Le code QR, nouveau vecteur du phishing
Le « quishing » — contraction de « QR code » et de « phishing » — désigne une escroquerie dans laquelle le fraudeur incite sa victime à scanner un code QR malveillant. Selon Safeonweb, le service de sensibilisation du Centre pour la Cybersécurité Belgique (CCB), ce code redirige vers un site de phishing ou déclenche l'exécution d'un programme malveillant.
Le scénario type est d'une simplicité redoutable. L'attaquant génère un code QR piégé, puis le place dans un lieu public ou l'envoie par e-mail, messagerie ou réseaux sociaux, en le déguisant en offre attrayante ou en mise à jour présentée comme indispensable. La victime scanne le code avec son smartphone : elle est redirigée vers le site frauduleux, ou le logiciel malveillant s'installe sur son appareil.
Un angle mort que le bureau ne peut ignorer
La force du procédé tient à une asymétrie : contrairement à un lien dans un e-mail, un code QR ne laisse pas voir l'URL de destination avant d'être scanné, ce qui rend la vérification beaucoup plus difficile. Safeonweb a documenté ce basculement dès les premiers faux messages envoyés au nom du gestionnaire de réseau Fluvius : l'objet promettait un dédommagement, et le lien classique était remplacé par un code QR accompagné d'instructions de scan très pédagogiques. Le résultat était identique à un clic sur un lien piégé : un site frauduleux réclamant des données personnelles.
Or les codes QR se sont banalisés dans la vie professionnelle — affiches, badges d'accueil, factures, menus, bornes. Cette familiarité joue contre la vigilance : le geste de scanner est devenu machinal, exactement ce que recherche le fraudeur.
Les quatre réflexes recommandés par Safeonweb
- Traiter tout code QR comme un lien inconnu. La même prudence s'impose que face à un lien inattendu dans un e-mail ou un SMS.
- Vérifier la source. Un code QR reçu par e-mail ou via les réseaux sociaux mérite un contrôle de provenance avant tout scan.
- Utiliser un lecteur sécurisé. Certaines applications de scan affichent l'URL et en vérifient la sûreté avant ouverture.
- Maintenir les appareils à jour. Les mises à jour régulières des appareils et des applications protègent contre les vulnérabilités connues que les pirates exploitent.
Signaler : un geste simple qui protège les autres
Comme pour les e-mails de phishing, Safeonweb invite à transférer les messages contenant un code QR suspect à suspicious@safeonweb.be. L'analyse est entièrement automatisée : les URL malveillantes détectées sont transmises à Google Safe Browsing et à Microsoft SmartScreen, que la plupart des navigateurs utilisent pour avertir les visiteurs. En 2022, six millions de messages ont ainsi été transférés au CCB. Les SMS suspects peuvent également être signalés : une simple capture d'écran transférée suffit, la technologie du CCB détectant les liens dans les images. Ne vous attendez pas à une réponse personnalisée — seul un accusé de réception automatique est envoyé.
En cas de scan malencontreux
Ne complétez aucun champ, ne communiquez jamais de codes personnels et interrompez toute interaction. Si un mot de passe réutilisé ailleurs a été saisi, changez-le immédiatement. En cas de perte d'argent ou de transmission de données bancaires, Safeonweb recommande de déposer plainte auprès de la police locale et de contacter sa banque et/ou Card Stop au 078 170 170.
Reste l'essentiel : la sensibilisation récurrente. Intégrer le quishing aux formations de sécurité informatique de base — au même titre que le phishing classique — transforme un angle mort en réflexe collectif.