Comment fonctionne le quishing
Le quishing repose sur une faille simple : un QR code est une image, pas un lien. Les filtres de sécurité email savent analyser les URLs textuelles, vérifier les domaines, détecter les redirections suspectes. Mais un QR code intégré dans le corps d’un email ou dans un PDF joint est traité comme une image ordinaire — son contenu échappe à l’analyse.
Voici le mécanisme d’une attaque de quishing en 5 étapes :
-
Création du leurre : l’attaquant génère un QR code pointant vers un site de phishing. Il l’intègre dans un email professionnel crédible (notification Microsoft 365, alerte de sécurité, demande de signature DocuSign) ou le place physiquement sur un support (affiche, autocollant, faux avis de passage).
-
Diffusion : le message est envoyé par email en masse ou le QR code physique est collé dans un lieu stratégique — bureau, parking, restaurant d’entreprise, borne de recharge. L’absence de lien cliquable dans l’email empêche les passerelles de sécurité de déclencher une alerte.
-
Scan par la victime : l’employé scanne le QR code avec son téléphone personnel. Il quitte le périmètre de sécurité de l’entreprise : le téléphone personnel n’a ni proxy, ni EDR, ni filtrage DNS professionnel.
-
Interception des identifiants : le site de destination reproduit une page de connexion Microsoft 365, Google Workspace, ou un portail bancaire. La victime entre ses identifiants, qui sont capturés en temps réel par l’attaquant. Certaines attaques utilisent des proxys adversary-in-the-middle (AiTM) pour capturer aussi les jetons de session MFA.
-
Exploitation : avec les identifiants et le jeton de session volés, l’attaquant accède à la messagerie professionnelle, exfiltre des données ou lance une attaque de fraude au président (BEC) depuis le compte compromis.
QR codes statiques vs dynamiques
Un QR code statique encode une URL fixe. L’attaquant doit créer un nouveau QR code pour chaque campagne.
Un QR code dynamique pointe vers un service de redirection intermédiaire. L’attaquant peut changer la destination à tout moment sans modifier le QR code imprimé ou envoyé. Cette technique permet de :
- Déjouer les vérifications post-envoi : au moment de l’analyse par l’équipe sécurité, le lien mène vers un site anodin
- Activer la page de phishing uniquement à certaines heures ou pour certains user-agents mobiles
- Géolocaliser les victimes et adapter le contenu (langue, banque locale)
Exemples concrets
Faux parcmètres au Royaume-Uni (2024)
En janvier 2024, les services de police de plusieurs villes britanniques (dont la Metropolitan Police de Londres) ont alerté sur des autocollants frauduleux collés sur des horodateurs. Les QR codes menaient vers un faux site de paiement qui collectait les données de carte bancaire. Des cas similaires ont été signalés à Nice et Lyon en 2024, où des autocollants ont été repérés sur des bornes de recharge électrique.
Campagnes Microsoft 365 par QR code (2023-2024)
Cofense a documenté une série de campagnes massives entre août 2023 et début 2024 ciblant les utilisateurs Microsoft 365. Les emails usurpaient des alertes de sécurité Microsoft demandant de “vérifier votre compte” en scannant un QR code. Le rapport Cofense a identifié plus de 1 000 emails contenant des QR codes de phishing envoyés à une seule entreprise du secteur énergétique en une semaine.
QR codes dans les avis de contravention ANTAI (France, 2023-2025)
Cybermalveillance.gouv.fr a signalé des faux avis de contravention envoyés par courrier postal avec un QR code menant vers un clone du site amendes.gouv.fr. Le faux avis reprend la charte graphique de l’ANTAI et demande un paiement par carte bancaire. La fiche Cybermalveillance détaille ce scénario parmi les tendances de phishing 2024-2025.
Faux QR codes sur les tables de restaurants (Europe, 2024)
Après la généralisation des menus par QR code post-Covid, des attaquants ont collé de faux QR codes par-dessus les originaux dans des restaurants et bars. La victime scanne le code en pensant accéder au menu et se retrouve sur un site qui installe un malware ou demande de se connecter au WiFi via un portail captif frauduleux. L’ENISA Threat Landscape 2024 cite le quishing physique comme vecteur en forte progression.
HP Wolf Security : quishing dans les chaînes d’approvisionnement (2024)
Le rapport HP Wolf Security Threat Insights Q1 2024 a documenté des attaques par QR code ciblant des entreprises industrielles via de faux bons de commande. Le QR code dans le PDF du bon de commande menait vers un site qui téléchargeait un loader malveillant.
Les chiffres
| Indicateur | Valeur | Source |
|---|---|---|
| Augmentation des attaques par quishing entre 2023 et 2025 | 400 % | ENISA Threat Landscape 2025 |
| Part des emails de phishing contenant un QR code (2024) | 12 % | Egress Email Security Risk Report 2024 |
| Taux de scan des QR codes reçus par email | 26 % | Osterman Research / Ironscales 2024 |
| Augmentation du phishing par QR code entre T3 2023 et T1 2024 | 587 % | Cofense Annual State of Email Security 2024 |
| PME françaises ayant subi une tentative de phishing (tous vecteurs) | 74 % | Baromètre du CESIN 2025 |
| Entreprises qui n’incluent pas le quishing dans leur programme de sensibilisation | 89 % | KnowBe4 Security Culture Report 2024 |
Les chiffres convergent : le quishing est passé de vecteur marginal à menace fréquente en moins de deux ans. La courbe de progression est similaire à celle du smishing en 2019-2021.
Pourquoi le quishing est dangereux
Les filtres email ne voient pas les QR codes
Les passerelles de sécurité email (Proofpoint, Mimecast, Microsoft Defender for Office 365) analysent les URLs dans le corps du message et dans les pièces jointes. Un QR code est traité comme une image — pas comme un lien. Pour le détecter, il faut une couche OCR (reconnaissance optique) ou une décomposition spécifique des QR codes dans les images, fonctionnalité que seules les solutions les plus récentes proposent.
Résultat : un email de quishing a un taux de livraison en boîte de réception beaucoup plus élevé qu’un email de phishing classique avec un lien textuel.
Le scan bascule sur le téléphone personnel
Le point de bascule du quishing est le changement de terminal. L’employé reçoit l’email sur son poste professionnel (protégé par le proxy, l’EDR, le filtrage DNS), mais il scanne le QR code avec son téléphone personnel — qui n’a aucune de ces protections.
Le téléphone personnel est hors du périmètre de sécurité de l’entreprise. Pas de MDM, pas de filtrage DNS, pas de VPN. L’employé navigue sur le site de phishing sans aucun filet de sécurité.
Les QR codes bénéficient d’une confiance acquise
Depuis la pandémie de Covid-19, les QR codes sont partout : menus de restaurant, tickets de transport, pass sanitaire, paiement mobile, authentification MFA. Les gens ont été conditionnés à scanner sans réfléchir. Un QR code paraît technique et officiel — personne ne s’attend à ce qu’un carré noir et blanc soit un vecteur d’attaque.
L’URL n’est pas visible avant le scan
Avec un email de phishing classique, un employé formé peut survoler le lien avec sa souris pour voir l’URL de destination. Avec un QR code, cette vérification est impossible avant de scanner. Et après scan, la prévisualisation de l’URL sur mobile est souvent tronquée — l’utilisateur voit https://auth.micro... et valide sans vérifier le domaine complet.
Le quishing physique contourne tous les filtres numériques
Un QR code collé sur un parcmètre, une affiche en salle de réunion ou un faux avis de passage dans la boîte aux lettres de l’entreprise contourne l’intégralité de la chaîne de sécurité numérique. Il n’y a pas d’email à filtrer, pas de lien à analyser, pas de pièce jointe à sandboxer. C’est de l’ingénierie sociale à l’état pur.
Comment protéger votre entreprise
Formation et sensibilisation
La première barrière reste l’humain. Les points à couvrir dans vos sessions de sensibilisation :
- Réflexe de vérification : après scan d’un QR code, toujours vérifier l’URL complète dans la barre d’adresse avant d’entrer quoi que ce soit. Le domaine doit correspondre exactement au service attendu (microsoft.com, pas microsft-login.com)
- Politique de scan : ne jamais scanner un QR code reçu par email si le message demande de se connecter, de vérifier un compte ou de valider un paiement. Taper l’URL directement dans le navigateur
- QR codes physiques : se méfier des QR codes collés par-dessus d’autres (autocollant sur autocollant), des QR codes non contextuels (affiche sans identité visuelle claire), et des QR codes dans les espaces communs de l’entreprise qui n’ont pas été validés par l’IT
- Signalement : un QR code suspect dans un email ou sur un support physique doit être signalé à l’équipe sécurité immédiatement
Protection technique
| Mesure | Détail | Priorité |
|---|---|---|
| Filtre email avec analyse QR | Activer la détection des QR codes dans les images et PDF sur votre passerelle email (Proofpoint, Mimecast, Microsoft Defender) | Haute |
| MDM sur les mobiles pro | Déployer un MDM avec filtrage DNS et blocage de domaines malveillants sur les smartphones professionnels | Haute |
| DNS sécurisé | Utiliser un résolveur DNS filtrant (Quad9, Cloudflare Gateway, Cisco Umbrella) sur les postes et mobiles professionnels | Moyenne |
| MFA résistant au phishing | Passer des codes SMS/TOTP aux clés FIDO2 ou passkeys. Les proxys AiTM ne peuvent pas intercepter un challenge FIDO2 | Haute |
| Authentification du domaine email | Configurer SPF, DKIM et DMARC sur votre domaine pour empêcher l’usurpation de votre identité dans des campagnes de quishing | Haute |
Vérifiez la configuration SPF, DKIM et DMARC de votre domaine en 30 secondes avec notre vérificateur de sécurité email.
Processus organisationnels
- Politique QR code interne : si votre entreprise utilise des QR codes (accès bâtiment, documentation, formulaires), enregistrez-les dans un registre interne vérifié. Tout QR code non répertorié est suspect
- Procédure de vérification des supports physiques : les affiches et documents avec QR code dans les locaux doivent être validés par un responsable identifié. Vérifier régulièrement que les QR codes affichés n’ont pas été recouverts
- Scénarios de simulation : intégrer le quishing dans vos campagnes de simulation de phishing. Envoyez un email avec un QR code de test pour mesurer le taux de scan et le taux de saisie d’identifiants
- Réponse à incident : si un employé a scanné un QR code suspect et entré ses identifiants, appliquer la même procédure qu’un phishing email — changement de mot de passe immédiat, révocation des sessions actives, vérification des règles de transfert email
Checklist anti-quishing pour les PME
- Vérifier que votre filtre email analyse le contenu des QR codes dans les images et PDF
- Ajouter le quishing comme scénario dans vos simulations de phishing
- Déployer un MDM avec filtrage DNS sur les smartphones professionnels
- Migrer vers une authentification MFA FIDO2 (résistante aux proxys AiTM)
- Former les employés à la vérification d’URL après scan
- Auditer les QR codes physiques présents dans vos locaux
- Configurer DMARC en mode
rejectsur votre domaine pour bloquer les emails usurpant votre identité
Quishing, phishing et smishing : comparaison
| Critère | Phishing email | Smishing | Quishing |
|---|---|---|---|
| Canal | SMS | QR code (email, papier, affiche) | |
| Filtrage anti-spam | Performant | Limité | Très limité |
| Vérification de l’URL | Possible (survol du lien) | Difficile (URL tronquée) | Impossible avant scan |
| Terminal ciblé | PC professionnel | Smartphone | Smartphone (hors périmètre IT) |
| Vecteur physique possible | Non | Non | Oui (autocollants, affiches) |
| Contournement MFA (AiTM) | Possible | Rare | Fréquent |
| Inclus dans les simulations | Courant | Rare | Très rare |
Le quishing combine les avantages du smishing (mobile, peu filtré) et du phishing email (distribution de masse) tout en ajoutant un vecteur physique que les autres n’ont pas. C’est cette combinaison qui explique sa progression rapide et le retard des entreprises à s’en protéger.
Questions fréquentes
Qu'est-ce que le quishing ?
Le quishing (QR code + phishing) est une cyberattaque où un QR code frauduleux redirige la victime vers un faux site web pour voler ses identifiants, ses données bancaires ou installer un malware. Le QR code peut se trouver dans un email, sur une affiche, un parcmètre, un faux avis de passage ou un document professionnel.
Pourquoi le quishing est-il difficile à détecter ?
Un QR code est une image opaque : impossible de lire l'URL de destination avant de le scanner. Les filtres anti-spam email analysent les liens textuels mais pas le contenu des images. Et sur mobile, la prévisualisation de l'URL après scan est souvent tronquée, ce qui masque les domaines frauduleux.
Comment se protéger du quishing en entreprise ?
Trois actions prioritaires : former les employés à vérifier l'URL complète après scan d'un QR code (et ne jamais entrer d'identifiants sur un site atteint via QR code), configurer un filtre email capable d'analyser les QR codes dans les images et les PDF joints, et mettre en place une politique interdisant les QR codes dans les communications internes sensibles.
C'est quoi un QR code dynamique piégé ?
Un QR code dynamique pointe vers une URL intermédiaire que le créateur peut modifier après impression. L'attaquant crée un QR code qui redirige d'abord vers un site légitime (pendant la vérification), puis change la destination vers un site de phishing. C'est plus difficile à détecter qu'un QR code statique.
Comment signaler une tentative de quishing en France ?
Signalez sur la plateforme Pharos (internet-signalement.gouv.fr) ou auprès de Cybermalveillance.gouv.fr. Si le QR code a été reçu par email, transférez le message à signal-spam.fr. En entreprise, prévenez immédiatement l'équipe IT et ne supprimez pas le message — il servira à l'analyse.