Vous pensiez scanner un menu.
Ou payer votre stationnement. Ou encore vérifier l’avis de réception d’un colis collé sur votre porte. Un scan rapide, un logo familier, une page qui se charge instantanément sur votre téléphone.
Il ne semblait y avoir aucun risque.
C’est précisément la raison pour laquelle les fraudes par code QR connaissent un tel essor.
Les codes QR font désormais partie de notre quotidien. On les retrouve sur les tables des restaurants, sur des panneaux publics, dans des e-mails, dans des courriers et sur des écrans de paiement. On nous apprend à les considérer comme des raccourcis : plus rapides que la saisie d’une URL, plus faciles que le téléchargement d’une application, plus sûrs qu’un clic sur un lien.
Les escrocs le savent.
Au lieu de vous demander de cliquer sur un élément de suspect, ils vous demandent de scanner quelque chose de banal. Une fois que c’est fait, vous pouvez être redirigé vers de fausses pages de connexion, des demandes de paiement ou des sites malveillants conçus pour voler vos informations avant que vous ne vous rendiez compte que quelque chose ne va pas.
Cette tactique porte un nom : le quishing.
Et étant donné que les codes QR remplacent de plus en plus les liens, il est essentiel de comprendre le fonctionnement du quishing pour rester en sécurité en ligne.
Qu’est-ce que le quishing ?
Le quishing est une forme de phishing qui utilise des codes QR au lieu de liens cliquables pour inciter les gens à visiter des sites Web malveillants ou à communiquer des informations sensibles.
Ce terme, qui est la contraction de QR et de phishing, reflète un changement simple mais dangereux dans les tactiques d’escroquerie : au lieu de vous inviter à cliquer, les escrocs vous demandent de scanner.
Une fois scanné, un faux code QR peut vous conduire à :
- Des pages de connexion conçues pour collecter des identifiants de connexion
- Des demandes de paiement ou de fausses factures
- Des téléchargements de malwares
- De faux portails de support client
- Des pièges aux abonnements
Étant donné que les codes QR n’affichent pas d’URL tant que vous ne les scannez pas, ils suppriment un des principaux signaux d’alerte auxquels les gens se fient.
Fraudes par code QR courantes dont il faut se méfier
Bien que les attaques de quishing puissent prendre différentes formes, la plupart suivent quelques schémas prévisibles.
1. Faux codes QR de stationnement et de paiement
Les escrocs placent des autocollants sur les codes QR légitimes des parcmètres. Lorsqu’elles scannent ces codes, les victimes sont dirigées vers de fausses pages de paiement qui volent les données de leur carte.
Signal d’alerte : un code QR qui demande des informations de paiement complètes sans rediriger vers un service municipal ou de stationnement connu.
2. Permutation du code QR sur les menus de restaurants
Les escrocs remplacent les vrais codes QR des menus par de faux codes qui redirigent vers des pages de phishing ou des téléchargements malveillants.
Signal d’alerte : une page de menu qui vous demande de vous « connecter », de télécharger une application ou de confirmer des informations personnelles.
3. Alertes de livraison et relatives à des colis
Des prospectus ou des autocollants collés sur la porte prétendent que vous avez manqué une livraison et vous invitent à scanner un code QR pour la reprogrammer.
Signal d’alerte : détails de livraison vagues et pression pour que vous agissiez rapidement.
4. Faux avertissements de sécurité de compte
Les codes QR vous invitent à vérifier votre compte bancaire, de messagerie ou de streaming.
Signal d’alerte : tout code QR exigeant une action immédiate pour des « raisons de sécurité ».
5. Pièges aux abonnements et fausses offres
Certains codes QR promettent des réductions, des remboursements ou des récompenses, mais inscrivent discrètement les utilisateurs à des frais récurrents.
Signal d’alerte : mentions en petits caractères difficiles à trouver, voire totalement absentes.
Ce qui rend le quishing particulièrement dangereux
Les fraudes par code QR réussissent non pas parce que les gens sont négligents, mais parce qu’elles exploitent la confiance et la routine.
Contrairement aux e-mails de phishing traditionnels, le quishing :
- Se déroule simultanément en ligne et hors ligne
- Apparaît souvent dans des lieux physiques de confiance
- Donne l’impression que les codes QR sont plus rapides et plus « légitimes »
- Contourne l’inspection visuelle des liens
Une fois qu’une victime arrive sur un faux site, les dommages peuvent s’aggraver rapidement ― des identifiants de connexion dérobés aux comptes vidés, en passant par le vol d’identité.
Comment repérer un faux code QR avant de le scanner ?
Pas besoin de bannir totalement les codes QR, prenez simplement le temps de la réflexion.
Vérifiez le contexte physique
Le code QR est-il collé, rayé ou superposé sur un autre code ? C’est une tactique courante.
Recherchez la présence d’incohérences au niveau de la marque
Des fautes d’orthographe, des logos génériques ou des discordances de couleurs sont autant de signaux qui doivent vous alerter.
Prévisualisez le lien
La plupart des appareils photo des téléphones affichent désormais l’URL avant de l’ouvrir. Prenez une seconde pour la lire.
Soyez sceptique face à l’urgence
Tout code QR qui vous incite à agir immédiatement mérite un examen attentif.
Comment vous protéger des fraudes par code QR ?
Étape 1 : traitez les codes QR comme des liens
Un code QR est un raccourci vers un site Web. Faites preuve de la même prudence que pour n’importe quel lien.
Étape 2 : évitez de saisir des informations sensibles
Les services légitimes demandent rarement des mots de passe, des informations de paiement ou des données personnelles par le biais de codes QR.
Étape 3 : utilisez des outils de sécurité mobile
Les logiciels de sécurité peuvent aider à détecter les sites malveillants et à bloquer les téléchargements à risque avant qu’ils ne causent des dommages.
Étape 4 : en cas de doute, allez en direct
Au lieu de scanner, rendez-vous manuellement sur le site Web officiel ou l’application en laquelle vous avez confiance.
Que faire si vous avez scanné un code QR suspect ?
Si vous pensez avoir interagi avec un code QR malveillant :
- Cessez immédiatement d’interagir avec le site
- Ne saisissez pas d’informations supplémentaires
- Surveillez vos comptes financiers afin de détecter toute activité inhabituelle
- Modifiez vos mots de passe si vous avez saisi des identifiants de connexion
- Lancez une analyse de sécurité sur votre appareil ; découvrez ici notre version d’évaluation gratuite
- Signalez l’incident à l’entreprise ou au site concerné
Une intervention rapide peut limiter les conséquences à long terme.
Questions fréquentes
Qu’est-ce que le quishing en termes simples ?
Le quishing est une tactique de phishing qui utilise des codes QR pour inciter les gens à visiter de faux sites Web ou des sites Web malveillants.
Les codes QR sont-ils intrinsèquement dangereux ?
Non, mais ils peuvent être exploités. Le risque vient de l’endroit où ils mènent, pas du code lui-même.
Le scan d’un code QR peut-il conduire à l’installation de malwares ?
Dans certains cas, oui, en particulier s’il vous invite à effectuer un téléchargement ou vous redirige vers un site malveillant.
Les fraudes par code QR sont-elles en augmentation ?
Oui. Les codes QR étant de plus en plus répandus, les escrocs y recourent de plus en plus pour contourner les défenses traditionnelles.
Restez informé
Suivez-nous pour rester au courant des actualités de McAfee et des dernières menaces pour la sécurité mobile et grand public.
