Qishing (phishing par QR code)
Phishing dont le lien malveillant est délivré sous forme de QR code plutôt que de texte, déplaçant le clic d'un poste géré vers un smartphone personnel non géré.
Le qishing — aussi orthographié quishing — est une variante de phishing dans laquelle l’URL malveillante est intégrée à un QR code plutôt que présentée comme un lien cliquable. La cible reçoit un e-mail, un flyer imprimé, un PV de stationnement ou une affiche qui l’incite à scanner ; l’URL scannée mène à une page d’identifiants, un faux défi MFA ou un écran de consentement OAuth. La technique a connu une forte progression en 2023-2024, signalée à la fois par les éditeurs de sécurité e-mail et par des bulletins de l’ANSSI.
Deux atouts structurels expliquent son adoption :
- Contournement des filtres. Pour une passerelle e-mail legacy, une image QR est une pièce jointe opaque — pas une URL à scorer par réputation. Même les filtres de réécriture d’URL et les sandbox de détonation l’ignorent fréquemment.
- Bascule vers les appareils personnels. La plupart des salariés scannent un QR avec leur téléphone, pas leur poste géré. Le téléphone échappe souvent au filtrage DNS d’entreprise, à l’EDR, à l’isolation navigateur et aux alertes du gestionnaire de mots de passe qui auraient déclenché sur le poste.
Variantes types :
- QR par e-mail. Un message « fax reçu », « messagerie vocale », « DocuSign » ou « ré-enrôlement MFA » avec une image QR jointe.
- QR physique. Autocollants apposés sur de vrais codes — horodateurs, tables de restaurant, bornes de recharge, affiches en open space — attaque à bas coût et à portée disproportionnée.
- Détournement d’enrôlement MFA. Un QR « scannez pour ré-enrôler votre authenticator » redirige la cible vers des secrets contrôlés par l’attaquant, transférant le second facteur.
- Entonnoir d’octroi OAuth. La destination est une vraie page de consentement Microsoft ou Google pour une application malveillante, qui capture un accès persistant sans jamais demander de mot de passe.
Le levier défensif combine un plancher technique et un plancher comportemental. Technique : faire entrer les téléphones personnels qui consultent la messagerie pro sous au moins un filtrage DNS et un accès conditionnel. Comportement : installer le réflexe — par campagnes de simulation et nudges en temps réel — de taper manuellement l’URL pour tout QR lié à une authentification, et de considérer comme hostile tout QR reçu par e-mail tant que la preuve du contraire n’est pas faite.
Termes liés
- Hameçonnage (phishing)Attaque d'ingénierie sociale qui usurpe l'identité d'un tiers de confiance pour obtenir des identifiants, de l'argent ou un accès — par e-mail, SMS, voix, QR code ou consentement OAuth.
- Spear-phishingAttaque de phishing ciblée sur une personne ou un petit groupe, exploitant l'OSINT public pour atteindre une crédibilité que le phishing de masse n'a pas.
- Ingénierie socialeManipuler une personne — plutôt qu'exploiter une faille logicielle — pour obtenir identifiants, argent ou accès ; la catégorie chapeau dont relèvent phishing, vishing et fraude au président.
- Authentification multi-facteur (MFA)Schéma d'authentification exigeant au moins deux facteurs indépendants — ce que l'on sait, possède ou est — pour vérifier un utilisateur et renchérir le vol d'identifiants.
- Phishing OAuth / consent phishingAttaque qui amène l'utilisateur à accorder à une application tierce malveillante un accès OAuth persistant à sa messagerie, ses fichiers ou son workspace — contournant entièrement le MFA.