En 2024, l’hameçonnage s’est confirmé comme la principale menace cyber pour toutes les catégories de publics, professionnels comme particuliers. Si le phishing traditionnel par email reste dominant, une nouvelle technique d’hameçonnage s’est développée : le quishing. Il s’agit d’une attaque utilisant des QR codes pour piéger les victimes et les rediriger vers des sites malveillants.
Qu’est-ce qu’un QR code ?
Le QR code, ou “Quick Response code”, est un type de code-barres en deux dimensions. Il contient des informations, souvent sous forme de lien URL, que les utilisateurs peuvent scanner avec leur smartphone. Il permet d’accéder à un site web, de télécharger une application ou de déclencher diverses actions, comme l’ajout de contacts ou l’ouverture de documents. L’avantage majeur des QR codes réside dans leur simplicité et leur rapidité d’utilisation. Il suffit de pointer son téléphone pour accéder au contenu, sans avoir à taper de longues adresses URL.
Avec la montée en popularité des smartphones et l’usage quotidien des QR codes (notamment pour les paiements, les menus de restaurants ou les formulaires en ligne), ces derniers se sont imposés dans notre quotidien. Cependant, cette adoption massive a aussi attiré l’attention des cybercriminels.
Le QR code : une nouvelle opportunité pour les cybercriminels ?
Comme toute technologie nouvelle, le QR code a rapidement été détourné par les escrocs. Des incidents ont été signalés en France : faux avis de contravention sur les pare-brises de voitures, faux avis de passage de La Poste déposés dans les boîtes aux lettres, faux QR codes sur des bornes de recharge pour véhicules électriques ou encore des faux QR codes pour des connexions Office365. Ces cas montrent comment les cybercriminels utilisent le quishing pour tromper les utilisateurs et les inciter à se rendre sur des sites frauduleux.
Le quishing repose sur un principe simple : le QR code masque le lien réel derrière une image visuelle. Contrairement à un lien écrit dans un email, l’utilisateur ne peut pas immédiatement voir l’URL avant de scanner le code. Cela rend le processus de vérification plus difficile et permet aux escrocs de rediriger les victimes vers des sites malveillants où leurs données personnelles peuvent être volées, ou d’installer des logiciels malveillants sur leurs appareils.
Une menace encore limitée mais à surveiller
Si les QR codes malveillants commencent à se multiplier, leur utilisation dans les cyberattaques reste encore relativement marginale, selon Cybermalveillance.gouv.fr. Il est plus complexe pour les cybercriminels de diffuser massivement des QR codes par voie électronique, car cela nécessiterait l’utilisation d’un second appareil pour scanner le code, ce qui limite le nombre de victimes potentielles. Toutefois, les attaques physiques, où des QR codes frauduleux sont déposés dans des lieux publics (parcmètres, bornes de recharge), peuvent toucher un nombre limité de personnes, mais avec des effets potentiellement graves.
L’ampleur du quishing reste donc, pour l’instant, contenue, notamment à cause du faible retour sur investissement pour les criminels. Distribuer physiquement des QR codes malveillants expose aussi ces derniers à un risque accru d’être identifiés et interpellés.
Comment se protéger du quishing ?
Même si la menace des QR codes malveillants semble encore relativement faible, il est essentiel de rester vigilant. Les QR codes frauduleux jouent sur la confiance et la difficulté pour les victimes d’identifier immédiatement les liens masqués derrière ces codes. Pour éviter de tomber dans ces pièges, il est recommandé de :
1. Vérifier la source et notamment si un QR code provient d’une source inconnue ou d’un support qui semble suspect (comme un avis de contravention douteux), il vaut mieux s’abstenir de le scanner.
2. Utiliser une application de sécurité : en effet, certaines applications permettent de vérifier les liens derrière les QR codes avant de les ouvrir, une mesure simple mais efficace pour éviter de suivre des liens malveillants.
3. Éviter de scanner des QR codes dans des lieux publics : si vous trouvez des QR codes sur des bornes de paiement ou des affiches dans la rue, méfiez-vous. Si possible, accédez directement au service via un navigateur en tapant l’URL officielle.
4. Faire attention aux emails et SMS : un QR code reçu par email ou message peut sembler plus légitime, mais il est toujours préférable de vérifier la fiabilité de l’expéditeur avant de le scanner.
Bien que le quishing reste une menace mineure comparée à d’autres formes d’hameçonnage, il n’en demeure donc pas moins une méthode insidieuse exploitant la méconnaissance générale du public quant aux risques liés aux QR codes. Comme pour toute interaction en ligne, la vigilance reste la meilleure protection contre les arnaques numériques. Ne scannez jamais un QR code dont vous ne pouvez pas vérifier la source, et lorsque vous avez un doute, mieux vaut s’abstenir.
La technologie avance rapidement et raison de plus de prendre des précautions face aux nouvelles formes de cybercriminalité.