Quishing

01 — DéfinitionQu'est-ce que le quishing ?

Le quishing (contraction de QR et phishing) est une technique d'attaque qui utilise un QR code malveillant pour rediriger la victime vers un site frauduleux. L'objectif reste classique : soutirer des identifiants, des informations bancaires, déclencher un paiement, installer un malware, contourner une authentification multi-facteurs.

Le QR code (Quick Response code) est un code-barres bidimensionnel inventé en 1994 par la société japonaise Denso Wave. Pendant longtemps resté un outil technique, il a connu une adoption grand public fulgurante pendant la pandémie COVID-19 (menus sans contact, passes sanitaires, paiements mobiles). Cette normalisation a créé une nouvelle surface d'attaque : les utilisateurs scannent désormais des QR codes sans réflexe de suspicion, même dans des contextes non sécurisés.

Le quishing combine deux dimensions :

• Technique : l'URL cachée dans un QR code échappe à la plupart des filtres de sécurité email, car les passerelles analysent les URL textuelles mais pas systématiquement les QR codes dans les images.
• Psychologique : le scan d'un QR code est devenu un geste banal. L'utilisateur ne ressent pas l'acte comme « cliquer sur un lien suspect ».

Le quishing s'est imposé comme une tendance majeure en cybersécurité à partir de fin 2022, avec une croissance documentée : les rapports Proofpoint, Abnormal, Cofense, Check Point convergent tous vers une multiplication par 5 à 10 des campagnes de quishing entre 2022 et 2025.

Un QR code est l'une des rares interfaces où l'URL de destination est volontairement cachée à l'utilisateur. C'est précisément ce qui le rend efficace à la fois pour les usages légitimes et pour les attaques.

02 — ContextePourquoi le quishing a explosé

Contournement des filtres email

Les passerelles de sécurité email (Microsoft Defender, Proofpoint, Mimecast, Barracuda, Cisco Secure Email) ont historiquement été conçues pour analyser le texte des emails et les URL hypertextes. Un QR code est une image : il faut analyser l'image, détecter le QR code, décoder son contenu, puis analyser l'URL obtenue. Ces capacités ne sont devenues standard qu'à partir de 2023-2024, avec plusieurs années de décalage par rapport à l'émergence de la menace.

Changement d'appareil de scan

Quand un utilisateur reçoit un phishing classique sur son poste de travail, il clique depuis un environnement protégé : EDR, proxy web, politique de DNS filtrant, navigateur managé. Quand il scanne un QR code, il utilise son téléphone personnel dans la plupart des cas. Le navigateur mobile n'est pas protégé par le dispositif entreprise. Le trafic passe par le réseau cellulaire ou le WiFi personnel, pas par le proxy corporate. La compromission se fait donc hors de la zone de visibilité du SOC.

Confiance bâtie pendant la pandémie

Les QR codes sont devenus omniprésents entre 2020 et 2023 : menus de restaurants, passes sanitaires, paiements mobiles, billets de transport, accès wifi, informations produit. Cette banalisation a levé les réticences initiales. Aujourd'hui, scanner un QR code est un réflexe, pas un acte à questionner.

Opacité de l'URL

Contrairement à un lien textuel où on peut survoler pour voir l'URL avant de cliquer, un QR code est un graphique opaque. La seule façon de voir la destination est de scanner — mais le scan déclenche généralement l'ouverture automatique. Certaines applications affichent l'URL avant l'ouverture, mais beaucoup d'utilisateurs cliquent sans lire cette prévisualisation.

Possibilité d'attaques physiques

Le quishing ajoute une dimension physique absente du phishing classique. Un attaquant peut imprimer un autocollant avec un QR code malveillant et le coller par-dessus un QR code légitime (parking, borne électrique, affiche publicitaire, table de restaurant). L'investissement est minimal (quelques euros d'impression) pour un retour potentiel élevé.

Facilité de génération

Générer un QR code est trivial et gratuit : dizaines d'outils en ligne, APIs ouvertes, bibliothèques dans tous les langages. Un attaquant peut créer des milliers de QR codes différents, chacun pointant vers des URL légèrement différentes pour échapper à la détection. L'industrialisation est totale.

03 — ScénariosLes formes dominantes du quishing

Quishing par email — MFA piégée

Scénario le plus répandu en entreprise. Un email prétend provenir du service IT, de Microsoft ou de Google : « Vous devez mettre à jour votre authentification multi-facteurs. Scannez ce QR code avec votre téléphone pour procéder. » Le QR code redirige vers une fausse page qui reproduit le portail d'authentification et capture identifiants et code MFA. Les versions plus sophistiquées utilisent des techniques AitM (Adversary in the Middle) comme Evilginx pour relayer en temps réel les identifiants et contourner même le MFA.

Quishing par email — faux document professionnel

« Veuillez scanner ce QR code pour consulter le document partagé. » L'email imite SharePoint, DocuSign, OneDrive ou un outil interne. Le QR code mène vers une page qui demande une authentification Microsoft 365 ou Google, capturant les identifiants. Efficace car l'utilisateur s'attend à une authentification légitime.

Quishing par email — fausse facture

Ciblage des services comptabilité. Une facture au format PDF contient un QR code pour « payer en ligne » ou « consulter les détails du paiement ». Le QR code redirige vers un faux portail de paiement qui capture les informations bancaires ou déclenche un virement vers un IBAN contrôlé par l'attaquant.

Quishing physique — parkings

Vague massive en France depuis 2022. Des autocollants sont apposés sur les horodateurs de parkings des grandes villes (Paris, Lyon, Marseille, Bordeaux, Nice). Ils imitent les QR codes officiels des applications PayByPhone, Flowbird ou de la ville. Scannés, ils redirigent vers un faux site de paiement qui capture les informations bancaires et facture parfois un abonnement récurrent non sollicité.

Quishing physique — bornes de recharge électrique

Tendance 2024-2025. Les bornes de recharge publiques affichent des QR codes pour lancer et payer une session. Des autocollants malveillants sont posés par-dessus, redirigeant vers de fausses applications ou de faux sites Chargemap, TotalEnergies, Ionity, Izivia.

Quishing physique — restaurants et cafés

Les menus sans contact avec QR code ont créé une surface d'attaque triviale. Un QR code sur une table peut être remplacé par un autocollant pointant vers un faux site : demande de carte bancaire pour « confirmer la réservation », inscription à une newsletter piégée, redirection vers un site de phishing générique.

Quishing physique — affichage public

Autocollants apposés sur des affiches publicitaires officielles (SNCF, RATP, administrations, grandes marques) dans les lieux de forte affluence. L'attaquant profite de la confiance accordée à la marque support et de l'absence de vérification en environnement public.

Quishing par courrier postal

Variante récente. L'attaquant envoie une lettre semblant provenir d'un organisme officiel (impôts, CAF, Enedis, opérateur télécom, banque) avec un QR code pour « accéder à votre dossier ». Moins fréquent mais plus convaincant parce que le canal postal est encore perçu comme légitime.

Quishing conversationnel (messagerie)

QR codes partagés via WhatsApp, Signal, Teams, Slack avec un scénario adapté : « voici le QR pour rejoindre le canal interne », « scan pour accéder au document partagé ». L'effet de pretexting est fort car le message provient souvent d'un contact compromis ou usurpé.

04 — ExemplesCas réels en France et ailleurs

Paris, vague des QR codes de parking (2022-2024)

La ville de Paris et plusieurs opérateurs de stationnement ont alerté à plusieurs reprises sur la prolifération d'autocollants frauduleux sur les horodateurs parisiens à partir de 2022. Des centaines de victimes déclarées, avec des pertes individuelles allant de quelques dizaines à plusieurs centaines d'euros par arnaque. La ville a communiqué via 39 75 et des campagnes d'affichage. Des phénomènes similaires ont été documentés à Lyon, Marseille, Lille, Toulouse et dans d'autres grandes villes françaises.

Cybermalveillance.gouv.fr — alertes récurrentes

Le GIP Cybermalveillance publie régulièrement des alertes spécifiques au quishing depuis 2023. Les scénarios récurrents signalés : faux QR codes de La Poste avec notification de colis en attente, faux QR codes Ameli pour « mise à jour de vos informations », faux QR codes des impôts pour « dossier fiscal en suspens ». Le site propose des formulaires de signalement dédiés.

Vague de quishing Microsoft (été 2023)

Campagne documentée par Check Point Research et Cofense visant massivement les entreprises utilisatrices de Microsoft 365. Des emails imitant les notifications Microsoft demandaient de scanner un QR code pour « confirmer l'identité » ou « renouveler l'authentification MFA ». Plusieurs grandes entreprises américaines et européennes ont vu des comptes utilisateurs compromis, avec ensuite des tentatives d'attaques latérales ou de BEC.

Campagne contre des employés de l'énergie (2023)

Rapport Cofense Intelligence. Une campagne de quishing ciblée a touché plus de 1 000 employés d'une grande société d'énergie américaine non nommée. Les emails provenaient d'adresses compromises et contenaient un QR code redirigeant vers un faux portail Microsoft. Le taux de clic mesuré sur le QR code était significativement supérieur à celui d'un lien textuel équivalent.

Quishing contre les chargeurs électriques britanniques (2024)

La police britannique (Sussex Police, Metropolitan Police) a alerté en 2024 sur la présence d'autocollants frauduleux sur les bornes électriques de plusieurs stations-services. Les QR codes redirigeaient vers de fausses applications Chargemap-like qui capturaient les cartes bancaires. Phénomène similaire documenté en France et aux Pays-Bas dans la foulée.

Attaque contre des cadres dirigeants (2024)

Abnormal Security a documenté plusieurs campagnes de quishing ciblées spécifiquement sur les cadres dirigeants et CFO de grandes entreprises fin 2024. Les emails, personnalisés au nom et au contexte de la victime, contenaient un QR code menant à un portail qui imitait l'environnement DocuSign de l'entreprise. Plusieurs cas documentés de comptes compromis utilisés ensuite pour des BEC financièrement catastrophiques.

05 — DétectionReconnaître une tentative

Signaux dans un email

• Un QR code intégré à un email professionnel sans raison métier évidente.
• Demande d'action urgente avec le QR code comme seule voie (« scannez avant 24h »).
• Expéditeur légèrement différent de l'officiel (adresse ressemblante mais pas identique).
• Mention « scannez avec votre téléphone » plutôt que « cliquez ici », ce qui suggère une volonté d'échapper aux filtres.
• Email en HTML simple avec une seule image de QR code au centre.
• Pièce jointe PDF ou Word contenant un QR code comme unique contenu utile.

Signaux sur un QR code physique

• Autocollant visiblement récent ou mal posé, qui peut avoir été collé par-dessus un QR code existant.
• QR code dont la couleur ou le style détonne avec l'environnement (papier différent, typographie différente).
• Présence de plusieurs QR codes pour la même fonction (celui d'origine et un ajouté).
• Dans un parking ou sur une borne : absence du logo officiel de l'opérateur attendu, QR code sans URL lisible à côté.
• Endroit suspect du QR code : recouvre partiellement d'autres informations, a été posé à hauteur de vue mais pas à l'emplacement officiel.

Signaux après scan

• URL de destination inattendue : domaine proche mais pas identique à l'officiel, nom de domaine récent (enregistrement il y a moins de 30 jours), domaine gratuit connu pour l'hébergement malveillant.
• Redirection multiple avant d'arriver à la page finale (technique pour tromper la détection).
• Page qui demande immédiatement des identifiants, une carte bancaire ou l'installation d'une application.
• Absence de cadenas HTTPS (désormais rare, les attaquants utilisent Let's Encrypt pour chiffrer les sites malveillants).
• Mise en page qui imite un site officiel mais avec des différences subtiles (polices, logos, langue).

Outils de détection utilisateur

• iOS et Android modernes affichent l'URL avant d'ouvrir le lien dans la plupart des cas — toujours lire cette prévisualisation.
• Applications tierces de scan sécurisé (Trend Micro QR Scanner, Kaspersky QR Scanner, Sophos Intercept X for Mobile) qui analysent l'URL avant ouverture.
• Extensions de navigateur qui vérifient les URL (uBlock Origin avec listes dédiées, Netcraft).
• Services en ligne gratuits pour vérifier une URL suspecte (VirusTotal, URLhaus, urlscan.io).

06 — ProtectionSe protéger au quotidien

07 — EntrepriseProtéger ses collaborateurs

Sensibilisation dédiée

Intégrer le quishing explicitement dans les programmes de sensibilisation. Le risque est mal connu des collaborateurs — beaucoup n'associent pas instinctivement QR code et phishing. Illustrer avec des exemples visuels de faux QR codes de parking ou d'emails MFA piégés rend le message très concret.

Simulations de quishing

Les principales plateformes de simulation de phishing (KnowBe4, Proofpoint Security Awareness, Abnormal, ainsi que les acteurs français dont LePhish) proposent depuis 2023-2024 des scénarios quishing. Intégrer ces scénarios dans vos campagnes renforce l'effet pédagogique et mesure l'exposition réelle de vos équipes.

Filtres email avancés

Vérifier que votre passerelle email détecte le quishing. Les solutions à jour (Microsoft Defender for Office 365 Plan 2, Proofpoint TAP, Mimecast Email Security 3, Abnormal Security) intègrent l'analyse de QR codes dans les images depuis 2023-2024. Vérifier lors d'un audit que cette fonctionnalité est activée et efficace sur votre environnement.

Politiques et procédures

• Procédure formelle : les vrais renouvellements MFA, certificats et authentifications ne se font jamais par QR code dans un email non sollicité — votre service IT le communique clairement.
• Remboursement de stationnement via les applications officielles uniquement, avec justificatifs numériques.
• Formation dédiée pour les populations à risque : direction, finance, RH, communication, support IT, commerciaux en déplacement.
• Procédure de signalement facile (bouton « signaler un phishing » dans la messagerie, extension navigateur dédiée).

Protection mobile

L'usage de MDM (Mobile Device Management) et de solutions de sécurité mobile (Mobile Threat Defense) est essentiel quand les collaborateurs scannent depuis des téléphones professionnels. Des solutions comme Microsoft Intune, Lookout, Zimperium, Sophos Intercept X for Mobile bloquent les URL malveillantes au niveau de l'appareil, indépendamment du navigateur utilisé.

Authentification robuste

La meilleure défense contre les conséquences d'un quishing reste une authentification forte résistante au phishing : passer à FIDO2 et aux passkeys. Même si un utilisateur scanne un QR code malveillant et atterrit sur un faux portail, une clé FIDO2 ne divulguera rien à un domaine frauduleux — la cryptographie empêche la capture exploitable.

Supervision et détection

Corréler dans le SIEM et le XDR les signaux suspects liés aux compromissions issues de quishing : connexions depuis des adresses IP inhabituelles, agents utilisateur mobile sur des comptes habituellement desktop, tentatives d'enrôlement MFA anormales, activités post-authentification atypiques (téléchargement massif, transfert de règles de messagerie, enrôlement d'appareils).

08 — FAQQuestions fréquentes

Un QR code peut-il installer un malware sans interaction ?

Rarement dans le cas général, plus rarement encore en 2026. Le scan lui-même ne fait que décoder des données et présenter l'URL. L'installation d'un malware nécessite encore typiquement que l'utilisateur autorise une installation (hors magasin officiel), accorde des permissions sensibles, ou que l'attaquant exploite une vulnérabilité du navigateur mobile. Les exploitations zero-day via QR code existent en théorie mais restent exceptionnelles. Le risque principal reste la page de phishing classique présentée après la redirection.

Les QR codes payants (billets, passes) sont-ils risqués ?

Non en tant que tels. Un QR code qui vous est présenté par vous-même pour être scanné par autrui (billet de train, passe transport, ticket événement) contient vos propres informations. Il ne peut pas « vous attaquer ». Le risque opposé existe : un attaquant qui vous demande de scanner un QR code affiché sur son propre écran est plus suspect.

Les QR codes de Cybermalveillance et de l'administration sont-ils sûrs ?

Oui quand ils sont sur des supports officiels contrôlés. Mais rien n'empêche un attaquant de coller un faux QR code sur une affiche officielle dans un lieu public. La vérification de l'URL affichée reste la règle : pour l'administration française, l'URL doit se terminer par .gouv.fr ou un autre domaine officiel reconnu. Pour les démarches sensibles, accéder directement au site officiel via son navigateur est toujours plus sûr.

Comment réagir après avoir scanné un QR code suspect sans saisir d'informations ?

Le risque est généralement faible si aucune information n'a été saisie et aucun fichier téléchargé ou installé. Fermer le navigateur, vider le cache par précaution, et ne pas revenir sur la page suffit dans la majorité des cas. Si votre téléphone présente un comportement inhabituel (apparitions de publicités, applications inconnues, batterie qui se vide vite), envisager une analyse avec un outil de sécurité mobile ou une réinitialisation.

Les QR codes dynamiques sont-ils plus sûrs ?

Pas nécessairement. Un QR code dynamique utilise un service intermédiaire qui redirige vers une URL finale modifiable. C'est commode pour les entreprises légitimes (modifier la destination sans réimprimer les supports) mais cela complique la détection : l'URL initiale pointe vers un service légitime (bitly, qrco, google, microsoft), la redirection finale peut être changée à tout moment. Un QR code dynamique légitime à sa conception peut devenir malveillant plus tard. Le principe reste : vérifier l'URL finale affichée avant d'agir.