Quishing : quand les QR codes deviennent des armes de plus en plus complexes

Yaz Bekkar

Toujours plus populaire, le quishing est devenu au fil des années une arme redoutable pour les cybercriminels. Pourtant, plusieurs leviers permettent aujourd'hui de s'en prémunir.

Depuis plusieurs années, le QR code s’est imposé comme un outil du quotidien : menus de restaurant, billetterie, authentification, communication institutionnelle… Cette adoption massive a naturellement attiré l’attention des cybercriminels. Le phénomène du « quishing » – phishing via QR codes – s’est rapidement développé, exploitant un support visuel que l’utilisateur ne peut pas vérifier à l’œil nu. À mesure que les solutions de sécurité se perfectionnent, les attaquants innovent et déploient des techniques toujours plus sophistiquées pour contourner les filtres.

Les QR codes : une solution, plusieurs techniques

D’abord conçus comme un outil simple et pratique pour accéder rapidement à une information ou à un service, les QR codes sont aujourd’hui des cibles de choix pour les attaquant. Pour contourner les systèmes de sécurité, ils utilisent deux techniques :

Celle des QR codes divisés :  cette technique consiste à fragmenter un QR code malveillant en plusieurs images distinctes. Séparément, ces fragments apparaissent inoffensifs et échappent à l’analyse automatisée. Mais une fois rendus, ils se recomposent en un code QR complet et fonctionnel. Cette approche exploite le fait que les outils de sécurité analysent souvent les images de manière isolée, sans reconstituer l’ensemble.

Celle des QR codes imbriqués : les QR codes imbriqués reposent sur un autre procédé. Ici, un QR code malveillant est intégré à l’intérieur ou autour d’un code QR légitime. Le visuel semble cohérent, mais le scan peut rediriger l’utilisateur vers un site frauduleux. Selon l’outil de lecture utilisé, le résultat peut varier, ce qui rend la menace plus complexe à identifier pour les systèmes de détection traditionnels.

Des techniques préoccupantes

Ces méthodes illustrent une tendance claire : les cyberattaquants exploitent la confiance accordée aux QR codes et la transition de l’utilisateur vers un appareil mobile pour exécuter l’attaque. Trois facteurs expliquent leur efficacité :

  1. L’opacité du support : un QR code est illisible pour l’humain, il faut un outil pour en révéler le contenu.
  2. Le contournement des filtres : fragmentation et superposition perturbent les analyses automatisées.
  3. La mobilité : le scan est souvent effectué sur un smartphone, moins protégé que le poste de travail.

Pour se prémunir contre ces nouvelles formes de quishing, plusieurs leviers doivent être activés :

  • Former les utilisateurs : rappeler de ne jamais scanner un QR code provenant d’un e-mail inattendu ou suspect.
  • Renforcer la détection : adopter des solutions capables d’analyser les images, de décoder les QR codes et de tester les URL associées dans un environnement sécurisé.
  • Exploiter l’IA multimodale : combiner OCR, analyse visuelle et machine learning pour identifier les schémas suspects, même sans décoder entièrement le contenu.
  • Sécuriser la mobilité : appliquer des politiques de sécurité cohérentes sur les terminaux mobiles, au même titre que sur les postes de travail.

En résumé, les QR codes divisés et imbriqués traduisent une sophistication croissante des attaques de quishing. Leur finalité reste la même : exploiter la confiance et la distraction de l’utilisateur pour l’amener sur un site malveillant. Seule une combinaison de technologies avancées et de vigilance humaine permettra de réduire leur impact.