TL;DR : L’essentiel
- Le quishing représente désormais 22% des attaques par QR code, une menace en hausse de 248%. Les pirates exploitent la confiance des utilisateurs, dont la plupart scannent sans vérifier la destination, exposant massivement leurs données personnelles.
- Les designs « fancy » altèrent la structure via des modules arrondis ou des logos centraux. Cette complexité visuelle permet aux codes malveillants de contourner l’inspection automatisée des passerelles de messagerie, conçues pour lire du texte et non des images.
- Le groupe nord-coréen Kimsuky intègre ces codes dans des emails de spear-phishing ciblés. Ces campagnes redirigent les victimes vers de fausses interfaces Microsoft 365 ou Okta pour dérober discrètement les identifiants et les jetons de session.
- Des chercheurs de l’Université Deakin proposent ALFA, une méthode analysant la structure du code avant tout scan. Associé à l’outil FAST pour corriger les distorsions, ce système repère les designs suspects sans accéder au contenu malveillant.
Les codes QR ont envahi notre quotidien, des menus de restaurant aux écrans de connexion, instaurant une habitude de scan quasi réflexe. Pourtant, cette familiarité masque une évolution technique redoutable : l’apparition des QR codes « fancy » ou stylisés. Loin d’être une simple coquetterie graphique, ces nouveaux formats colorés et personnalisés sont devenus le vecteur privilégié des cybercriminels pour contourner les protections classiques. En modifiant l’apparence physique du code, les attaquants parviennent à duper à la fois l’œil humain, rassuré par un design professionnel, et les algorithmes de sécurité, incapables d’interpréter ces grilles non standardisées.
L’opacité structurelle déjoue l’analyse technique
La force principale de ces nouveaux vecteurs d’attaque réside dans leur capacité à se fondre dans le décor tout en brisant les règles de reconnaissance standard. Contrairement aux grilles noires et blanches classiques, les QR codes utilisés dans ces campagnes de « quishing » adoptent des designs visuellement complexes : les modules deviennent arrondis, étirés ou recolorés, et des logos sont insérés directement au centre de la matrice. Comme le rapportent les chercheurs de l’Université Deakin, ces modifications de conception perturbent les hypothèses structurelles des outils de détection existants. Les images de fond se mélangent au code, rendant la distinction entre les données et le décor difficile pour une machine.
Cette sophistication pose un problème majeur pour les passerelles de sécurité de messagerie. Ces systèmes, conçus pour examiner les URL en texte clair, se retrouvent aveugles face à une menace encapsulée dans une image. Le code malveillant ne révèle sa destination qu’au moment précis du scan, souvent effectué sur un appareil mobile hors du périmètre de sécurité de l’entreprise. Cette technique d’évasion est d’autant plus efficace que les chaînes de redirection et l’utilisation de services web légitimes masquent la charge utile finale jusqu’à la dernière seconde.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Des vecteurs d’attaque physiques et étatiques
Comme le rapporte le site Help Net Security, la menace ne se limite plus au monde numérique ; elle s’ancre physiquement dans l’espace public et professionnel. À New York, le Département des Transports a dû émettre une alerte après la découverte de QR codes frauduleux collés directement sur les parcmètres, un piège matériel conçu pour détourner les paiements de stationnement. Parallèlement, la Federal Trade Commission (FTC) américaine a mis en garde les consommateurs en 2025 contre des codes apposés sur des colis inattendus, exploitant la curiosité naturelle des destinataires. L’utilisation de grands modèles de langage (LLM) par les attaquants pour générer des textes d’appât persuasifs dans les emails ou sur les supports imprimés renforce encore la crédibilité de ces leurres.
Au niveau géopolitique, cette technologie est devenue une arme pour les acteurs étatiques. Des groupes de hackers liés à la Russie ont ciblé des parlementaires britanniques, tandis que des acteurs nord-coréens associés au groupe Kimsuky déploient des campagnes de spear-phishing sophistiquées. Ces opérations visent spécifiquement à récolter des jetons de session et des identifiants en redirigeant les cibles vers des pages de connexion contrefaites imitant parfaitement des portails VPN ou des services d’entreprise. Selon les analystes de l’unité de renseignement Unit 42, ces attaques exploitent la difficulté de détection sur mobile pour compromettre des accès critiques.
ALFA : Une méthode de validation par la structure
Face à l’inefficacité des méthodes basées sur l’analyse des URL, une nouvelle approche défensive émerge : la validation structurelle « safe-by-design ». La méthode ALFA, développée par des universitaires, propose d’évaluer la légitimité d’un code QR en analysant sa construction graphique avant même que l’utilisateur n’accède au lien. Plutôt que de chercher à savoir « où » mène le code, ce système détermine si sa conception elle-même est suspecte.
Pour contrer les distorsions visuelles introduites par les designs « fancy », cette approche intègre un outil de support nommé FAST. Ce dernier corrige les anomalies visuelles courantes dans les codes décoratifs — comme les distorsions de forme ou de couleur — pour permettre une évaluation fiable. Validée sur un ensemble diversifié de codes QR complexes, cette technologie peut s’opérer directement aux côtés des lecteurs existants sur mobile. Elle offre une couche de protection indispensable, capable de signaler un design conçu pour tromper avant que la moindre charge utile ne soit exécutée.
L’évolution des QR codes vers des formats esthétiques et complexes a ouvert une brèche de sécurité majeure que les protections traditionnelles peinent à combler. La méthode ALFA illustre ce changement de paradigme nécessaire : considérer le QR code non plus comme un simple lien, mais comme un objet numérique dont la structure même peut trahir des intentions hostiles.
Des serveurs, des API et du temps.
DCOD est bénévole, mais l'hébergement a un coût. Participez aux frais techniques.
