En quelques années à peine, les QR codes sont passés d'une curiosité à une habitude quotidienne. Les clients les scannent sur les tables de restaurant, les horodateurs, les emballages de produits, les factures et les affiches, sans y réfléchir à deux fois. C'est précisément cette confiance que les criminels exploitent au travers d'une technique désormais largement connue sous le nom de quishing : le phishing par QR code.
Contrairement à un lien suspect dans un e-mail, un QR code ne donne aucun indice visuel sur sa destination avant que l'appareil photo du téléphone ne le décode, et à ce moment-là, le navigateur peut déjà être ouvert. Pour les entreprises qui s'appuient sur les QR codes pour leurs menus, paiements, billetteries ou actions marketing, comprendre le quishing n'est plus optionnel. C'est un enjeu de confiance client et de sécurité de marque.
À quoi ressemble concrètement le quishing
Les attaques de quishing suivent généralement quelques schémas récurrents :
- Autocollants superposés. Un faux QR code autocollant est collé directement sur un code légitime, sur un horodateur, un menu, une affiche ou un casier de livraison.
- Faux avis de conformité ou de paiement. Des lettres ou prospectus imprimés imitent des administrations fiscales, des transporteurs de colis ou des fournisseurs d'énergie, demandant au destinataire de scanner un code pour « confirmer » un paiement ou une amende.
- Affiches et prospectus malveillants dans des lieux publics. Ils évoquent souvent du Wi-Fi gratuit, des tirages au sort ou des enregistrements à un événement pour inciter à un scan immédiat.
- Quishing par e-mail et PDF. Un QR code intégré dans un document ou un e-mail échappe à de nombreux filtres anti-spam et scanners de liens car il s'agit d'une image, pas d'un texte cliquable, mais il redirige tout de même vers une page de vol d'identifiants une fois scanné.
L'objectif final est généralement l'un des deux suivants : récupérer des identifiants de connexion ou des données de paiement via un faux site, ou installer des profils de configuration ou des applications malveillantes sur un appareil mobile.
Pourquoi les QR codes constituent une surface d'attaque efficace
Plusieurs facteurs rendent les QR codes attractifs pour les attaquants, comparés aux liens de phishing traditionnels.
- Aucune URL visible avant le scan. Les utilisateurs ne peuvent pas survoler un QR code comme ils survoleraient un lien hypertexte pour prévisualiser la destination.
- L'emplacement physique contourne les filtres numériques. Un autocollant sur un objet du monde réel n'est scanné ni par une passerelle de sécurité e-mail ni par une liste de blocage anti-phishing d'un navigateur.
- Une confiance habituelle et sans friction. Scanner un QR code est devenu un geste automatique, comparable au fait de toucher une notification, avec peu d'évaluation consciente du risque.
- Le contexte mobile réduit la vigilance. Les petits écrans rendent plus difficile la lecture d'URL complètes, le repérage de fautes d'orthographe dans les noms de domaine, ou la vérification du HTTPS et des détails du certificat.
Les études sur la confiance des consommateurs montrent systématiquement que les utilisateurs jugent la légitimité d'un QR code selon son contexte physique, un code apposé sur un menu d'apparence officielle ou un avis administratif est présumé sûr, plutôt qu'en vérifiant le lien sous-jacent. C'est exactement cette hypothèse que le quishing exploite.
Comment les clients et le personnel peuvent repérer un faux QR code
Des réflexes simples et faciles à enseigner réduisent considérablement le risque, même sans outils techniques :
- Inspecter le code physiquement. Un autocollant posé sur un autre code, des bords irréguliers, une qualité d'impression ou un aspect brillant différent, ou un code qui semble légèrement mal positionné sont autant de signaux d'alerte.
- Vérifier l'aperçu de l'URL avant de l'ouvrir. La plupart des appareils photo modernes affichent le lien de destination avant l'ouverture. Encouragez les clients à lire le nom de domaine complet, pas seulement ses premiers caractères.
- Se méfier de l'urgence et des codes inattendus. Les amendes, le « stationnement impayé », la « confirmation de colis » et les offres à durée limitée sont des tactiques de pression courantes conçues pour court-circuiter une lecture attentive.
- Éviter de saisir des identifiants ou des données de paiement immédiatement après le scan. Si un QR code mène à une page de connexion, il est plus prudent d'accéder directement au site officiel plutôt que de saisir un mot de passe sur la page liée.
- Rechercher un domaine reconnaissable et de marque. Un QR code qui pointe vers un domaine correspondant à l'entreprise, plutôt qu'un raccourcisseur générique ou sans lien apparent, est bien plus facile à faire confiance et à vérifier d'un coup d'œil.
Ce dernier point est celui sur lequel les entreprises ont un réel contrôle sur le résultat, et il mène directement à l'une des défenses structurelles les plus efficaces contre le quishing.
Les domaines courts de marque : une défense structurelle, pas seulement un choix esthétique
De nombreux générateurs de QR codes font passer chaque code par le même domaine court générique, partagé entre des millions de codes sans rapport les uns avec les autres, issus de comptes différents. Cela crée deux problèmes. D'abord, les clients ne peuvent pas distinguer votre code légitime de celui d'une autre entreprise, ni d'un code malveillant, car le domaine lui-même ne porte aucun signal de marque. Ensuite, les raccourcisseurs génériques sont fréquemment détournés, ce qui signifie que certains finissent par être signalés ou bloqués par les navigateurs et outils de sécurité au fil du temps, affectant parfois des codes parfaitement légitimes pris dans la réputation partagée du même domaine.
Un domaine court de marque, par exemple go.votreentreprise.eu au lieu d'un raccourcisseur générique partagé, donne aux clients un élément concret à vérifier. Il renforce l'idée que le code a été émis par l'entreprise en laquelle ils ont déjà confiance, et il rend l'usurpation plus difficile car les attaquants devraient imiter votre domaine spécifique plutôt que de profiter d'un domaine générique déjà perçu comme peu familier par tout le monde.
Combiné aux aperçus de liens visibles sur les téléphones modernes, un domaine de marque transforme un « scan à l'aveugle » en quelque chose de plus proche de la lecture d'une adresse web normale et vérifiable. Ce seul changement comble une grande partie de l'écart de confiance sur lequel repose le quishing.
Comment EUQR réduit le risque de quishing dès sa conception
EUQR a été conçu en partant du principe que les QR codes constituent désormais une infrastructure critique pour les interactions avec les clients, et non un gadget marketing jetable, et qu'ils doivent être traités avec le même soin que tout autre actif numérique destiné au public. Plusieurs choix de conception comptent directement pour la résistance au quishing :
- Infrastructure hébergée dans l'UE. Les données et la logique de redirection restent au sein de l'UE, ce qui compte à la fois pour la conformité RGPD et pour donner aux entreprises un contrôle clair et prévisible sur l'endroit où les données de scan des clients sont traitées.
- Traitement des données axé sur la vie privée. EUQR évite le suivi inutile et le partage de données avec des tiers, ce qui réduit la quantité d'informations clients disponibles pour des attaquants, même si un code ou un compte venait à être compromis.
- Prise en charge de domaines courts de marque et vérifiables. Les entreprises peuvent utiliser leur propre domaine pour les redirections QR au lieu d'un raccourcisseur générique partagé, offrant aux clients une destination reconnaissable et vérifiable.
- Gestion dynamique des codes. Comme la destination derrière un code peut être mise à jour et surveillée de manière centralisée, les entreprises peuvent réagir rapidement si un code est signalé comme altéré ou détourné, sans avoir à réimprimer chaque support physique.
- Propriété claire et traçabilité. Les codes sont rattachés à un compte vérifié, ce qui permet de démontrer facilement quels codes sont réellement émis par l'entreprise en cas de litige ou de signalement de fraude.
Rien de tout cela ne remplace la vigilance de base des clients, mais cela élimine plusieurs des faiblesses structurelles dont dépendent les attaques de quishing : domaines partagés anonymes, traitement opaque des données et absence de moyen clair de vérifier qui a réellement émis un code donné.
Conclusion
Le quishing fonctionne parce que les QR codes héritent de la confiance liée à leur contexte physique plutôt que de la gagner par un lien numérique vérifiable. Les entreprises qui souhaitent protéger leurs clients doivent agir sur les deux volets de ce problème : former clients et personnel à vérifier les aperçus de liens et à questionner l'urgence, et choisir une infrastructure QR offrant des domaines de marque, un hébergement basé dans l'UE et des pratiques de données respectueuses de la vie privée. Traiter les QR codes comme un élément sérieux de votre empreinte numérique, plutôt que comme un détail secondaire, reste le moyen le plus fiable de conserver la commodité sans en hériter le risque.