Le phishing par code QR (quishing) connaît une forte hausse en 2026, des faux autocollants de stationnement aux pièges par e-mail. Voici comment repérer les stratagèmes avant qu’un simple scan ne coûte cher.
Un parcmètre clignote sous la pluie, le menu d’un restaurant est posé derrière un support en plastique, et un e-mail du « support informatique » demande une vérification rapide du compte. Dans chaque cas, la prochaine étape semble inoffensive : il suffit de scanner le carré et de passer à autre chose. C’est précisément cette routine qui explique pourquoi le phishing par code QR, souvent appelé quishing, est devenu l’un des formats d’arnaque les plus efficaces à l’approche de 2026.
Des sociétés de sécurité et des organismes publics suivent cette évolution depuis des mois. Keepnet Labs a signalé une hausse de 5x du phishing basé sur les QR codes entre 2024 et 2025, tandis que les données d’une enquête NordVPN ont révélé que 73% des Américains scannent les QR codes sans vérifier d’abord la destination. L’attrait pour les attaquants est simple : le lien est dissimulé dans une image, et votre téléphone l’ouvre souvent en dehors des contrôles de sécurité habituels.
Le phishing par code QR progresse parce que les anciennes défenses ne le détectent pas
le phishing par code QR remplace l’hyperlien bleu classique par une image scannable. L’arnaque mène toujours aux mêmes destinations : faux identifiants Microsoft 365, pages de fraude au paiement, téléchargements de logiciels malveillants ou portails bancaires clonés, mais elle y parvient par un chemin que de nombreux filtres de messagerie n’ont pas été conçus pour inspecter.
Cet angle mort est devenu coûteux. Keepnet Labs a recensé 249 000 e-mails malveillants contenant des QR codes rien qu’en novembre 2025, et Microsoft Security a également averti de volumes quotidiens importants de messages chargés de QR codes visant les environnements éducatifs. D’après l’orientation de conception signalée pour ces campagnes, ce format fonctionne parce qu’il combine ingénierie sociale et contournement technique.
Le problème des habitudes joue aussi un rôle. Les QR codes sont devenus routiniers pendant les années COVID-19, d’abord pour les menus, les paiements et les enregistrements, puis pour la commodité du quotidien. Les gens ont appris à faire confiance au geste avant d’apprendre à remettre en question la destination.
Comment fonctionne le phishing par code QR dans les e-mails, les lieux publics et les applications sociales
Le schéma de base est simple. Un attaquant crée une fausse page, transforme l’URL malveillante en code QR, la diffuse par e-mail, autocollants, flyers, courrier postal ou applications de messagerie, puis attend qu’une personne le scanne sur un téléphone.
Dans les e-mails, la ruse est particulièrement efficace. Un message qui semble provenir de Microsoft, DocuSign, des RH ou d’une banque peut contenir un code QR sans aucun lien texte cliquable. De nombreuses passerelles traditionnelles analysent les URL textuelles, pas les pixels à l’intérieur d’une image, de sorte que le message peut passer inaperçu en paraissant légitime.
Le quishing physique est encore plus trompeur, car la confiance vient du contexte. Un faux autocollant placé par-dessus un code légitime sur un parcmètre, une affiche d’événement, une table de restaurant ou un panneau de transport public emprunte la crédibilité de l’endroit. Vous ne faites pas confiance à l’autocollant, vous faites confiance à l’environnement qui l’entoure.
Sur les plateformes sociales et les applications de chat, les attaquants ajoutent de l’urgence. Des billets gratuits, des mises à jour de colis, des alertes de compte ou des offres limitées réduisent le scepticisme, surtout lorsque la publication apparaît dans un groupe familier ou est relayée par quelqu’un que vous connaissez.
Voici où apparaissent les principales failles de sécurité dans la pratique.
| Détail de la clé | Pourquoi c'est important |
|---|---|
| Le code QR cache l’URL de destination | Impossible de juger le lien à l’œil avant de le scanner |
| L’image dans l’e-mail ne contient aucun lien texte visible | Les filtres de messagerie anciens peuvent ne pas détecter la cible malveillante |
| Le téléphone ouvre la page directement | La visite peut se dérouler en dehors des protections du navigateur d’entreprise |
| Un autocollant public semble associé à un service réel | Les utilisateurs font souvent confiance à l’emplacement et scannent sans vérifier |
Ce transfert vers le téléphone constitue un élément clé de la menace. Si un e-mail professionnel est ouvert sur un ordinateur portable mais que le QR code est scanné sur un appareil personnel, la session peut contourner les outils proxy de l’entreprise, les extensions de navigateur et la surveillance interne. C’est une petite action avec une grande faille de sécurité.
Ce que révèlent les derniers cas de quishing
L’un des schémas les plus connus impliquait de faux messages de réauthentification Microsoft 365. Des chercheurs en sécurité et des équipes de défense en entreprise ont documenté des campagnes où il était demandé aux employés de scanner un code pour rétablir l’accès ou consulter un document, avant d’atterrir sur une page de connexion clonée qui récupérait les identifiants.
Les escroqueries bancaires ont suivi un scénario similaire. Les clients recevaient des envois postaux ou des messages semblant offrir un accès mobile bancaire mis à jour ou une vérification de sécurité, mais le QR code menait à une page de connexion factice conçue pour capturer les mots de passe et les codes d’authentification à usage unique.
L’IRS a également mis en lumière le problème. L’agence a inclus le phishing lié aux QR codes dans sa liste des 2026 Dirty Dozen des arnaques fiscales, avertissant que de fausses communications de l’IRS pourraient orienter les victimes vers des pages demandant des numéros de sécurité sociale, des détails de déclaration fiscale et des informations bancaires.
Puis il y a les dommages financiers. Des rapports du secteur ont lié une campagne de quishing à $2,3 million de pertes dans une institution financière après que des employés ont scanné un code figurant dans une note interne frauduleuse. D’après le déroulement de l’attaque rapporté, le QR code n’était que le point d’entrée ; la perte plus importante provenait de l’accès qu’il a ouvert au sein de l’organisation.
Comment vous protéger contre le phishing par QR code avant et après avoir scanné
La défense la plus efficace consiste à ralentir le moment. Un QR code n’est qu’un raccourci vers une URL, et il mérite la même méfiance que n’importe quel lien inconnu envoyé par e-mail ou par SMS.
Plusieurs vérifications valent la peine d’être effectuées à chaque fois, surtout dans les espaces publics ou lorsqu’il y a de l’argent en jeu.
- Mettez en doute le contexte. Si le code apparaît dans un e-mail inattendu, sur un colis ou sur un autocollant placé par-dessus un autre panneau, considérez-le comme suspect.
- Inspectez pour détecter toute falsification. Recherchez des autocollants de recouvrement, des bords déchirés, une qualité d’impression différente ou des traces de ruban adhésif sur les QR codes physiques.
- Lisez l’aperçu de l’URL. La plupart des caméras de téléphone modernes affichent la destination avant de l’ouvrir. Vérifiez l’orthographe, les extensions de domaine et les sous-domaines inhabituels.
- Ne vous connectez pas à partir d’un scan non sollicité. Si un code demande des identifiants, des informations de paiement ou une confirmation MFA, quittez la page et rendez-vous directement sur le service.
- Utilisez un outil d’analyse de QR code. Des services comme un scanner ScamVerify peuvent décoder l’image avant que vous n’ouvriez l’URL de destination.
- Passez à une application officielle ou saisissez l’adresse manuellement. Pour le stationnement, les services bancaires ou les livraisons, l’application légitime est généralement plus sûre que le code imprimé devant vous.
- Agissez rapidement si des données ont été saisies. Changez les mots de passe, révoquez les sessions, activez une MFA plus robuste et contactez votre banque si des informations de paiement ont été communiquées.
ScamVerify indique que sa base de données de menaces comprend désormais plus de 8 millions d’enregistrements, dont 74 032 domaines URLhaus et 60 758 indicateurs de compromission ThreatFox. Cela ne rend aucun outil parfait, mais cela offre aux codes suspects une couche d’examen supplémentaire avant que vous ne leur fassiez confiance.
Pour les entreprises, la solution va au-delà de la sensibilisation des utilisateurs. Les équipes de sécurité ont désormais besoin d’outils de messagerie qui inspectent les images QR, de simulations de phishing incluant des scénarios mobiles et d’étapes claires de réponse aux incidents pour les codes trouvés sur la signalétique, les colis ou les documents internes. C’est là qu’une planification opérationnelle plus large compte, tout comme les stratégies de protection contre les risques pour les entreprises modernes ou le renforcement des communications autour d’un système téléphonique professionnel hébergé.
Pourquoi l’hameçonnage par QR code est désormais un enjeu pour les entreprises, et pas seulement une arnaque visant les consommateurs
Il est tentant de considérer le quishing comme une fraude de rue, l’autocollant de stationnement factice, le menu cloné, le mauvais flyer dans une gare. Cette image est dépassée. L’essentiel est que le phishing par code QR se situe désormais à l’intersection de la sécurité mobile, du vol d’identité et de la compromission de la messagerie d’entreprise.
Lorsqu’un employé scanne un code provenant d’un message professionnel à l’aide d’un téléphone personnel, l’entreprise peut perdre toute visibilité בדיוק au moment où un identifiant est volé. Les plug-ins anti-hameçonnage du navigateur, les passerelles Web sécurisées et le filtrage d’entreprise peuvent devenir sans effet si l’utilisateur passe sur un réseau mobile et s’y connecte.
Les attaquants sont également devenus plus rapides pour monétiser l’accès. Ils peuvent passer d’identifiants volés à la fraude au virement, à l’abus de comptes cloud, aux modifications de la paie ou aux mouvements latéraux au sein de plateformes SaaS. Dans certains cas, le code QR n’est que l’enveloppe moderne d’une escroquerie d’ingénierie sociale bien connue.
Le schéma est similaire à ce qui s’est produit dans des secteurs numériques adjacents, où des outils de commodité créent de nouvelles voies d’abus avant que les défenses ne rattrapent leur retard. Cette même tension se retrouve dans les paiements, l’identité et même les modèles financiers émergents évoqués dans des domaines tels que comment la crypto stimule l’innovation, où la rapidité et la facilité arrivent souvent avant que les garde-fous de confiance ne soient pleinement mûrs.
Questions fréquemment posées
Qu’est-ce qui distingue le phishing par QR code du phishing classique ?
La destination malveillante est souvent similaire, mais le mode de diffusion change tout. Au lieu d’un lien texte cliquable que les outils de messagerie peuvent analyser, l’URL est dissimulée dans une image QR, ce qui peut lui permettre de contourner des défenses plus anciennes.
Le fait de scanner un QR code peut-il installer un logiciel malveillant sur un téléphone ?
Le simple scan n’infecte généralement pas l’appareil. Le risque apparaît après le scan, lorsque l’utilisateur visite une page malveillante, télécharge un fichier, installe une application ou saisit ses identifiants dans un faux formulaire de connexion.
Les faux autocollants QR dans les lieux publics sont-ils réellement courants ?
Oui. Des avertissements publics d’agences telles que le FBI et USPS ont mis en évidence de faux autocollants QR sur les horodateurs et d’autres surfaces du quotidien à travers les USA. Ces arnaques fonctionnent parce que le code semble rattaché à un point de service légitime.
Pourquoi le quishing a-t-il connu une croissance si rapide ?
Trois forces se sont combinées : l’adoption massive des QR codes après la COVID-19, des habitudes de vérification des utilisateurs trop faibles et une adaptation lente des éditeurs de sécurité. Le chiffre de Keepnet Labs, une croissance de 5x entre 2024 et 2025, montre à quel point les attaquants ont exploité rapidement cette faille.
Que doit faire quelqu’un juste après être tombé dans une arnaque de quishing ?
Modifiez immédiatement les mots de passe exposés, activez une authentification multifacteur plus forte et révoquez les sessions actives des comptes concernés. Si des coordonnées bancaires ou de carte ont été saisies, contactez immédiatement le prestataire et consignez l’incident pour un signalement de fraude.
Ce qu’il faut surveiller ensuite
La prochaine phase de le phishing par code QR aura probablement l’air plus soigné, pas plus évident. Attendez-vous à de meilleures pages mobiles clonées, à des emplacements physiques plus convaincants et à un ciblage plus précis des secteurs où les gens sont déjà habitués à scanner rapidement, des transports aux avis fiscaux en passant par les contrôles d’identité au travail.
Les défenses s’améliorent, et davantage d’éditeurs inspectent désormais directement les images QR, mais l’habitude reste le maillon faible. Traitez chaque code inconnu comme un lien inconnu, vérifiez la destination avant d’appuyer, et si la page demande de l’argent ou des identifiants, arrêtez-vous et passez plutôt par le canal officiel.
Vous souhaitez davantage de contenus sur la technologie et l’innovation comme celui-ci ? DualMedia Innovation News suit les évolutions technologiques qui comptent vraiment, de l’IA au matériel pliable en passant par la prochaine vague de produits grand public.