Accueil / Tech News / Sécurité pratique : repérez les escroqueries par « quishing » avant qu'il ne soit trop tard

Sécurité pratique : repérez les escroqueries par « quishing » avant qu'il ne soit trop tard

Cette forme d’hameçonnage par QR code se développe en prenant différentes formes. Voici comment les repérer et éviter d'en être victime.

BlackJack3D/ iStock / Getty Images Plus via Getty Images

Vous est-il déjà arrivé de recevoir un code QR dans votre boîte de réception et de céder à la curiosité ? Quand on pense au hameçonnage et aux escroqueries, bon nombre des astuces les plus anciennes sont celles que l’on rencontre encore quotidiennement : des e-mails prétendant que des parents perdus de vue depuis longtemps nous ont laissé un héritage, des « avertissements » de Facebook indiquant que nos comptes seront gelés si nous ne répondons pas rapidement, de faux gains à la loterie et des sollicitations indésirables de la part de soi-disants investisseurs prêts à nous transférer des millions de dollars.

Cependant, les temps changent. Les arnaques au recrutement deviennent suffisamment sophistiquées pour convaincre les demandeurs d’emploi de mordre à l’hameçon : l’IA est utilisée pour humaniser et améliorer les tentatives de hameçonnage, voire automatiser des chaînes d’attaque entières. Et aujourd’hui, un nouveau vecteur d’attaque fait son apparition : il consiste à utiliser les codes QR comme arme pour contourner l’authentification multifactorielle (MFA), voler nos données et pirater nos comptes.

Le « quishing », ou hameçonnage par code QR, consiste à intégrer des liens malveillants dans des codes QR afin de contourner les filtres anti-hameçonnage traditionnels et de passer à travers les mailles du filet de sécurité. Le stratagème est toujours le même : créer un sentiment d’urgence, faire appel à notre cupidité, instiller la peur et la panique, ou promettre des récompenses si l’on scanne le QR code avec notre smartphone et que l’on clique sur le lien intégré pour accéder à une page ou une plateforme en ligne.

Une tentative de hameçonnage par QR code peut prendre de nombreuses formes : un faux message de votre banque, un e-mail vous félicitant d’avoir gagné à la loterie ou un message urgent de votre réseau social. Une fois que vous avez scanné le code et cliqué sur le lien, vous pourriez vous retrouver sur un site conçu pour voler vos données ou compromettre l’un de vos comptes.

Selon le Rapport 2026 sur les tendances en matière de hameçonnage, les messages d’hameçonnage basiques utilisant des codes QR par e-mail sont en baisse, mais ils refont surface en tant que vecteur d’attaque dissimulé dans des pièces jointes d’e-mails frauduleux, comme des fichiers PDF malveillants.

Dans l’ensemble, les attaques de hameçonnage par code QR ont augmenté de 25 % d’une année sur l’autre. Et cela ne se limite pas aux espaces numériques : selon le rapport, des codes QR ont également été repérés dans des espaces physiques, intégrés à des affiches ou apposés sur de fausses cartes de visite.

Les recherches de Hoxhunt s’appuient sur une notification publiée en juin par l’équipe Trust & Safety de Google, qui avertit que les vecteurs d’attaque traditionnels par e-mail sont en train d’être remplacés par les attaques de type « adversary-in-the-middle » (AITM, méthode d'attaque où l'attaquant se glisse entre la victime et le service auquel celle-ci est invitée à se connecter en donnant identifiant et mot de passe) et les attaques de « quishing ».

Le « quishing » s’associe à l’AITM en dissimulant des liens malveillants sous un format difficile à lire ou à détecter par les filtres de sécurité. Selon Google et Microsoft, voici comment cela fonctionne :

Ce qui rend cette tactique plus dangereuse que le hameçonnage traditionnel, en particulier pour les entreprises, c’est que les victimes utilisent leur smartphone pour scanner un code QR, contournant ainsi les mesures de sécurité réseau et les filets de protection, tels que la détection du hameçonnage.

L’équipe Microsoft Defender a constaté que les campagnes cybercriminelles basées sur les codes QR sont passées de 10 % à 30 % du total des campagnes de hameçonnage au cours des derniers mois.

Comme les QR codes dissimulent des destinations, des liens et du contenu sous la forme d’une image, il est impossible de voir ce qu’ils contiennent ou de vérifier facilement leur origine. Et c’est bien pourquoi il est risqué de scanner et de suivre aveuglément un QR code.

Les QR codes, en particulier ceux auxquels vous ne vous attendez pas, doivent être considérés avec la même méfiance que les liens ou les pièces jointes reçus par e-mail. Même si le format est différent, l’objectif du hameçonnage reste le même : contraindre ou exploiter la curiosité de la victime pour l’inciter à cliquer et à se rendre sur une ressource en ligne malveillante. La seule différence réside ici dans le mode de diffusion : au lieu d’un simple lien ou fichier, la victime utilise son appareil photo pour scanner le code.

Le meilleur conseil est de rester prudent. Si vous recevez un e-mail contenant un code QR qui semble provenir de votre banque, rendez-vous sur le site officiel de votre banque dans un onglet séparé ou ouvrez l’application mobile de votre banque. Même si un message semble légitime, par mesure de sécurité, vous ne devez pas cliquer sur des liens, ouvrir des pièces jointes ou scanner des QR codes à moins d’être absolument certain que la source est légitime et que le contenu du message est sûr.

Gardez également à l’esprit que les menaces liées aux QR codes ne se limitent pas aux e-mails. Vous voyez cet autocollant avec un code QR collé sur un lampadaire près de votre magasin préféré ? Même les autocollants physiques contenant des QR codes peuvent représenter une menace sérieuse pour votre vie privée et votre sécurité.

La Commission européenne vient de présenter son plan d’action, un document de quinze pages qui liste ses bonnes intentions.

Après les activités du renseignement militaire russe l’an passé, la diplomatie française accuse le FSB, le service de sécurité intérieur russe, de mener des actions d'espionnage en France.

Devant les sénateurs, le directeur général de l’Anssi vient d’avertir les sénateurs sur l’accroissement de la menace poussée par l’IA.

Les gendarmes cyber viennent d’annoncer un total de douze interpellations et des saisies contre le célèbre site de téléchargement. Ce dernier avait fermé ses portes en mars dernier après son spectaculaire piratage.

Les tablettes Android sont bien protégées, mais aucun appareil mobile n’est totalement à l’abri. Un bon antivirus reste l’un des meilleurs moyens d’éviter les infections.

Un ordinateur sans antivirus, c'est un peu comme laisser sa porte d'entrée ouverte en partant au travail. Les conséquences peuvent en effet être sérieuses : fichiers chiffrés par un ransomware, données bancaires aspirées via une tentative de phishing, ou simple ralentissement qui cache en réalité un logiciel malveillant installé depuis des semaines. Ces dernières années, le marché des logiciels antivirus s’est profondément transformé : certains acteurs ont fusionné, les offres se sont complexifiées, et les menaces n’ont jamais été aussi sophistiquées. En 2026, comment s'y retrouver ? Faut-il encore payer, ou les versions gratuites suffisent-elles vraiment ? Est-ce que Bitdefender écrase la concurrence, ou Norton tient-il toujours la route face à Kaspersky, Avast, Avira et AVG ? Ce guide répond à toutes ces questions, sans détour et avec des informations concrètes.

Votre téléphone Android en sait plus sur vous que n'importe qui. Contacts, photos, applications bancaires, mots de passe enregistrés, accès professionnels. Et pourtant, la grande majorité des utilisateurs ne l'ont jamais protégé. Les menaces sur Android ont bien évolué : des logiciels malveillants ont réussi à passer les filtres du Google Play Store ces dernières années, les arnaques par SMS ciblées explosent, et les trojans bancaires se déguisent en applications parfaitement anodines.

Chaque année, la même question revient. Souvent après un SMS suspect qui ressemblait un peu trop à un vrai message de La Poste, ou après avoir lu un article alarmiste en passant sur les réseaux. Est-ce qu'un iPhone a vraiment besoin d'un outil de protection supplémentaire ? La réponse courte : pas de la même façon qu'un PC sous Windows. La réponse honnête : ça dépend de ce que vous faites avec votre téléphone, à quels réseaux vous vous connectez, et de ce que vous entendez concrètement par "antivirus".

Apprenez à repérer les signes indiquant que votre compte est surveillé ou piraté, et reprenez le contrôle.

Windows Defender est souvent sous-estimé, parfois à tort. L'antivirus intégré de Microsoft offre un niveau de protection solide, à condition de ne pas s'en tenir aux réglages par défaut.

Utiliser votre adresse e-mail principale partout peut s'avérer risqué. Une adresse temporaire et jetable constitue une alternative plus sûre.

Les systèmes d'exploitation et les navigateurs nous offrent une protection antivirus intégrée. Avons-nous donc vraiment besoin de solutions autonomes aujourd'hui ? En bref : oui, mais les options gratuites font l'affaire.

Origine de l’article : lire l’article original
Traduction