Quishing : le phishing par QR code en entreprise
Le quishing explose depuis 2023. Comment les QR codes piégés contournent vos filtres email et trompent vos équipes. Prévention et simulation.
Ce scénario, reconstitué à partir de cas réels, illustre le fonctionnement typique du quishing. En mars 2024, un salarié d’une entreprise de logistique lyonnaise reçoit un email de son service informatique : mise à jour de l’authentification Microsoft 365, scanner le QR code ci-dessous « pour activer le nouveau protocole de sécurité ». Pas de lien cliquable, pas de pièce jointe, pas de faute d’orthographe. Le filtre anti-spam n’a rien détecté.
Le salarié scanne le code avec son iPhone personnel. Il atterrit sur une page de connexion Microsoft identique à la vraie, saisit ses identifiants professionnels. L’attaquant récupère le tout en temps réel, se connecte au compte et commence à exfiltrer les emails. Le temps que l’équipe IT identifie la compromission : 11 jours.
Ce scénario n’a rien d’exceptionnel. Les attaques de phishing par QR code, le quishing, ont connu une explosion des tentatives de quishing depuis 2023 (Abnormal Security). Pourtant, la plupart des programmes de sensibilisation n’abordent même pas le sujet. Vos employés sont formés à repérer un lien suspect dans un email. Mais un QR code ? C’est une image. Personne ne se méfie d’une image.
Cet article décortique le fonctionnement technique du quishing, les vecteurs d’attaque en France, les raisons psychologiques derrière la confiance accordée aux QR codes, et les moyens concrets de former vos équipes. Pour une vue d’ensemble des nouvelles menaces : QR codes malveillants, deepfakes vocaux, SMS piégés : les nouvelles formes de phishing en 2026.
Tester la résistance de vos employés au quishing - diagnostic gratuit de votre exposition.
Comment fonctionne le quishing : anatomie technique d’une attaque
Le quishing exploite un angle mort structurel de la sécurité email. Pour comprendre pourquoi cette attaque passe sous les radars, il faut comprendre comment les filtres analysent les messages et comment les QR codes encodent l’information.
Pourquoi les passerelles email sont aveugles aux QR codes
Une passerelle email (Secure Email Gateway) analyse les liens textuels, les domaines expéditeurs, les en-têtes et les pièces jointes. Quand le message contient un lien en clair, le filtre compare l’URL à ses bases de domaines malveillants et déclenche une alerte si nécessaire.
Un QR code change la donne. Pour la passerelle, c’est une image : un fichier PNG ou un ensemble de pixels dans le HTML. L’URL malveillante n’apparaît nulle part dans le texte. Elle est encodée dans le motif graphique du QR code, interprétable uniquement par un scanner optique.
Les passerelles traditionnelles ne procèdent pas à une reconnaissance optique (OCR) des images. Même celles qui le font se heurtent à un problème de volume : détecter un QR code dans chaque image de chaque email, le décoder, puis vérifier l’URL de destination demande des ressources que la plupart des filtres ne mobilisent pas en temps réel.
Les rapports HP Wolf Security montrent que la part des PDF de phishing contenant des QR codes a explosé depuis 2024. Les attaquants ont migré vers les QR codes précisément parce que le blocage des macros par Microsoft a fermé l’ancien vecteur. Le QR code est devenu le chemin de moindre résistance.
QR codes statiques vs dynamiques : le piège de la redirection
Un QR code statique encode une URL fixe : elle ne peut pas être modifiée après génération. Le QR code dynamique, en revanche, pointe vers une URL intermédiaire que le créateur peut modifier à tout moment, même après impression ou envoi. C’est le format privilégié par les attaquants, pour deux raisons.
Le bait-and-switch temporel. L’attaquant crée un QR code qui redirige d’abord vers une page inoffensive. Si un analyste le vérifie, tout semble légitime. Puis la destination est changée vers la page de phishing. Le même QR code, vérifié comme sûr le lundi, vole des identifiants le mardi.
Les chaînes de redirection. L’URL du QR code passe par deux, trois, parfois quatre redirections successives : raccourcisseur d’URL légitime (bit.ly), domaine jetable enregistré la veille, sous-domaine d’un site compromis. Cette cascade complique l’analyse et retarde la mise en blacklist.
Keepnet Labs estime que la grande majorité des attaques par QR code visent le vol d’identifiants, pas le téléchargement de malware. L’objectif est de récupérer un login et un mot de passe, le plus souvent Microsoft 365 ou Google Workspace.
L’évasion de périmètre : le smartphone comme maillon faible
Le mécanisme le plus dangereux du quishing est l’« évasion de périmètre ». Dans un phishing classique, le clic se produit sur le poste de travail, protégé par un EDR, un proxy web et un navigateur sécurisé. Le QR code brise cette chaîne : le salarié scanne le code avec son smartphone personnel, ouvre le lien dans le navigateur mobile (hors proxy d’entreprise), et saisit ses identifiants sur un écran de 6 pouces où la barre d’adresse est tronquée.
L’attaque se produit sur un appareil que l’entreprise ne contrôle pas, sur un réseau qu’elle ne surveille pas, sans laisser de trace dans ses logs.
Pourquoi vos employés font confiance aux QR codes
La dimension technique n’explique qu’une partie du succès du quishing. Les QR codes bénéficient d’un niveau de confiance irrationnel par rapport aux liens textuels, et cette confiance a des causes identifiables.
L’héritage du pass sanitaire
Entre juin 2021 et mars 2022, chaque Français a scanné des centaines de QR codes pour accéder aux restaurants, cinémas, transports, établissements de santé. Le QR code est devenu un geste quotidien associé à un contexte officiel et sécurisé : le gouvernement l’utilisait, les institutions de santé l’imposaient, les commerces l’exigeaient.
Cet apprentissage massif a créé une association automatique entre QR code et légitimité. Le Système 1, le mode de traitement rapide et intuitif décrit par Daniel Kahneman, catégorise les QR codes comme « sûrs » parce que l’expérience passée le confirme. Remettre cette association en question demande un effort conscient du Système 2, un effort que la plupart des employés ne font pas quand ils reçoivent un QR code dans un contexte professionnel. Pour approfondir ces mécanismes : Psychologie du phishing : pourquoi les plus intelligents cliquent.
L’opacité perçue comme un gage de sécurité
Un lien textuel affiche sa destination. Un QR code ne montre rien. Paradoxalement, cette opacité est perçue comme rassurante. Face à un lien, l’utilisateur sait qu’il devrait vérifier l’URL, ce qui crée une tension cognitive. Face à un QR code, il n’a pas cette possibilité. L’absence de choix élimine la tension. Le cerveau rationalise : « Si c’était dangereux, on ne me demanderait pas de le scanner. »
Selon Keepnet Labs, une majorité d’utilisateurs scannent les QR codes sans vérification préalable. Le QR code bénéficie d’un « pass de confiance » que les liens textuels n’ont plus depuis longtemps.
Le facteur de nouveauté en entreprise
Les campagnes de sensibilisation se concentrent sur les mêmes vecteurs depuis des années : lien suspect, pièce jointe, demande de virement. Les employés ont développé des réflexes sur ces scénarios. Mais le QR code n’est pas dans leur répertoire. Face à une situation non entraînée, le Système 1 applique les patterns les plus proches (« je scanne les QR codes tout le temps, c’est normal ») et le geste se produit sans analyse critique.
Seulement 36 % des incidents de quishing sont correctement identifiés et signalés par les employés (Abnormal Security). Le quishing est sous-détecté parce qu’il n’est pas entraîné.
Quishing vs phishing email classique
| Critère | Phishing email classique | Quishing (QR code) |
|---|---|---|
| Filtrage par la passerelle email | Oui — URL analysée par le SEG | Non — le QR code est une image, invisible au SEG |
| Vérification de l’URL par l’utilisateur | Possible (survol du lien) | Impossible (l’URL n’apparaît qu’après le scan) |
| Support d’attaque | Email uniquement | Email, PDF, courrier postal, affiche, autocollant |
| Appareil ciblé | Ordinateur (protégé par l’EDR) | Smartphone personnel (souvent hors périmètre IT) |
| Taux de scan/clic | ~15-25 % (email standard) | des taux de scan élevés en entreprise (Keepnet Labs) |
| Détection par l’équipe sécurité | Journaux SEG, signalement via bouton Outlook | Aucune visibilité si le scan se fait sur mobile personnel |
Les vecteurs d’attaque en France : scénarios concrets
Le quishing ne se limite pas aux emails. Les attaquants exploitent tous les supports où un QR code peut être placé : numériques, physiques, hybrides.
Scénario 1 : le faux enrôlement MFA Microsoft
Le scénario le plus répandu. L’employé reçoit un email du « service informatique » annonçant une mise à jour de l’authentification multifacteur, avec un QR code « pour enregistrer votre nouveau dispositif ». Le QR code redirige vers une page de connexion Microsoft clonée. Dans les versions sophistiquées, l’attaquant utilise une technique Adversary-in-the-Middle (AiTM) pour intercepter le jeton de session, contournant même le MFA légitime. Pour comprendre cette attaque : Qu’est-ce que la MFA fatigue ?
Le MFA est perçu comme un processus de sécurité : un email demandant de le « reconfigurer » semble légitime. Les cadres dirigeants sont ciblés de manière disproportionnée par ce type de quishing.
Scénario 2 : le faux portail d’avantages salariés
L’attaquant envoie un email imitant les RH : « Scannez le QR code pour accéder à vos tickets restaurant, votre mutuelle et votre compte épargne entreprise. » Le QR code mène à un formulaire qui collecte identifiants, numéro de sécurité sociale et coordonnées bancaires. En France, les PME utilisent des plateformes tierces (Swile, Edenred, Alan) pour les avantages, et les salariés sont habitués à recevoir leurs emails. Le QR code supprime la possibilité de vérifier l’URL avant de cliquer.
Scénario 3 : le QR code physique
Le quishing ne passe pas uniquement par l’email. Les attaquants collent des QR codes dans les salles de réunion (« Wi-Fi invité »), les parkings (faux système de paiement), les espaces de coworking et les bornes de recharge.
En France, Cybermalveillance.gouv.fr a émis plusieurs alertes sur des autocollants frauduleux collés sur les horodateurs des grandes villes, redirigeant vers de faux sites de paiement du stationnement.
Scénario 4 : le QR code dans un PDF ou un courrier postal
Les attaquants intègrent des QR codes dans des factures, bons de commande ou convocations, envoyés par email (PDF) ou par courrier. En France, des campagnes de fausses amendes ANTAI circulent avec un QR code « pour régler l’amende en ligne » menant à un clone de amendes.gouv.fr. L’ANSSI (cyber.gouv.fr) recommande de ne jamais régler une amende via un QR code reçu par courrier.
Scénario 5 : le QR code dans un lieu public
Les restaurants, hôtels et commerces utilisent des QR codes pour leurs menus, programmes de fidélité et formulaires de satisfaction. Un attaquant peut coller un faux QR code par-dessus le QR code légitime d’un menu ou d’une borne d’information. Le même principe s’applique dans les gares, les musées, les administrations. Partout où un QR code est affiché publiquement, un autocollant peut le recouvrir.
Étude de cas : quishing contre un cabinet comptable français
Ce scénario illustratif, inspiré de cas documentés, montre comment une attaque de quishing ciblée peut se dérouler. En septembre 2025, un cabinet d’expertise comptable de la région parisienne (45 collaborateurs) a subi une attaque de quishing ciblée. L’attaquant avait collecté des informations via LinkedIn et les offres d’emploi du cabinet (noms des collaborateurs, logiciels utilisés : Cegid, Sage). Il a envoyé un email imitant Cegid, annonçant une « mise à jour de sécurité urgente du portail Cegid Tax » avec un QR code dynamique. Le QR code passait par trois redirections successives (bit.ly, un domaine cegid-security-update.fr enregistré quatre jours plus tôt, puis un site WordPress compromis).
Sur 45 collaborateurs, 19 ont scanné le QR code (42 %) et 14 ont saisi leurs identifiants (31 %). L’attaquant a accédé aux données comptables de 23 clients du cabinet. Le coût total de l’incident : plus de 200 000 euros (investigation forensic, notification CNIL, communication de crise, perte de clients).
Trois facteurs aggravants : l’attaque a été lancée pendant la période de clôture (forte charge de travail), aucun collaborateur n’avait été formé au quishing, et la majorité ont scanné le QR code avec leur smartphone personnel hors de tout contrôle de l’entreprise. Le coût moyen d’une cyberattaque pour une PME dépasse 125 000 euros, et le quishing en est un vecteur de plus en plus fréquent.
Prévention : former vos employés à vérifier les QR codes
La protection contre le quishing repose sur trois axes : la sensibilisation comportementale, les mesures techniques, et l’intégration du quishing dans les programmes de simulation.
Enseigner le réflexe de vérification d’URL post-scan
Le réflexe cible est simple : après avoir scanné un QR code, vérifier l’URL complète dans la barre du navigateur avant toute saisie. L’employé doit vérifier que le domaine correspond au service annoncé (microsoft.com, pas microsoft-security-update.com), que le protocole est HTTPS, et que l’URL ne contient pas de sous-domaines suspects (login.microsoft.com est légitime, microsoft.com.login-secure.xyz ne l’est pas). Sur smartphone, toucher la barre d’adresse pour afficher l’URL complète est la clé de la détection.
Utiliser des applications de scan avec prévisualisation
L’appareil photo natif d’iOS (depuis iOS 11) et Google Lens sur Android affichent l’URL de destination avant d’ouvrir le navigateur. Les applications tierces spécialisées (Kaspersky QR Scanner, Norton Snap, Trend Micro QR Scanner) vont plus loin : elles comparent l’URL à des bases de domaines malveillants avant de permettre l’ouverture. Recommander une application de scan sécurisée à vos employés est une mesure à faible coût et à fort impact.
Les règles à communiquer à vos équipes
Cinq règles concrètes à intégrer dans votre charte de sécurité :
- Ne jamais scanner un QR code reçu par email pour se connecter à un service. Accéder au service directement via son URL habituelle (favori du navigateur ou application officielle).
- Ne jamais saisir d’identifiants sur un site atteint via QR code sans avoir vérifié l’URL complète.
- Se méfier des QR codes collés par-dessus un autre : sur un parcmètre, une table de restaurant, une borne, un autocollant qui recouvre le QR code d’origine est un signal d’alerte.
- Signaler tout email contenant un QR code inattendu au service informatique ou au responsable sécurité.
- Ne jamais scanner un QR code reçu par courrier postal pour régler une amende ou accéder à un service administratif. Accéder au site officiel directement via le navigateur.
Mesures techniques complémentaires
- Activer l’analyse des QR codes dans la passerelle email : Proofpoint TAP, Microsoft Defender for Office 365 et Abnormal Security intègrent cette capacité. Si votre solution actuelle ne le fait pas, c’est un critère de mise à jour. Testez votre sécurité email.
- Déployer un MDM pour les smartphones accédant à la messagerie professionnelle, même en BYOD. Le MDM permet d’imposer un navigateur géré avec filtrage des URL.
- Implémenter DMARC, SPF et DKIM pour réduire le risque d’usurpation de votre identité. Pour vérifier votre configuration : Sécurité email PME : testez SPF, DKIM et DMARC.
- Passer au MFA résistant au phishing (FIDO2/WebAuthn, passkeys) : les clés FIDO2 ne fonctionnent pas sur un domaine frauduleux. C’est la seule mesure technique qui neutralise complètement le vol d’identifiants par quishing. Pour le déploiement : Guide pour déployer le MFA en entreprise.
Intégrer le quishing dans votre programme de simulation
Un programme de simulation de phishing qui ne teste pas le quishing laisse un angle mort. Vos employés développent des réflexes face aux emails avec des liens textuels, mais restent vulnérables aux QR codes. Combler cette lacune demande une approche structurée.
La simulation de quishing remplit trois objectifs : mesurer l’exposition réelle (quel pourcentage de vos employés scannent un QR code sans vérification ?), créer le réflexe de doute (l’employé qui scanne un QR code simulé et atterrit sur la page de remédiation développe un automatisme de vigilance durable), et démontrer le risque à la direction (montrer que 40 % de vos propres employés ont scanné un QR code piégé est plus convaincant que des statistiques externes). Pour structurer cet argumentaire budgétaire : ROI de la sensibilisation cybersécurité : convaincre la direction.
Les scénarios de simulation recommandés
Quatre scénarios couvrent les vecteurs les plus fréquents :
- Scénario A (difficulté moyenne) : fausse mise à jour MFA du « service informatique ». Cible la conformité aux procédures IT.
- Scénario B (difficulté moyenne-élevée) : faux portail RH pour « consulter votre bulletin de paie dématérialisé ». Exploite la confiance envers les communications internes.
- Scénario C (difficulté élevée) : faux partage SharePoint/OneDrive. « Jean Dupont a partagé un document avec vous. Scannez le QR code pour y accéder. » Exploite la familiarité avec les outils collaboratifs.
- Scénario D (difficulté moyenne) : fausse notification Chronopost ou La Poste avec un QR code « pour reprogrammer votre livraison ».
Calendrier et mesure des résultats
La montée en puissance se fait sur six mois. Les deux premiers mois servent à établir le taux de scan de base avec un scénario de difficulté moyenne (scénario A ou D). Comparez ce taux au taux de clic de vos simulations de phishing classiques : l’écart mesure l’angle mort spécifique au quishing. Les mois 3 et 4 ciblent la formation : les employés qui ont scanné reçoivent un module de remédiation, puis un second scénario plus difficile (B ou C) mesure la progression. Les mois 5 et 6 testent les scénarios avancés : QR code dans un PDF, chaînes de redirections, spear quishing ciblant les dirigeants.
Au-delà du sixième mois, intégrez un scénario QR code tous les deux à trois mois dans la rotation de vos simulations. Pour structurer un programme complet : Simulation de phishing en entreprise : guide pratique 2026.
Trois indicateurs à suivre :
- Taux de scan : pourcentage d’employés qui ont scanné le QR code. Objectif à 12 mois : inférieur à 10 %.
- Taux de soumission : pourcentage d’employés qui ont saisi des identifiants après le scan. Objectif à 12 mois : inférieur à 5 %.
- Taux de signalement : pourcentage d’employés qui ont signalé l’email comme suspect. Objectif à 12 mois : supérieur à 40 %.
Pour évaluer votre exposition actuelle et vérifier votre configuration email : testez votre sécurité email.
FAQ
Qu’est-ce que le quishing et pourquoi les filtres email ne le détectent pas ?
Le quishing est une attaque de phishing qui utilise un QR code pour diriger la victime vers un site frauduleux. Les filtres anti-spam analysent les liens textuels (URL en clair, domaines blacklistés, patterns suspects), mais un QR code est une image : le filtre ne voit qu’un fichier PNG ou un bloc de pixels dans le corps de l’email. L’URL malveillante est encodée dans le QR code et reste invisible pour la passerelle de sécurité. C’est l’équivalent d’écrire un message en braille dans un courrier destiné à un lecteur voyant : le contenu est là, mais le destinataire n’a pas les outils pour le déchiffrer.
Quelle est la différence entre un QR code statique et un QR code dynamique en contexte d’attaque ?
Un QR code statique encode l’URL de destination directement : elle ne change jamais. Un QR code dynamique pointe vers une URL intermédiaire (un service de redirection) que le créateur peut modifier après impression ou envoi. L’attaquant utilise des QR codes dynamiques pour contourner les vérifications : le code renvoie d’abord vers un site légitime (pendant l’analyse), puis l’URL est changée vers la page de phishing une fois le QR code distribué aux cibles. Cette technique de bait-and-switch rend le QR code dynamique nettement plus dangereux que le QR code statique.
Comment vérifier la destination d’un QR code avant de saisir des informations ?
Après avoir scanné un QR code, vérifiez l’URL complète dans la barre du navigateur avant toute action. Plusieurs applications de scan (Kaspersky QR Scanner, Norton Snap, l’appareil photo iOS natif depuis iOS 11) affichent l’URL de destination avant d’ouvrir le navigateur. Si l’URL ne correspond pas au domaine officiel du service annoncé (par exemple microsoft.com vs microsoft-login-secure.xyz), fermez la page immédiatement et signalez l’incident à votre service informatique.
Comment intégrer le quishing dans un programme de simulation de phishing ?
Les plateformes de simulation modernes permettent d’envoyer des emails contenant des QR codes piégés (trackés) qui redirigent vers une page de remédiation au lieu d’un site malveillant. Le scénario reproduit les conditions d’une attaque réelle : l’employé scanne le QR code avec son smartphone, sort du périmètre de sécurité de l’entreprise, et découvre qu’il s’agissait d’un test. Ce vécu crée un réflexe de vigilance durable face aux QR codes. Quatre scénarios couvrent les vecteurs les plus fréquents : fausse mise à jour MFA, faux portail RH, faux partage SharePoint et fausse notification de livraison.
Le quishing est-il plus dangereux que le phishing classique par email ?
Le quishing n’est pas intrinsèquement plus dangereux, mais il exploite un angle mort spécifique. Contrairement au lien textuel dans un email, le QR code est opaque : impossible de lire l’URL avant de le scanner. Le scan transfère l’interaction du poste de travail protégé (EDR, proxy web) vers le smartphone personnel, souvent sans protection. Et les employés font davantage confiance aux QR codes qu’aux liens email, un héritage du pass sanitaire et des menus de restaurant. Le résultat : un taux de compromission plus élevé sur les campagnes de quishing que sur les campagnes de phishing email classiques, combiné à une détection plus faible (36 % de signalement contre des taux nettement supérieurs pour le phishing classique).
Conclusion
Le quishing n’est pas une menace théorique. Avec une explosion des cas depuis 2023, le phishing par QR code est devenu un vecteur d’attaque de premier plan. Il contourne les filtres email, transfère l’attaque sur le smartphone personnel et exploite une confiance héritée du pass sanitaire.
La protection combine formation comportementale (enseigner le réflexe de vérification d’URL post-scan), mesures techniques (FIDO2/passkeys, passerelle avec analyse des QR codes, MDM) et simulation régulière de scénarios de quishing. Les organisations qui intègrent le QR code dans leurs campagnes constatent une baisse du taux de scan comparable au taux de clic sur le phishing classique. Il suffit de commencer.
Testez la résistance de votre équipe au quishing | Lancer votre première simulation QR code | Fonctionnalités