Un simple carré noir et blanc peut-il compromettre toute une organisation ?
Dans un restaurant, une banque, un aéroport, un établissement scolaire, une campagne marketing ou un service public, les QR codes sont partout. Ils permettent de payer, d’accéder à un site web, de télécharger une application, de rejoindre un réseau Wi-Fi ou encore de partager des informations en quelques secondes.
Cette simplicité explique leur succès.
Mais elle constitue également leur principal danger. Car lorsqu’un utilisateur clique sur un lien dans un email, il peut encore vérifier l’adresse affichée à l’écran. Lorsqu’il scanne un QR code, il délègue cette vérification à son smartphone. Et c’est précisément sur cette confiance que misent désormais les cybercriminels.
Bienvenue dans l’ère du Quishing, la nouvelle génération de phishing par QR code.
Pourquoi les QR codes sont devenus une cible privilégiée des cybercriminels
Le QR code présente un avantage considérable pour les attaquants : il masque totalement l’adresse de destination. À l’œil nu, il est impossible de distinguer :
- un QR code légitime ;
- un QR code frauduleux ;
- un QR code menant vers un malware ;
- un QR code redirigeant vers un faux site bancaire.
Pour la victime, tous les QR codes se ressemblent. Pour le cybercriminel, cela représente une opportunité exceptionnelle. Alors que les campagnes de phishing traditionnelles sont de mieux en mieux détectées par les filtres anti-spam et les solutions de cybersécurité, les QR codes permettent souvent de contourner ces protections. Un simple autocollant collé sur une affiche, un email contenant un QR code ou une publication sur les réseaux sociaux peut suffire à lancer une attaque.
Le Quishing : quand le phishing se cache derrière un QR code
Le terme « Quishing » est la contraction de : QR Code + Phishing. L’objectif reste identique :
- voler des identifiants ;
- récupérer des données personnelles ;
- détourner des paiements ;
- installer un logiciel malveillant ;
- compromettre un appareil ou un compte utilisateur.
La seule différence est le vecteur utilisé. Au lieu de cliquer sur un lien, la victime scanne un QR code. Le résultat est souvent le même.
Scénario 1 : le faux site bancaire
Imaginez recevoir un message prétendant provenir de votre banque. Le message indique : « Pour des raisons de sécurité, veuillez vérifier votre compte en scannant le QR code ci-dessous. ». Après le scan, une page parfaitement identique au portail officiel apparaît. Logo, couleurs, mise en page, formulaire de connexion. Tout semble normal. La victime saisit alors :
- son identifiant ;
- son mot de passe ;
- parfois même son code OTP.
En quelques secondes, les informations sont envoyées directement à l’attaquant. C’est précisément l’un des scénarios étudiés dans le laboratoire pédagogique « Identifier un faux site bancaire via QR ».
Scénario 2 : les attaques Mobile Money
L’Afrique connaît une croissance spectaculaire des paiements numériques basés sur les QR codes. Cette évolution profite aux utilisateurs mais attire également les fraudeurs.
Un QR code frauduleux peut :
- rediriger un paiement vers un autre bénéficiaire ;
- modifier discrètement le montant d’une transaction ;
- collecter des informations personnelles ;
- lancer une attaque de phishing ciblée.
Les conséquences peuvent être importantes pour les particuliers comme pour les entreprises. Les laboratoires consacrés au Mobile Money, à l’authentification forte et aux mécanismes antifraude répondent directement à cette problématique.
Scénario 3 : le faux Wi-Fi public
Dans un hôtel, un aéroport ou un café, il est désormais courant de trouver un QR code permettant d’accéder rapidement au réseau Wi-Fi. Mais que se passe-t-il si ce QR code a été remplacé ?
L’utilisateur peut être dirigé vers :
- un faux portail captif ;
- une page de collecte d’identifiants ;
- un réseau contrôlé par un attaquant.
Une fois connecté, ses communications peuvent être surveillées ou interceptées. Les laboratoires dédiés aux réseaux Wi-Fi piégés et à WPA3 illustrent parfaitement cette menace.
Scénario 4 : l’installation silencieuse de logiciels malveillants
Le smartphone est devenu la principale cible des cybercriminels. Un QR code peut rediriger vers :
- un APK Android infecté ;
- une application frauduleuse ;
- un profil de configuration malveillant ;
- un spyware.
L’utilisateur croit télécharger un document, une mise à jour ou une application officielle. En réalité, il ouvre la porte à une compromission complète de son appareil.
Journalistes, ONG et défenseurs des droits humains : des cibles particulièrement exposées
Certaines attaques ne visent pas l’argent. Elles visent l’information. Les journalistes d’investigation, les lanceurs d’alerte, les défenseurs des droits humains et les organisations de la société civile sont régulièrement confrontés à des campagnes de surveillance numérique sophistiquées.
Dans ce contexte, un QR code peut servir à :
- identifier une source ;
- géolocaliser une cible ;
- collecter des métadonnées ;
- compromettre un appareil ;
- installer un logiciel d’espionnage.
Le programme comprend plusieurs scénarios spécifiquement conçus pour sensibiliser ces publics à ces risques.
Les nouvelles menaces : Deepfake, NFC et QR codes
Les attaques évoluent rapidement. Les cybercriminels combinent désormais plusieurs technologies.
Par exemple :
Deepfake + QR Code
Une vidéo truquée semble provenir d’un dirigeant, d’un ministre ou d’un responsable d’organisation. La vidéo demande de scanner un QR code. La confiance générée par le deepfake augmente considérablement les chances de réussite de l’attaque.
NFC + QR Code
Le QR code sert à amorcer une interaction qui se poursuit ensuite via la technologie NFC. Cette combinaison peut permettre des attaques plus sophistiquées sur des terminaux de paiement ou des smartphones.
Ingénierie sociale
Le QR code devient simplement un prétexte. Le véritable objectif est de manipuler psychologiquement la victime pour qu’elle agisse rapidement sans réfléchir.
Pourquoi les mécanismes de sécurité traditionnels ne suffisent plus
Les organisations investissent massivement dans :
- les antivirus ;
- les pare-feu ;
- les solutions EDR ;
- les passerelles email sécurisées.
Pourtant, beaucoup négligent encore les QR codes. Or ceux-ci peuvent contourner une partie importante de ces défenses. Lorsqu’un utilisateur scanne un QR code avec son téléphone personnel, il sort souvent du périmètre de contrôle de l’entreprise. C’est précisément cette rupture qui est exploitée par les attaquants.
Comment réduire le risque ?
Aucune solution unique n’existe. La protection repose sur plusieurs couches complémentaires :
Sensibiliser les utilisateurs
La première ligne de défense reste l’humain. Chaque utilisateur devrait apprendre à :
- vérifier les URLs après un scan ;
- se méfier des QR codes reçus par email ;
- contrôler les demandes inhabituelles ;
- identifier les signes de manipulation.
Mettre en place des protections techniques
Les organisations peuvent déployer :
- des DNS sécurisés ;
- des proxys de filtrage ;
- des solutions de sandboxing ;
- des systèmes de scoring antifraude ;
- des outils de détection comportementale.
Définir une politique QR Code
Très peu d’organisations disposent aujourd’hui d’une politique spécifique concernant les QR codes. Pourtant, celle-ci devrait préciser :
- les usages autorisés ;
- les contrôles obligatoires ;
- les procédures de validation ;
- les règles de surveillance et d’audit.
Une compétence qui devient indispensable
Le QR code est devenu le pont entre le monde physique et le monde numérique. Chaque affiche, chaque document imprimé, chaque écran publicitaire, chaque facture ou chaque paiement peut désormais contenir un lien vers un univers numérique dont nous ignorons tout. Dans ce contexte, la question n’est plus : « Faut-il se préoccuper des QR codes ? ».
La véritable question est : « Sommes-nous capables d’identifier un QR code malveillant avant qu’il ne compromette nos données, nos comptes ou notre organisation ? » À mesure que les cyberattaques gagnent en sophistication, la maîtrise des risques liés aux QR codes devient une compétence fondamentale de la résilience numérique moderne. Ignorer cette menace reviendrait à laisser une porte ouverte alors même que toutes les autres sont verrouillées.
Florent Youzan
SecureVoices.ORG – Plateforme de sensibilisation
en Cybersécurité et Résilience numérique
Labs, Simulations, Serious Games
https://securevoices.org
experts@securevoices.org