Accueil À propos CEV Confiance Membres Blog

Quishing : la menace croissante du phishing par QR code

Les codes QR sont devenus omniprésents — menus de restaurants, horodateurs, billets d'événements, avis gouvernementaux. Leur aspect pratique est indéniable. Mais cette même praticité a ouvert la voie à une nouvelle forme de cyberattaque : le quishing.

Qu'est-ce que le Quishing ?

Le quishing (QR + phishing) est une attaque par ingénierie sociale où un QR code malveillant redirige la victime vers un site web frauduleux conçu pour voler des identifiants de connexion, des données personnelles ou des informations financières. Puisqu'un humain ne peut lire et déchiffrer à l'œil nu un QR code, il n'y a aucun moyen d'examiner l'URL cible avant le scan.

Les attaquants exploitent cela de la manière suivante :

  • En collant des autocollants malveillants sur des QR codes légitimes des parcmètres, sur les tables de restaurants ou la signalétique publique.
  • En intégrant de faux codes dans des e-mails de phishing ou sur des prospectus imprimés.
  • En remplaçant les QR codes gouvernementaux ou d'entreprises sur des documents et des correspondances officiels.

Pourquoi le Quishing est-il si dangereux ?

Une menace invisible

Contrairement à un lien d'e-mail suspect qu'un utilisateur averti pourrait reconnaître, un QR code ne révèle rien sur sa destination. Même les personnes sensibilisées à la sécurité peuvent être trompées.

Contournement des filtres de messagerie

Les outils anti-phishing traditionnels analysent le texte et les URL des e-mails. Un QR code intégré en tant qu'image échappe complètement à ces filtres, ce qui en fait un vecteur de choix pour les attaquants ciblant les environnements d'entreprise.

Vulnérabilité sur les mobiles

Les QR codes sont scannés via smartphones, des équipements qui possèdent souvent des mesures de sécurité plus faibles que les ordinateurs portables d'entreprise. Les navigateurs mobiles peuvent ne pas afficher l'URL complète, et les utilisateurs sont moins enclins à examiner attentivement les liens sur un petit écran.

Une surface d'attaque en pleine croissance

Les chercheurs en cybersécurité signalent continuellement que le quishing est l'un des vecteurs de phishing dont la croissance est la plus rapide, avec une forte accélération du nombre d'incidents enregistrés tout au long des années 2023 et 2024, sans aucun signe de ralentissement.

Exemples de la réalité du terrain

  • Arnaques aux horodateurs — Des autocollants frauduleux contenant de faux QR codes ont été placés sur des horodateurs dans de grandes villes européennes pour rediriger les automobilistes vers de faux portails de paiement.
  • Fraude à la facture d'énergie — De fausses factures de services publics portant des QR codes falsifiés ont dirigé les victimes vers des sites de phishing qui collectaient leurs identifiants bancaires.
  • Spear-phishing en entreprise — Des attaquants ont envoyé aux employés des lettres contenant un QR code, se faisant passer pour les ressources humaines demandant une "vérification urgente des identifiants".

Comment les Cachets Électroniques Visibles (CEV) résolvent le problème

Les QR codes standards sont fondamentalement peu sûrs car n'importe qui peut en générer. Ils ne comportent aucun mécanisme d'authentification intégré. Un Cachet Électronique Visible (CEV) change complètement la donne :

  1. Pas d'URL, pas de redirection — Un CEV n'encode pas une adresse web (URL). Il contient des données structurées (identité, certificat, informations sur le produit) qui sont lues et affichées localement par l'application de vérification.
  2. Signature cryptographique — Les données au sein d'un CEV sont signées avec la clé privée de l'émetteur. Toute falsification — même le changement d'un seul caractère — invalide la signature.
  3. Vérification de l'émetteur — L'application de vérification (comme Otentik Code Reader) contrôle la signature par rapport à une liste de confiance de clés publiques, confirmant à la fois l'intégrité des données et l'identité de l'autorité émettrice.
  4. Fonctionnement hors ligne — La vérification s'effectue localement sur l'appareil, sans aucun appel réseau au moment du scan qu'un attaquant pourrait intercepter ou usurper. À noter que les listes de confiance doivent être téléchargées et mises en cache à l'avance par l'application de vérification, nécessitant une connexion internet initiale et périodique.

En bref : vous ne pouvez pas "quisher" un CEV. La technologie élimine ce vecteur d'attaque par principe.

Que pouvez-vous faire dès à présent ?

  • Soyez prudents lorsque vous scannez des QR codes dans des lieux publics — si le code ressemble à un autocollant ajouté par-dessus un autre, ne le scannez pas.
  • Vérifiez l'URL affichée sur votre téléphone avant de saisir toute information personnelle.
  • Plaidez pour l'adoption des CEV dans votre organisation — tout particulièrement pour tout document ou étiquette qui s'appuie actuellement sur des QR codes classiques.
  • Utilisez Otentik Code Reader pour vérifier les documents sécurisés par des Cachets Électroniques Visibles.