1. Qu’est-ce qu’un QR Code ?
À l’instar des codes-barres classiques, un QR code (Quick Response Code) est une image codifiée contenant des informations numériques. Son rôle principal est de servir de pont : en le scannant, l’utilisateur est instantanément redirigé vers un site web ou invité à télécharger une application.
S’ils se sont largement répandus ces dernières années, c’est pour leur caractère pratique indéniable : ils permettent d’éviter la saisie manuelle et fastidieuse de liens URL sur nos appareils mobiles.
2. Le Quishing : La menace derrière le carré noir
Le quishing est une variante de l’hameçonnage (phishing) qui utilise ces fameux codes pour piéger les utilisateurs. Apparu massivement dans l’actualité en 2023, il se décline sous deux formes principales :
– La distribution en ligne (Email, SMS) : Le pirate envoie le code par message. Bien que l’envoi puisse être massif, cette technique a un taux de réussite plus faible car elle nécessite souvent un second appareil pour scanner l’écran du premier.
– La distribution physique (Le danger réel) : C’est ici que les cybercriminels sont les plus efficaces. Ils collent de faux codes sur des parcmètres, des bornes de recharge de véhicules électriques ou déposent de faux avis de contravention sur les pare-brise.
Le saviez-vous ? Les filtres de sécurité des boîtes mail détectent facilement les liens suspects textuels, mais ils ont beaucoup plus de mal à analyser le contenu malveillant caché dans l’image d’un QR code.
3. Exemple concret : Le piège du parcmètre
Imaginez un cybercriminel collant un autocollant frauduleux sur un parcmètre public.
L’automobiliste, pensant utiliser un nouveau mode de paiement mobile rapide, scanne le code. Il est alors redirigé vers un site miroir qui imite à la perfection celui du service de stationnement officiel. En toute confiance, la victime saisit ses informations personnelles et bancaires. L’escroc récupère alors ces données en temps réel pour vider le compte de la victime, sans que celle-ci ne s’en rende compte immédiatement.
4. Cas réels
Ce n’est pas une menace théorique, le quishing fait déjà des ravages :
– Au Royaume-Uni : Selon The Guardian, des fraudeurs ont massivement ciblé les parkings publics en recouvrant les codes officiels par des QR codes malveillants, détournant ainsi des milliers de paiements
– En France : Les autorités (Cybermalveillance.gouv.fr) alertent régulièrement sur des campagnes de faux avis de contravention déposés sur les véhicules dans plusieurs grandes villes.
5. Comment se protéger ?
Pour ne pas devenir la prochaine victime, quelques réflexes simples s’imposent :
– Observez le support : Si le QR code semble être un autocollant rajouté sur une borne ou un panneau officiel, méfiez-vous.
– Vérifiez l’URL : Avant de valider l’accès au site sur votre smartphone, regardez bien l’adresse web qui s’affiche. Est-elle cohérente avec le service utilisé ?
– Privilégiez les applications officielles : Pour le stationnement ou les bornes de recharge, passez directement par l’application téléchargée sur votre store (App Store ou Play Store) plutôt que par un QR code externe.
6. tableau
| Caractéristique | Phishing Classique | Quishing (QR Phishing) |
| Vecteur d’attaque | Lien hypertexte (URL cliquable) dans un email ou SMS. | QR Code (image) imprimé ou inséré dans un document. |
| Détection Antivirus | Élevée : Les filtres analysent le texte et les liens suspects. | Faible : Les scanners d’emails peinent à lire le contenu d’une image. |
| Dispositif utilisé | Principalement l’ordinateur (PC/Mac). | Passage de l’ordinateur au Smartphone (hors périmètre de sécurité). |
| Contexte de confiance | Souvent numérique (faux site bancaire, impôts). | Souvent physique (parcmètres, restaurants, bornes de recharge). |
| Facilité d’accès | Un clic suffit. | Nécessite une action physique (sortir son téléphone, scanner). |
| Protection recommandée | Analyse des liens, filtres anti-spam. | XDR, éducation des utilisateurs, vérification de l’URL finale. |
Sources & Ressources
(The Guardian Enquêtes sur les fraudes au parking)
(Cybermalveillance.gouv.fr Alertes nationales)