TL;DR : L’essentiel
- Le quishing représente désormais 22% des attaques par QR code, une menace en hausse de 248%. Les pirates exploitent la confiance des utilisateurs, dont la plupart scannent sans vérifier la destination, exposant massivement leurs données personnelles.
- Les designs « fancy » altèrent la structure via des modules arrondis ou des logos centraux. Cette complexité visuelle permet aux codes malveillants de contourner l’inspection automatisée des passerelles de messagerie, conçues pour lire du texte et non des images.
- Le groupe nord-coréen Kimsuky intègre ces codes dans des emails de spear-phishing ciblés. Ces campagnes redirigent les victimes vers de fausses interfaces Microsoft 365 ou Okta pour dérober discrètement les identifiants et les jetons de session.
- Des chercheurs de l’Université Deakin proposent ALFA, une méthode analysant la structure du code avant tout scan. Associé à l’outil FAST pour corriger les distorsions, ce système repère les designs suspects sans accéder au contenu malveillant.
Les codes QR ont envahi notre quotidien, des menus de restaurant aux écrans de connexion, instaurant une habitude de scan quasi réflexe. Pourtant, cette familiarité masque une évolution technique redoutable : l’apparition des QR codes « fancy » ou stylisés. Loin d’être une simple coquetterie graphique, ces nouveaux formats colorés et personnalisés sont devenus le vecteur privilégié des cybercriminels pour contourner les protections classiques pour des attaque de quishing. En modifiant l’apparence physique du code, les attaquants parviennent à duper à la fois l’œil humain, rassuré par un design professionnel, et les algorithmes de sécurité, incapables d’interpréter ces grilles non standardisées.
L’opacité structurelle déjoue l’analyse technique
La force principale de ces nouveaux vecteurs d’attaque par quishing réside dans leur capacité à se fondre dans le décor tout en brisant les règles de reconnaissance standard. Contrairement aux grilles noires et blanches classiques, les QR codes utilisés dans ces campagnes de « quishing » adoptent des designs visuellement complexes : les modules deviennent arrondis, étirés ou recolorés, et des logos sont insérés directement au centre de la matrice. Comme le rapportent les chercheurs de l’Université Deakin, ces modifications de conception perturbent les hypothèses structurelles des outils de détection existants. Les images de fond se mélangent au code, rendant la distinction entre les données et le décor difficile pour une machine.
Cette sophistication du quishing pose un problème majeur pour les passerelles de sécurité de messagerie. Ces systèmes, conçus pour examiner les URL en texte clair, se retrouvent aveugles face à une menace encapsulée dans une image. Le code malveillant de quishing ne révèle sa destination qu’au moment précis du scan, souvent effectué sur un appareil mobile hors du périmètre de sécurité de l’entreprise. Cette technique d’évasion est d’autant plus efficace que les chaînes de redirection et l’utilisation de services web légitimes masquent la charge utile finale jusqu’à la dernière seconde.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Des vecteurs d’attaque physiques et étatiques
Comme le rapporte le site Help Net Security, la menace du quishing ne se limite plus au monde numérique ; elle s’ancre physiquement dans l’espace public et professionnel. À New York, le Département des Transports a dû émettre une alerte après la découverte de QR codes frauduleux de quishing collés directement sur les parcmètres, un piège matériel conçu pour détourner les paiements de stationnement. Parallèlement, la Federal Trade Commission (FTC) américaine a mis en garde les consommateurs en 2025 contre des codes apposés sur des colis inattendus, exploitant la curiosité naturelle des destinataires. L’utilisation de grands modèles de langage (LLM) par les attaquants pour générer des textes d’appât persuasifs dans les emails ou sur les supports imprimés renforce encore la crédibilité de ces leurres.
Au niveau géopolitique, ces attaques de quishing est devenue une arme pour les acteurs étatiques. Des groupes de hackers liés à la Russie ont ciblé des parlementaires britanniques, tandis que des acteurs nord-coréens associés au groupe Kimsuky déploient des campagnes de spear-phishing sophistiquées. Ces opérations visent spécifiquement à récolter des jetons de session et des identifiants en redirigeant les cibles vers des pages de connexion contrefaites imitant parfaitement des portails VPN ou des services d’entreprise. Selon les analystes de l’unité de renseignement Unit 42, ces attaques exploitent la difficulté de détection sur mobile pour compromettre des accès critiques.
ALFA : Une méthode de validation par la structure
Face à l’inefficacité des méthodes basées sur l’analyse des URL, une nouvelle approche défensive émerge : la validation structurelle « safe-by-design ». La méthode ALFA, développée par des universitaires, propose d’évaluer la légitimité d’un code QR en analysant sa construction graphique avant même que l’utilisateur n’accède au lien. Plutôt que de chercher à savoir « où » mène le code, ce système détermine si sa conception elle-même est suspecte.
Pour contrer les distorsions visuelles introduites par les designs « fancy », cette approche intègre un outil de support nommé FAST. Ce dernier corrige les anomalies visuelles courantes dans les codes décoratifs — comme les distorsions de forme ou de couleur — pour permettre une évaluation fiable. Validée sur un ensemble diversifié de codes QR complexes, cette technologie peut s’opérer directement aux côtés des lecteurs existants sur mobile. Elle offre une couche de protection indispensable, capable de signaler un design conçu pour tromper avant que la moindre charge utile ne soit exécutée.
L’évolution des QR codes vers des formats esthétiques et complexes a ouvert une brèche de sécurité majeure que les protections traditionnelles peinent à combler. La méthode ALFA illustre ce changement de paradigme nécessaire : considérer le QR code non plus comme un simple lien, mais comme un objet numérique dont la structure même peut trahir des intentions hostiles.
FAQ : Comprendre et éviter le Quishing
Qu’est-ce que le « Quishing » ?
C’est une contraction de « QR code » et « Phishing ». C’est une cyberattaque où les pirates utilisent un code QR pour contourner les sécurités. Au lieu d’un lien texte classique, la victime scanne une image qui la redirige vers un site frauduleux pour voler ses identifiants.
Pourquoi les pirates utilisent-ils des QR codes colorés ou avec des logos ?
Contrairement à ce qu’on pourrait croire, un QR code « joli » ou professionnel n’est pas gage de sécurité. Comme expliqué dans l’article, les pirates modifient le design (formes arrondies, couleurs) pour deux raisons : gagner votre confiance et surtout rendre le code illisible pour les antivirus classiques, qui peinent à analyser ces structures complexes.
Où trouve-t-on ces pièges ?
Ils sont partout :
Numérique : Dans des e-mails (fausses factures, mises à jour RH) pour contourner les filtres de messagerie.
Physique : Des autocollants frauduleux collés sur des parcmètres (un cas fréquent mentionné en Suisse) ou des bornes de paiement.
Comment se protéger si l’œil humain et les antivirus se font avoir ?
La vigilance est votre meilleure arme :
L’URL de destination : Regardez toujours l’aperçu du lien sur votre téléphone avant de cliquer.
Le contexte : Ne scannez jamais un code reçu par e-mail demandant une action urgente (connexion, paiement).
Le support physique : Vérifiez si un autocollant a été collé par-dessus un code original.
J’ai scanné un code douteux, que faire ?
Déconnectez-vous immédiatement du compte concerné, changez vos mots de passe depuis un autre appareil, et si c’est un appareil professionnel, alertez tout de suite votre service informatique.
Cette veille vous est utile ?
Offrez un café pour soutenir le serveur (et le rédacteur).
