Remind-R
Voir Remind-R en action
← Tous les articles
Bureautique

Quishing : quand le code QR devient l'hameçon

Le quishing remplace le lien piégé par un code QR malveillant, invisible avant le scan. Les réflexes recommandés par Safeonweb (CCB) pour protéger votre organisation, et la marche à suivre pour signaler un message suspect.

Rédaction Remind-R · 16/07/2026 · 4 min
Partager : LinkedIn X Facebook WhatsApp E-mail

Le code QR, nouveau vecteur du phishing

Le « quishing » — contraction de « QR code » et de « phishing » — désigne une escroquerie dans laquelle le fraudeur incite sa victime à scanner un code QR malveillant. Selon Safeonweb, le service de sensibilisation du Centre pour la Cybersécurité Belgique (CCB), ce code redirige vers un site de phishing ou déclenche l'exécution d'un programme malveillant.

Le scénario type est d'une simplicité redoutable. L'attaquant génère un code QR piégé, puis le place dans un lieu public ou l'envoie par e-mail, messagerie ou réseaux sociaux, en le déguisant en offre attrayante ou en mise à jour présentée comme indispensable. La victime scanne le code avec son smartphone : elle est redirigée vers le site frauduleux, ou le logiciel malveillant s'installe sur son appareil.

Un angle mort que le bureau ne peut ignorer

La force du procédé tient à une asymétrie : contrairement à un lien dans un e-mail, un code QR ne laisse pas voir l'URL de destination avant d'être scanné, ce qui rend la vérification beaucoup plus difficile. Safeonweb a documenté ce basculement dès les premiers faux messages envoyés au nom du gestionnaire de réseau Fluvius : l'objet promettait un dédommagement, et le lien classique était remplacé par un code QR accompagné d'instructions de scan très pédagogiques. Le résultat était identique à un clic sur un lien piégé : un site frauduleux réclamant des données personnelles.

Or les codes QR se sont banalisés dans la vie professionnelle — affiches, badges d'accueil, factures, menus, bornes. Cette familiarité joue contre la vigilance : le geste de scanner est devenu machinal, exactement ce que recherche le fraudeur.

Les quatre réflexes recommandés par Safeonweb

Signaler : un geste simple qui protège les autres

Comme pour les e-mails de phishing, Safeonweb invite à transférer les messages contenant un code QR suspect à suspicious@safeonweb.be. L'analyse est entièrement automatisée : les URL malveillantes détectées sont transmises à Google Safe Browsing et à Microsoft SmartScreen, que la plupart des navigateurs utilisent pour avertir les visiteurs. En 2022, six millions de messages ont ainsi été transférés au CCB. Les SMS suspects peuvent également être signalés : une simple capture d'écran transférée suffit, la technologie du CCB détectant les liens dans les images. Ne vous attendez pas à une réponse personnalisée — seul un accusé de réception automatique est envoyé.

En cas de scan malencontreux

Ne complétez aucun champ, ne communiquez jamais de codes personnels et interrompez toute interaction. Si un mot de passe réutilisé ailleurs a été saisi, changez-le immédiatement. En cas de perte d'argent ou de transmission de données bancaires, Safeonweb recommande de déposer plainte auprès de la police locale et de contacter sa banque et/ou Card Stop au 078 170 170.

Reste l'essentiel : la sensibilisation récurrente. Intégrer le quishing aux formations de sécurité informatique de base — au même titre que le phishing classique — transforme un angle mort en réflexe collectif.

Poser une question sur cet article à une IA

Sources

  1. Attention au quishing : la nouvelle technique de phishing — Safeonweb / Centre pour la Cybersécurité Belgique (CCB)
  2. Qu'est-ce que suspicious@safeonweb.be ? — Safeonweb / Centre pour la Cybersécurité Belgique (CCB)
  3. Nouvelle forme de phishing : de faux messages avec un code QR — Safeonweb / Centre pour la Cybersécurité Belgique (CCB)
Actualise l'article selon les dernières sources (une fois par jour).
Article rédigé avec l'aide de l'intelligence artificielle (conformément au Règlement européen sur l'IA). Informations fournies à titre indicatif, à faire valider par un professionnel avant toute décision. Les sources figurent ci-dessus.