Accueil À propos CEV Confiance Membres Blog

Quishing : la menace croissante du phishing par QR code

Les QR codes sont devenus omnipresents -- menus de restaurant, parcometres, billets d'evenements, avis administratifs. Leur commodite est indeniable. Mais cette meme commodite a ouvert la porte a une nouvelle forme de cyberattaque : le quishing.

Qu'est-ce que le quishing ?

Le quishing (QR + phishing) est une attaque d'ingenierie sociale dans laquelle un QR code malveillant redirige la victime vers un site web frauduleux concu pour voler des identifiants, des donnees personnelles ou des informations financieres. Parce que l'oeil humain ne peut pas lire un QR code, il est impossible d'inspecter l'URL de destination avant de scanner.

Les attaquants exploitent cela en :

  • Collant des autocollants malveillants par-dessus des QR codes legitimes sur les parcometres, les tables de restaurant ou la signaletique publique.
  • Integrant des codes frauduleux dans des e-mails de phishing ou des prospectus imprimes.
  • Remplacant les QR codes gouvernementaux ou d'entreprise sur des documents et correspondances officiels.

Pourquoi le quishing est-il si dangereux ?

Menace invisible

Contrairement a un lien suspect dans un e-mail qu'un utilisateur forme pourrait reconnaitre, un QR code ne revele rien sur sa cible. Meme les individus sensibilises a la securite peuvent etre trompes.

Contournement des filtres e-mail

Les outils anti-phishing traditionnels analysent le texte et les URL dans les e-mails. Un QR code integre sous forme d'image contourne entierement ces filtres, ce qui en fait un vecteur privilegie pour les attaquants ciblant les environnements professionnels.

Vulnerabilite mobile

Les QR codes sont scannes sur des smartphones, qui disposent souvent de controles de securite plus faibles que les ordinateurs portables professionnels. Les navigateurs mobiles n'affichent pas toujours l'URL complete, et les utilisateurs sont moins enclins a examiner les liens sur un petit ecran.

Surface d'attaque croissante

Les chercheurs en cybersecurite constatent systematiquement que le quishing est l'un des vecteurs de phishing a la croissance la plus rapide, avec une acceleration marquee des incidents enregistres tout au long de 2023 et 2024, sans signe de ralentissement.

Exemples concrets

  • Arnaques aux parcometres -- Des autocollants QR code frauduleux places sur des parcometres dans de grandes villes europeennes redirigeaient les automobilistes vers de faux portails de paiement.
  • Fraude aux factures d'energie -- De fausses factures de services publics avec des QR codes modifies dirigeaient les victimes vers des sites de phishing collectant des identifiants bancaires.
  • Hameconnage cible en entreprise -- Des attaquants envoyaient des courriers imprimes avec des QR codes aux employes, se faisant passer pour les services RH demandant une « verification urgente des identifiants ».

Comment les Cachets Electroniques Visibles resolvent le probleme

Les QR codes standard sont fondamentalement non securises parce que n'importe qui peut en generer un. Il n'y a aucun mecanisme d'authentification integre. Un Cachet Electronique Visible (CEV) change completement cette equation :

  • Pas d'URL, pas de redirection -- Un CEV n'encode pas une adresse web. Il contient des donnees structurees (identite, certificat, informations produit) qui sont lues et affichees localement par l'application de verification.
  • Signature cryptographique -- Les donnees d'un CEV sont signees avec la cle privee de l'emetteur. Toute falsification -- meme d'un seul caractere -- invalide la signature.
  • Verification de l'emetteur -- L'application de verification (comme Otentik Codes Reader) verifie la signature par rapport a une liste de confiance de cles publiques, confirmant a la fois l'integrite des donnees et l'identite de l'autorite emettrice.
  • Fonctionnement hors ligne -- La verification s'effectue localement sur l'appareil, sans aucun appel reseau au moment du scan qu'un attaquant pourrait intercepter ou usurper. Les listes de confiance doivent toutefois etre telechargees et mises en cache au prealable par l'application de verification.

En resume : on ne peut pas « quisher » un CEV. La technologie elimine le vecteur d'attaque par conception.

Que pouvez-vous faire des aujourd'hui ?

  • Soyez prudent lorsque vous scannez des QR codes dans des lieux publics -- si le code ressemble a un autocollant colle par-dessus un autre, ne le scannez pas.
  • Verifiez l'URL affichee par votre telephone avant de saisir toute information personnelle.
  • Pronez l'adoption du CEV dans votre organisation -- en particulier pour tout document ou etiquette qui repose actuellement sur des QR codes standard.
  • Utilisez Otentik Codes Reader pour verifier les documents securises par des Cachets Electroniques Visibles.