un site web malveillant derrière une requête en apparence normale.

6. Comment les organisations peuvent-elles se protéger contre le quishing ?

Les organisations peuvent réduire ce risque en utilisant des outils de sécurité des e-mails qui inspectent les codes QR, en mettant en place une authentification multifactorielle (MFA) forte, en limitant l’accès aux systèmes sensibles et en formant leurs employés à reconnaître les escroqueries par code QR. Il est également important de disposer d’un plan d’intervention clair afin que les équipes sachent quoi faire si quelqu’un scanne un code QR malveillant ou saisit ses identifiants sur un site web frauduleux.

7. Comment repérer un faux code QR ?

Un faux code QR redirige souvent les utilisateurs vers un site web suspect qui imite une marque légitime. Avant de saisir la moindre information, vérifiez que l’URL du site web correspond au domaine officiel de la marque. Méfiez-vous si la page contient des fautes d’orthographe, demande des informations sensibles ou ne correspond pas à l’identité visuelle habituelle de l’entreprise.