Gert Lambers - 22 jan 2024

Les codes QR sont pratiques, faciles à utiliser et, par conséquent, omniprésents. Malheureusement, les cybercriminels n’hésitent pas à les détourner pour voler des données. Comment fonctionne le « quishing », ou l’hameçonnage par code QR, et comment s’en protéger ?

La grande popularité des codes QR n’a rien d’étonnant : très pratiques, ils permettent de stocker un grand nombre d’informations. Il vous suffit de les scanner avec votre smartphone pour accéder à des sites web, effectuer des paiements, obtenir des réductions et bien plus encore. Mais saviez-vous que les codes QR sont également utilisés par les cybercriminels avides de dérober vos informations personnelles ou financières ? Cette pratique de plus en plus répandue est connue sous le nom de « phishing par code QR » ou de « quishing ». 

Comment fonctionne le quishing ? 

Le quishing est une technique d’hameçonnage qui consiste à utiliser des codes QR pour attirer les victimes vers des sites web frauduleux ou pour télécharger des logiciels malveillants. Pour ce faire, les cybercriminels créent des codes QR qu’ils associent à un call-to-action (appel à l’action), à première vue légitime, invitant à scanner le code. Il peut s’agir d’offres telles qu’un cadeau ou un coupon, ou encore d’un lien vers une enquête. Ils apposent ces codes QR et ces messages frauduleux sur des dépliants, des affiches, des courriels, des publications sur les réseaux sociaux ou même sur des sites web ou des produits légitimes.

En scannant le code QR, la victime arrive sur un site web qui semble correspondre à ce que le call-to-action promettait, mais qui est en fait administré par le pirate. Sur ce site, la victime est invitée à saisir des données personnelles telles que son nom, son adresse e-mail, son numéro de téléphone ou son adresse postale. Elle est aussi souvent incitée à saisir les données de sa carte de crédit, de son compte bancaire ou de divers identifiants. Il arrive aussi que les pirates demandent aux victimes de télécharger une application ou un fichier contenant un logiciel malveillant. 


Comment éviter ce piège ? 

Le quishing est difficile à repérer, car les codes QR ne sont pas transparents. Par exemple, alors qu’une URL malveillante semble souvent suspecte aux yeux des internautes attentifs, un code QR frauduleux ressemble en tout point à un QR code normal. Avant le scan, le contenu du code QR est totalement invisible.

Heureusement, il existe quelques signes avant-coureurs à surveiller et des mesures à prendre pour se protéger du quishing : 

  • Méfiez-vous des codes QR proposant des offres qui semblent trop belles pour être vraies, comme de l’argent gratuit, des cadeaux ou des réductions démesurées. Si l’offre vous semble incroyable, c’est probablement le cas. 
  • Méfiez-vous des codes QR provenant de sources inconnues ou peu fiables, comme les e-mails non sollicités, les SMS ou les publications sur les réseaux sociaux. Ne scannez pas les codes QR trouvés sur des dépliants, des affiches ou des autocollants au hasard, surtout s’ils se trouvent dans des lieux publics ou sur des produits. 
  • Utilisez une application permettant de scanner les codes QR et dotée de fonctions de sécurité, telles que la vérification de l’URL ou du contenu avant son ouverture. Certaines applications peuvent également vous alerter si le code QR mène à un site web ou à un fichier suspect ou malveillant. 
  • Ne saisissez pas vos données personnelles ou financières sur un site web ouvert via un code QR, sauf si vous êtes sûr que le site est fiable et sécurisé. Référez-vous aux indicateurs de légitimité, tels que le protocole HTTPS, l’icône de cadenas et un nom de domaine correct. Soyez aussi attentif aux indicateurs d’illégalité, tels que les fautes d’orthographe, des soucis de mise en page ou des demandes inhabituelles. 
  • Ne téléchargez pas et n’ouvrez pas les applications ou les fichiers auxquels vous êtes exposé par le biais d’un code QR si vous n’êtes pas certain qu’ils soient sûrs et qu’ils proviennent d’une source fiable. Analysez l’application ou le fichier à l’aide d’un logiciel antivirus avant de l’installer ou de l’ouvrir.
  • Mettez régulièrement à jour votre smartphone et vos applications avec les derniers correctifs et mises à jour de sécurité. Vous éviterez ainsi les attaques par logiciels malveillants et les vulnérabilités. 

Le quishing est une nouvelle forme de menace complexe qui exploite la popularité et la facilité d’utilisation des codes QR. En étant conscientisé à cette menace et en suivant les conseils ci-dessus, vous pourrez vous en protéger et profiter des avantages des codes QR en toute sécurité.

Aurelium rend votre lieu de travail numérique plus sûr. Contactez-nous pour plus d’informations ! 

Prendre contact

Articles pertinents

18/10/2016

Comment éviter les fuites de données au sein d’une PME ?

Les entreprises modernes ont de plus en plus de données à traiter : données à caractère personnel, données d’entreprise, données financières, données opérationnelles, données concurrentielles, données de carte de crédit, fichiers RH...

Eviter les fuites de données
16/02/2017

Veeam Cloud Connect : sauvegarde efficace

La sauvegarde est un élément incontournable de votre infrastructure TIC. C’est un fait. Votre sauvegarde peut parfois être cruciale pour l’existence de votre organisation. Nous espérons que vous n’en arriverez jamais aussi loin, mais...

Veeam Cloud Connect
09/03/2017

4 fonctionnalités qu'il est préférable de placer dans le cloud

Sommige functionaliteiten kunt u gewoon beter van de public cloud afnemen als service. Dit betekent niet dat u deze niet zelf lokaal kunt organiseren. Het is gewoon veel gemakkelijker, efficiënter en goedkoper om ze af te nemen als een cloud...

Functionaliteiten cloud