Qu’est-ce que le quishing (QR code phishing)

Le quishing (QR code phishing) est une menace cybernétique en évolution rapide qui exploite la commodité des QR codes pour tromper les utilisateurs et compromettre leur sécurité. En intégrant des liens malveillants dans des QR codes apparemment inoffensifs, les attaquants contournent les filtres email traditionnels et redirigent les victimes vers des sites frauduleux ou des téléchargements de malwares.

Cette technique d’ingénierie sociale profite de l’utilisation généralisée des QR codes dans les opérations commerciales, rendant les organisations vulnérables via leurs appareils professionnels et personnels.

Le quishing est une attaque d’ingénierie sociale où les cybercriminels exploitent les QR codes — des codes-barres bidimensionnels stockant des données horizontalement et verticalement — pour rediriger les victimes vers des sites malveillants ou déclencher des téléchargements de malwares.

Contrairement au phishing traditionnel, qui repose sur des liens textuels, le quishing utilise des QR codes pour contourner les filtres de sécurité des emails et exploiter la confiance des utilisateurs dans cette technologie largement adoptée.

Les QR codes sont des matrices lisibles par machine capables de stocker jusqu’à 7 089 caractères numériques ou des URL, accessibles via les caméras des smartphones ou des applications de scan. Leur conception inclut des fonctionnalités de correction d’erreur, leur permettant de fonctionner même s’ils sont partiellement endommagés. Bien que leurs utilisations légitimes incluent les paiements sans contact ou les campagnes marketing, leur opacité (les utilisateurs ne peuvent pas prévisualiser l’URL intégrée) en fait un outil idéal pour l’exploitation malveillante.

Les attaques par quishing suivent un processus systématique. Les attaquants adoptent une approche méthodique :

1. Création de QR codes malveillants : Des outils en ligne gratuits génèrent des QR codes liés à des sites de phishing ou des hébergeurs de malwares.
2. Distribution : Les codes sont intégrés dans des emails de phishing, de fausses factures, des affiches publiques, des menus de restaurants, voire superposés à des QR codes légitimes.
3. Leurres d’ingénierie sociale : Les messages incitent à une action immédiate, comme “Scannez pour débloquer une réduction” ou “Vérifiez votre compte”.
4. Exploitation : Le scan redirige les utilisateurs vers des pages de connexion falsifiées, des récolteurs d’identifiants ou des téléchargements de malware. Par exemple, une attaque en 2023 imitait des factures professionnelles, dirigeant les employés vers de faux portails de paiement.

En combinant des vecteurs d’attaque physiques et numériques, le quishing représente une menace multidimensionnelle pour les organisations comme pour les particuliers.

Les attaques par quishing prospèrent à l’intersection des espaces physiques et numériques, exploitant à la fois la curiosité humaine et les processus organisationnels. Les cybercriminels déploient stratégiquement des QR codes malveillants dans des environnements à forte fréquentation ou à haut niveau de confiance pour maximiser leurs chances de succès. Les cibles principales incluent :

• Lieux publics : Des QR codes falsifiés apparaissent sur des menus de restaurants, des horodateurs, des affiches en magasin ou des flyers d’événements, promettant souvent des réductions, un accès Wi-Fi ou du contenu exclusif.
• Emails/SMS de phishing : Les attaquants se font passer pour des banques, des agences gouvernementales ou des fournisseurs professionnels, intégrant des QR codes dans de fausses factures, des alertes de “vérification de compte” ou des notifications d’expédition.
• Étiquettes de produits : Des acteurs malveillants remplacent les QR codes légitimes sur les emballages par des liens vers des sites contrefaits ou des téléchargements de malwares.
• Documents partagés : Des QR codes dissimulés dans des PDF ou des feuilles de calcul internes, se faisant passer pour des enquêtes ou du matériel de formation.
• Secteurs ciblés : L’énergie, la fabrication, l’assurance et les services financiers — des domaines avec des chaînes d’approvisionnement complexes et des transactions à haute valeur.

Par exemple, une campagne en 2024 a ciblé des chaînes de restaurants en superposant des QR codes malveillants sur des menus imprimés, redirigeant les clients vers des pages de vol d’identifiants imitant des programmes de fidélité.

Le quishing exploite la confiance que les utilisateurs accordent aux QR codes, mais les organisations peuvent atténuer les risques en combinant sensibilisation, protections techniques et politiques proactives. Voici les principales stratégies pour se défendre contre ces menaces hybrides.

Bonnes pratiques de vigilance pour les utilisateurs

• Vérifier la source des QR codes : Confirmer leur légitimité avec l’expéditeur via un canal distinct (ex. appel téléphonique) avant de scanner des codes dans des emails, SMS ou lieux publics.
• Inspecter les URL affichées par les scanners : Vérifier le chiffrement HTTPS, les domaines mal orthographiés (ex. “arnazon.com”) ou les liens raccourcis suspects.
• Éviter de partager des données sensibles : Ne jamais saisir d’identifiants ou de coordonnées bancaires après avoir scanné un QR code sans avoir confirmé l’authenticité du site.
• Utiliser des applications de scan sécurisées : Privilégier des applications intégrant un antivirus signalant les liens malveillants.

Mesures de sécurité organisationnelles

• Simulations de phishing : Mener régulièrement des exercices d’attaque par quishing pour évaluer les réactions des employés et identifier les lacunes.
• Authentification multifacteur (MFA) : Imposer la MFA sur les systèmes critiques pour neutraliser l’impact des identifiants volés via des sites de quishing.
• Amélioration de la sécurité des emails : Déployer les protocoles DMARC, SPF et DKIM pour bloquer les emails frauduleux contenant des QR codes malveillants.
• Protection des terminaux : Installer des outils anti-malware avec analyse en temps réel pour détecter et mettre en quarantaine les charges utiles livrées via des liens de quishing.
• Architecture Zero Trust : Limiter l’accès au réseau aux utilisateurs et appareils vérifiés, réduisant les mouvements latéraux en cas de brèche.

Protections basées sur les politiques

• Accès à privilèges minimum : Restreindre les permissions des employés pour limiter les dégâts en cas de compte compromis.
• Directives d’utilisation des QR codes : Interdire le scan de codes provenant de sources non fiables dans les communications professionnelles.
• Codes physiques inviolables : Auditer les QR codes publics (affiches, étiquettes) pour détecter d’éventuels ajouts malveillants.

Priorités de formation

• Détection de l’ingénierie sociale : Apprendre aux équipes à reconnaître les incitations urgentes comme “Scannez pour éviter la suspension de compte”.
• Protocoles de signalement : Établir des canaux clairs pour que les employés signalent les codes suspects sans crainte de représailles.

En intégrant ces pratiques dans leurs cadres de cybersécurité, les entreprises peuvent réduire le succès du quishing tout en préservant leur agilité opérationnelle.

La technologie joue un rôle clé pour contrer les attaques par quishing, combinant des outils de détection avancés et des stratégies organisationnelles proactives pour neutraliser les menaces basées sur les QR codes. Voici les principales défenses technologiques et procédurales que les entreprises peuvent déployer.

Solutions de sécurité

• Moteurs d’analyse de QR codes : Les solutions de sécurité des emails utilisent des modèles de vision par ordinateur pour détecter les QR codes dans les messages, décoder les URL intégrées et évaluer leur risque via du machine learning alimenté par des décennies de données sur le phishing. Par exemple, Cloudflare analyse les QR codes en temps réel, explore les liens décodés et les compare à des bases de données de menaces pour bloquer les contenus malveillants.
• Sandboxing en ligne : Des plateformes comme Proofpoint extraient les QR codes des pièces jointes (PDF, etc.) et simulent l’interaction avec les URL dans des environnements isolés pour détecter les malwares ou les récolteurs d’identifiants avant livraison. Microsoft rapporte que cette analyse préalable a bloqué environ 1,5 million de tentatives de quishing quotidiennes en 2024.
• Détection des menaces par IA : Microsoft Defender for Office 365 utilise l’extraction d’images pour identifier les QR codes dans les emails, analyse la structure des URL via du machine learning et bloque les liens suspects grâce à des règles heuristiques.

“Les solutions de sécurité email traditionnelles et la plupart des outils basés sur des API ont du mal à détecter ces attaques,” explique Tim Bedard, expert chez IBM. “Ces outils recherchent des liens suspects connus dans les messages, mais ne scannent pas les images pour détecter les liens cachés dans des QR codes malveillants.”

Mesures organisationnelles

• Générateurs de QR codes sécurisés : Utiliser des outils d’entreprise avec dates d’expiration intégrées et listes blanches de domaines pour garantir que les codes ne renvoient qu’à des URL approuvées.
• Segmentation du réseau : Isoler les appareils IoT et les réseaux invités des systèmes critiques pour contenir les brèches déclenchées par des malwares liés au quishing.
• Sécurité des API pour les intégrations tierces : Surveiller les workflows utilisant des QR codes (portails fournisseurs, systèmes d’inventaire) pour détecter des appels API anormaux révélant une utilisation frauduleuse d’identifiants.
• Signatures numériques pour QR codes : Implémenter des tags cryptographiques (normes QR-Code 2.0) pour vérifier l’authenticité et détecter les codes altérés dans les espaces physiques.
• Analyse du comportement (UEBA) : Utiliser des solutions de User and Entity Behavior Analytics pour repérer des activités suspectes après un scan, comme des exportations soudaines de données depuis le cloud.

“Protégez votre organisation contre les emails envoyés par des fournisseurs ou partenaires potentiellement compromis,” conseille Bedard. Proofpoint Supplier Threat Protection utilise l’IA et des renseignements sur les menaces pour identifier les comptes compromis et prioriser les enquêtes.

Formation et vigilance humaine

“Vos employés et clients sont votre première ligne de défense. Assurez-vous qu’ils reçoivent une formation sur tous les types d’attaques de phishing,” ajoute Bedard.

• Simulations de cybersécurité : L’outil de simulation de Proofpoint inclut des exercices de phishing par QR code, adaptés aux rôles et niveaux de compétence des employés.
• Apprentissage interactif : Les plateformes de formation à la sensibilisation à la sécurité redirigent les employés échouant aux simulations vers des micro-leçons expliquant les signaux d’alerte (URLs incohérentes, incitations à l’urgence).
• Culture de signalement : Mettre en place des canaux faciles pour signaler les codes suspects. L’analyse contextuelle par IA de Proofpoint, combinée aux rapports utilisateurs, aide à identifier de nouvelles méthodes d’attaque.

En associant outils de détection de pointe et formation rigoureuse, les organisations peuvent anticiper l’évolution des tactiques de quishing tout en instaurant une culture axée sur la sécurité.

Proofpoint offre une protection de bout en bout contre le quishing grâce à la détection avancée des menaces, au sandboxing avant livraison et à la formation à la sécurité centrée sur l’utilisateur. Son moteur exclusif d’analyse des QR codes décode les URL intégrées dans les courriels et les pièces jointes, en les analysant en temps réel grâce à l’IA comportementale et aux renseignements sur les menaces fournis par plus de 230 000 clients dans le monde. Le sandboxing avant livraison isole les liens suspects, bloquant les QR codes malveillants avant qu’ils n’atteignent les boîtes de réception - un avantage critique par rapport aux solutions après livraison.

Pour les entreprises, la formation de sensibilisation à la sécurité de Proofpoint intègre des simulations de phishing, en inscrivant automatiquement les utilisateurs vulnérables à un apprentissage adaptatif pour lutter contre des tactiques en constante évolution telles que les collecteurs d’informations d’identification basés sur les QR.

Les défenses multicouches, dont NexusAI et le sandboxing des URL, neutralisent 99,99 % des menaces par courrier électronique, tandis que des intégrations comme PhishAlarm permettent aux employés de signaler les codes suspects de manière transparente. En combinant l’analyse à la vitesse de la machine et la vigilance humaine, Proofpoint protège les organisations contre les risques hybrides du quishing, protégeant ainsi 87 % des entreprises du Fortune 100. Contactez Proofpoint pour en savoir plus.