Le « quishing » : l’hameçonnage par QR code

L’hameçonnage reste en 2023 la principale menace pour toutes les catégories de publics. Parmi les formes d’hameçonnage recensées dans notre dernier rapport d’activité, le « quishing », un hameçonnage opéré par QR code.

Qu’est-ce qu’un QR code ?

À l’instar des codes-barres, un QR code est une image codifiée contenant des informations, comme un lien qui peut rediriger l’utilisateur sur un site ou lui permettre de télécharger une application. Les QR codes se sont largement répandus ces dernières années, car ils présentent un caractère pratique indéniable en permettant d’éviter la saisie manuelle et fastidieuse de liens sur les appareils mobiles en particulier.

Le QR code, une opportunité pour les cybercriminels ?

Comme pour toute nouveauté technologique, la démocratisation des QR codes a rapidement attiré l’attention des cybercriminels. Faux avis de contravention reçus au domicile ou laissés sur les pare-brise de véhicules stationnés dans plusieurs villes de France, faux avis de passage de La Poste déposés dans des boîtes aux lettres, faux QR codes collés sur des parcmètres ou sur des bornes de recharges de véhicule électriques, faux QR codes de confirmation de connexion Office365… Les QR codes frauduleux (appelés quishing en anglais) ont commencé à s’inviter régulièrement dans l’actualité nationale de l’hameçonnage en 2023.

Pour Cybermalveillance.gouv.fr, si des QR codes commencent à être de plus en plus utilisés dans des messages d’hameçonnage pour renforcer leur apparence officielle, à l’instar des fausses infractions pédopornographiques qui contiennent parfois un QR code qui renvoie sur le vrai site de la gendarmerie, leur développement reste toutefois encore marginal.

En effet, l’envoi d’un QR code malveillant par message électronique, s’il peut être massif, peut apparaître incongru, car il faut un second appareil pour le scanner. Cela présente donc de facto un faible taux de réussite possible pour les cybercriminels. En revanche, la distribution physique de QR code, que ce soit pour des notifications d’amende déposées sur les pare-brises ou pour coller des QR codes de substitution, ne peut cibler qu’un nombre limité de victimes potentielles. Par ailleurs, ce type d’opération présente de fait un faible retour sur investissement pour les cybercriminels, et un risque important pour eux de se faire identifier et donc interpeller.

En conclusion

Si la menace des QR codes malveillants reste encore relativement mineure, elle n’en demeure pas moins réelle, car elle joue sur la difficulté que peuvent avoir les victimes à identifier des liens frauduleux, a fortiori lorsqu’ils sont masqués par un QR code qui n’est pas immédiatement lisible. Les QR codes malveillants peuvent alors diriger l’utilisateur abusé vers un site frauduleux ou lui faire télécharger un virus.

Au même titre qu’un lien contenu dans un message, avant de suivre le lien proposé par un QR code, il convient donc toujours d’en vérifier la vraisemblance et de s’abstenir de l’ouvrir au moindre doute.