Cybersécurité

Tout savoir sur le Quishing : l’arnaque aux QR codes piégés

Julien Fournari
Par 
Julien Fournari
SEO & Growth Manager
Dernière mise à jour le 
4
 
July
 
2024
Reconvertissez-vous dans la Cybersécurité et donnez un tournant à votre carrière !
Se former en Cybersécurité
Tout savoir sur le Quishing : l’arnaque aux QR codes piégés
Sommaire
Sélectionnez un chapitre

Vous pensez qu’un QR Code simplifie la vie et qu’il est totalement inoffensif ?Détrompez-vous. Les cybercriminels ont flairé la faille et ont trouvé comment exploiter l’essor de ces petits carrés noir et blanc pour vous piéger. Comme beaucoup, vous les scannez probablement sans réfléchir, ce dont ils profitent pour les remplacer par de faux QR codes, capables de voler vos données ou même de prendre le contrôle de vos appareils.

Restaurants, parkings, bornes de paiement… Aucun lieu n’est épargné. Mais pas de panique ! Dans cet article, vous découvrirez comment détecter cette arnaque au faux QR code pour éviter de tomber dans le piège de ces cyber-escrocs.

Vous voulez aller encore plus loin et apprendre à lutter activement contre les hackers ? Alors jetez un œil à notre formation en cybersécurité certifiante, grâce à laquelle vous apprendrez à protéger les systèmes d’information des cyberattaques.

Reconvertissez-vous dans la Cybersécurité et donnez un tournant à votre carrière !
Se former en Cybersécurité
Formation
Boostez votre carrière : formez-vous en Cybersécurité
Formation CybersécuritéFormation Cybersécurité

Qu’est-ce que le Quishing ?

Contraction de « QR Code » et de « phishing », le quishing est un type de cyberattaque qui tire parti de la popularisation des QR Codes pour piéger leurs utilisateurs.

Pensez à toutes ces fois où vous avez utilisé un QR Code : au restaurant pour consulter le menu, suite à une campagne publicitaire pour télécharger une application… Vous êtes-vous déjà demandé une seule fois si vous risquiez quelque chose en les scannant ?

Comme beaucoup, probablement pas. Et c’est précisément ce manque de vigilance que les cybercriminels exploitent : ils insèrent de faux QR Codes dans des endroits familiers ou dans des emails pour rediriger leurs victimes vers des sites frauduleux. Le quishing est donc une technique d’ingénierie sociale, qui exploite votre confiance pour vous piéger, parfois même sans que vous vous en rendiez compte.

Quelle est l’origine de l’arnaque par QR Code ?

Si les QR Codes existent depuis les années 1990, ils ont connu un boom colossal ces dernières années, notamment avec la pandémie de COVID-19. Restaurants, administrations, services de transport… Tous ont adopté ce petit carré magique pour faciliter les paiements, les commandes ou encore l’accès aux informations sans contact physique.

Mais cet essor a inévitablement attiré l’intérêt des cybercriminels, et ils ont décidé de faire des QR Codes un vecteur de propagation pour leurs cyberattaques. C’est ainsi que le quishing est né.

Et ces dernières années, il n’a cessé de gagner de l’ampleur. Début 2024, plus de 800 procédures pénales en cours en France concernaient ainsi des arnaques aux faux QR Codes.

Qui sont les cibles de l’attaque par Quishing ?

Tout le monde peut être victime du quishing, mais certains profils sont plus susceptibles de tomber dans le piège :

  • Les personnes peu familières avec la cybersécurité et qui scannent des QR codes sans se poser de questions, souvent par habitude ou manque d’information sur les risques encourus.  
  • Les employés des entreprises qui ont implémenté l’usage du QR Code à leurs processus de travail (par exemple pour accéder aux locaux ou réaliser des paiements).  
  • Les voyageurs et clients de lieux publics (parkings, restaurants, hôtels…) qui proposent d’accéder à la liste de leurs services grâce à des QR codes.

En somme, à partir du moment où vous avez l’habitude de scanner sans réfléchir, vous êtes une proie facile pour le quishing.

Quelle est la différence entre Quishing et Phishing ?

Le phishing désigne toutes les formes d’hameçonnage existantes, dont le quishing n’est qu’une variante. Mais leur objectif est le même : vous manipuler à des fins malveillantes.

Leur différence clé ? Leur vecteur d’attaque :

  • Le phishing peut se propager d’un grand nombre de manières (via emails, SMS (smishing), appels téléphoniques (vishing)....)  
  • Le quishing, lui, exploite exclusivement les QR codes.

Quelles sont les conséquences du Quishing ?

À première vue, scanner un QR Code n’est pas bien dangereux. Et pourtant, en le faisant vous ouvrez peut-être la porte que des cybercriminels seront ravis d’exploiter. L'hameçonnage par QR code peut ainsi avoir de lourdes conséquences :

  • Installation de malwares, comme des logiciels espions ou des ransomwares qui pourraient bloquer votre appareil.
  • Vol de vos données personnelles (noms, numéros de téléphone, identifiants bancaires…), qui peuvent ensuite être utilisées pour usurper votre identité.
  • Accès non autorisé à vos comptes bancaires, notamment si vous utilisez des QR codes pour effectuer des paiements. Les arnaqueurs pourraient alors vous rediriger vers des sites frauduleux usurpant le design de plateformes officielles afin de récupérer vos identifiants bancaires.
  • Compromission de données d’entreprise, le quishing pouvant entraîner la fuite de données sensibles et l’accès à des systèmes internes.

Comment fonctionne l’arnaque au faux QR Code ?

Pour vous tromper sans éveiller vos soupçons, les pirates qui utilisent l’arnaque au QR code suivent un processus bien rôdé :

  1. Création du QR code redirigeant vers un site malveillant, un malware ou une page de phishing.
  2. Distribution du QR code, soit de manière physique (imprimés sur des flyers, des affiches publicitaires, des menus de restaurant, collés sur des bornes de paiement…) ou numérique (ajout sur les réseaux sociaux, des sites web piratés, à des mails…).
  3. Utilisation de l’ingénierie sociale pour créer un leurre alléchant pour vous inciter à scanner le QR code piégé (accès à des promotions ou à des services de façon rapide, formulaires à remplir en urgence…).
  4. Interaction avec les victimes ; après votre scan, vous arrivez sur un faux site où vous renseignez vos données personnelles ou téléchargez un malware à votre insu.
  5. Conséquences de la cyberattaque, les pirates pouvant utiliser les informations volées pour accéder à vos comptes bancaires, usurper votre identité, ou les revendre sur le dark web ; en cas de contamination par un malware, celui-ci agit dans le but pour lequel il a été programmé (vous espionner, bloquer votre appareil pour vous demander une rançon, l’intégrer à un botnet…).

Comment l’attaque par Quishing est-elle mise en place ?

Pour propager leurs faux QR codes sans susciter la méfiance, les cybercriminels font preuve d’une créativité sans limite. Ils les distribuent ainsi :

  • Physiquement, en remplaçant les QR codes de menus de restaurants, en les collant sur des bornes de paiement, sur des affiches, en distribuant des flyers…  
  • Par email, le QR code étant inséré à contenu attractif (on vous promet un cadeau ou une réduction si vous scannez le code) ou alarmant (on vous menace de désactiver l’un de vos comptes sans action de votre part). Le cybercriminel peut ensuite recourir au smishing ou au vishing pour vous mettre encore plus de pression et vous pousser à scanner le code.  
  • Sur les réseaux sociaux, en les insérant à des posts attractifs ou à des publicités sponsorisées.

Quelles sont les techniques de Quishing pour tromper l’utilisateur ?

Pour tromper même les victimes les plus vigilantes afin que l’arnaque au faux QR code fonctionne, les escrocs misent sur plusieurs techniques :

  • Raccourcissement des liens grâce à des services comme bit.ly ou tinyurl qui permettent de masquer l’URL finale.  
  • Clonage de sites officiels populaires et réutilisation de leur identité visuelle pour qu’il soit difficile de se rendre compte de l'arnaque.  
  • Exploitation de votre confiance, car après tout, qui soupçonnerait qu’il est en train de tomber dans un piège lorsqu’il scanne un QR code pour commander au restaurant ?  
  • Disposition dans des endroits stratégiques (restaurants, cafés, parkings…), là où vous baissez généralement votre garde.  
  • Appât avec des promotions attractives ou jeu sur le sentiment d’urgence pour que vous vous sentiez obligé de scanner.

Comment se protéger du Quishing ?

Le phishing par QR code est une menace sournoise, mais heureusement, il existe des moyens simples et efficaces pour éviter de tomber dans le piège.

Checklist pour repérer un QR code potentiellement malveillant

Avant de dégainer votre smartphone pour scanner un QR code, prenez un moment pour vérifier quelques points essentiels :

  • Prenez garde au contexte. Dans un restaurant, le QR code est-il imprimé directement sur le menu (il y a ainsi peu de risques qu’il soit faux), ou simplement collé sur les tables, ou imprimé sur un bout de papier froissé (ce qui est plus suspect) ?  
  • Avant de cliquer dessus, vérifiez l’URL indiquée par votre lecteur de QR code. Paraît-elle suspecte ? Est-elle raccourcie pour masquer le site de destination ? Est-elle en HTTPS ?  
  • Évitez de scanner les QR codes présents dans des lieux publics, sur des bornes de paiement ou des panneaux d’affichage par exemple. Tout le monde peut y accéder pour les y coller, en faisant des cibles faciles pour les arnaqueurs.

Quelles sont les bonnes pratiques face au Quishing ?

La prudence est votre meilleure alliée face au quishing, et ces quelques gestes simples vous permettront de vous protéger de ses dangers :

  • Installez un antivirus reconnu sur votre smartphone et maintenez à jour pour qu’il puisse vous protéger des malwares et détecter les sites potentiellement malveillants vers lesquels pourraient vous rediriger les QR codes.  
  • Soyez vigilant si l’on vous demande de scanner un QR code reçu par mail ou par SMS. Après tout, pourquoi votre expéditeur ne vous a pas envoyé le lien en direct et a préféré le cacher ?  
  • Sensibilisez-vous et parlez à vos proches des risques qu’ils encourent avec le quishing.  
  • Évitez autant que possible de partager des informations personnelles, notamment vos informations de paiement, à un site auquel vous avez accédé via un QR code.  
  • Renforcez les procédures de sécurité de votre entreprise et évitez autant que possible d’intégrer l’usage de QR codes à votre processus de travail. S’ils sont essentiels, apprenez à vos équipes à se protéger du phishing par QR code, et mettez en place des protocoles de vérification supplémentaires pour les supports qui en contiennent.

Les 4 étapes pour devenir un expert en cybersécurité

Vous connaissez désormais les dangers du quishing, mais ce n’est malheureusement pas le seul type de cyberattaque auquel vous vous exposez chaque jour. La cybercriminalité fait peser une menace de plus en plus importante sur notre société, et en réponse, nombreuses sont les entreprises à chercher des experts capables de les en protéger.

Si vous êtes sur cette page, c’est probablement que vous vous intéressez déjà à la cybersécurité. Et si vous aussi, vous appreniez à protéger le monde numérique du cybercrime ? Si vous envisagez de vous reconvertir dans la cybersécurité, sachez que chez Jedha, nous sommes justement là pour vous accompagner et vous aider à développer les compétences nécessaires pour intégrer le marché de l’emploi. Pour cela, rien de plus simple :

  1. Commencez à vous former gratuitement aux bases de la cybersécurité en vous inscrivant sur JULIE, notre plateforme pédagogique.  
  2. Découvrez nos formations en cybersécurité en détail dans notre syllabus.  
  3. Venez nous poser vos questions lors de notre prochaine Soirée Portes Ouvertes en ligne.  
  4. Affinez votre projet pédagogique et discutez de vos options de financement en prenant rendez-vous avec notre équipe admission.

Questions fréquentes à propos du Quishing

Que faire en cas d’attaque de Quishing ?

  1. Si vous avez des doutes après avoir scanné un QR code, quittez immédiatement le site sur lequel vous avez été redirigé et ne fournissez aucune information.  
  2. Changez immédiatement vos mots de passe, surtout si vous avez saisi des identifiants après avoir scanné le QR code.  
  3. Contactez votre banque si vos données bancaires ont été compromises.  
  4. Signalez l’arnaque et le site vers lequel vous redirige le QR code sur la plateforme PHAROS. En cas de mouvements bancaires frauduleux ou de détournement de vos informations personnelles, vous pouvez également porter plainte auprès de la police ou de la gendarmerie.  
  5. Lancez un scan antivirus sur votre appareil pour détecter et éliminer les malwares qui auraient pu vous infecter.  
  6. Contactez votre assurance cyber-risques si vous en possédez une pour vérifier s’il est possible d’obtenir une réparation face au préjudice subi.

Quels sont les exemples marquants de Quishing ?

  • Détournement du QR code d’une borne de recharge pour voitures électriques (Loiret, France, fin 2023) : des cyber-escrocs ont remplacé le QR code présent sur la borne de paiement pour rediriger les conducteurs vers un site frauduleux, qui imitait l’interface de paiement officielle. Résultat ? Pendant plusieurs semaines, ils ont pu récupérer les coordonnées bancaires des utilisateurs de cette borne, et s’en sont servis pour prélever de l’argent sur leurs comptes.  
  • Arnaque au faux QR code dans une boutique de bubble tea (Singapour, mai 2023) : alors qu’elle dégustait son bubble tea, une cliente repère un sticker promotionnel sur la vitrine du magasin : en remplissant un sondage disponible via un QR code, elle pourrait obtenir une boisson gratuite. Tentant, non ? Elle scanne et télécharge une application, sans savoir qu’il s’agit en réalité d’un malware. En arrière-plan, le programme prend le contrôle de son téléphone, accède à son compte bancaire et permet aux hackers de dérober près de 20 000 $.

Les deepfakes peuvent-ils être utilisés dans des attaques de phishing ?

Oui, avec l’évolution de l’intelligence artificielle, les deepfakes peuvent être utilisés pour rendre certaines attaques de phishing plus crédibles et dangereuses. Imaginez recevoir une vidéo ultra-réaliste de votre PDG vous demandant d’effectuer un virement urgent. Vous obéissez, avant d’apprendre que ce n’était pas lui, mais une IA qui imitait son visage et sa voix. À cause de ce deepfake, vous venez de tomber d’être victime d’une fraude au président.

Autre variante, le deep voice (imitation de la voix d’une personne grâce à l’IA) est de plus en plus utilisé dans les attaques par vishing, et permet aux cybercriminels de manipuler plus facilement leurs victimes.

Soirée Portes Ouvertes Jedha BootcampSoirée Portes Ouvertes Jedha Bootcamp
Julien Fournari
Julien Fournari
SEO & Growth Manager
Julien occupe le poste de SEO & Growth Manager chez Jedha depuis Mexico. Sa mission est de créer et d'orchestrer du contenu pour la communauté Jedha, de simplifier les processus et de dénicher de nouvelles opportunités, tant pour Jedha que pour ses étudiants, en exploitant sa maîtrise du digital.

Articles recommandés

Cybersecurite

Spear Phishing : définition, fonctionnement et protection

Le spear phishing (ou harponnage) est une technique d'hameçonnage ciblé particulièrement redoutable. Apprenez à le repérer pour mieux vous en protéger.

Cybersecurite

Google Dorks : techniques gratuites pour exploiter Google

Découvrez les Google Dorks, des opérateurs de recherche utilisés aussi bien par les enquêteurs que les hackers pour trouver des informations sensibles sur internet à l’aide de Google Search.

Formation Hacking Éthique gratuite

Vous voulez devenir hacker éthique ? Retrouvez les meilleures formations gratuites en Ethical Hacking pour vous reconvertir et travailler dans la cybersécurité !

Cybersecurite

Les 5 meilleures certifications en cybersécurité en 2025

Venez en savoir plus sur les certifications les plus incontournables dans le domaine de la cybersécurité

Cybersecurite

Les meilleures écoles en Cybersécurité en France en 2025

Vous cherchez la meilleure école en France pour vous former à la sécurité informatique ? Découvrez notre classement des meilleures écoles en cybersécurité en 2025.

Cybersecurite

Stalkerware : protégez votre téléphone contre l’espionnage

Vous pensez être victime d'un stalkerware ? Apprenez à détecter et à bien réagir face à ces logiciels espions qui peuvent être utilisés pour vous traquer.

Tous les articles
Vos préférences sur les cookies

Nous utilisons des cookies sur notre site. Certains, essentiels et fonctionnels, sont nécessaires à son bon fonctionnement et ne peuvent pas être refusés. D’autres sont utilisés pour mesurer notre audience, entretenir notre relation avec vous et vous adresser de temps à autre du contenu qualitatif ainsi que de la publicité, personnalisée ou non.
Vous pouvez sélectionner ci-dessous ceux que vous acceptez et les mettre à jour à tout moment via notre politique cookies.

Tout accepter
Tout refuser
Gérer mes préférences
Gestion de vos préférences sur les cookies

Nous et nos partenaires utilisons des cookies et des traceurs pour :

- Fournir une assistance grâce à notre bot
- Générer des idées pour améliorer nos interfaces, les contenus et fonctionnalités du site
- Mesurer l'efficacité de nos campagnes de marketing et proposer des mises à jour régulières de nos contenus

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Soirée Portes Ouvertes en ligne : découvrez nos formations
Thursday
 
27
 
Feb
 à 
18:00
En ligne

Découvrez nos programmes de formation accélérée en Data et Cybersécurité, et posez toutes vos questions à notre équipe d'admissions et à nos alumni.

S'inscrire