Quishing, quand le QR code se transforme en piège redoutable - Minizap Vallée de l'Arve
Multimédia

Quishing, quand le QR code se transforme en piège redoutable

Devenu un réflexe pour payer, consulter un menu au restaurant ou se garer, le QR code attire aussi les escrocs. Le quishing, ou hameçonnage par QR code piégé, explose et redirige les victimes vers de faux sites. Décryptage d'une arnaque simple et redoutablement efficace.

Un carré noir et blanc, un coup d'objectif, et le tour est joué. Le QR code s'est imposé dans le quotidien pour sa commodité… et c'est précisément cette confiance aveugle que les fraudeurs ont appris à exploiter. Le terme « quishing », contraction de QR code et de phishing, désigne une variante de l'hameçonnage classique. Plutôt qu'un lien glissé dans un courriel, l'escroc dissimule sa redirection dans un QR code, ce damier décodé en une fraction de seconde. Le procédé connaît une flambée spectaculaire : en France, près de 15 % des personnes ayant scanné un code ces derniers mois ont abouti sur un site suspect ou dangereux, et le volume de messages malveillants l'exploitant a été multiplié par cinq en quelques mois. Discret et bon marché, il est devenu l'outil favori des fraudeurs. Né dans l'industrie japonaise pour tracer des pièces, ce code s'est imposé avec la pandémie avant d'aiguiser les convoitises.

Simple et redoutablement efficace

La force du procédé tient à son opacité. Contrairement à une adresse web affichée en toutes lettres, un QR code ne révèle rien de sa destination avant d'être scanné. Derrière le carré peut se cacher la copie conforme d'un site bancaire, d'une page de paiement ou d'un service public, conçue pour aspirer identifiants, coordonnées bancaires ou données personnelles. Dans d'autres cas, le scan déclenche le téléchargement d'une application vérolée, capable d'espionner le téléphone. La victime, persuadée d'agir sur un site légitime, livre elle-même les clés de ses comptes. Pire, le faux site la pousse parfois à valider un paiement bien réel, maquillé en simple vérification de sécurité.

Menace fantôme

Les escrocs rivalisent d'imagination pour placer leurs pièges. Un grand classique consiste à coller un faux QR code par-dessus celui d'un horodateur, d'une borne de recharge ou d'un parcmètre, l'automobiliste pressé croyant régler son stationnement. Ailleurs, le code surgit dans un faux avis de passage d'un transporteur, un courriel imitant une administration, un prétendu avis de contravention glissé sous l'essuie-glace, ou même sur la table d'un restaurant. Partout, le scénario mise sur l'urgence et la routine pour court-circuiter la méfiance. Des bornes de trottinettes en libre-service aux affiches de concert, aucun support public n'est vraiment épargné.

La banalité du mal

Plusieurs facteurs expliquent ce succès. Le geste s'est banalisé au point de ne plus éveiller le moindre soupçon, et l'écran réduit du smartphone tronque souvent l'adresse, masquant les détails qui trahiraient la supercherie. Les fraudeurs recourent en outre à des raccourcisseurs de liens pour brouiller les pistes. Surtout, le téléphone reste rarement équipé des protections qui veillent sur un ordinateur, et la dimension physique du code, collé sur un objet bien réel, lui confère une légitimité trompeuse que n'aurait jamais un lien reçu par message. Pour l'escroc, l'opération ne coûte presque rien : quelques autocollants imprimés suffisent à lancer une vaste campagne.

Les bons réflexes

Quelques réflexes suffisent pourtant à déjouer le piège. Après un scan, mieux vaut examiner l'adresse affichée avant de saisir la moindre information, et se méfier de tout QR code non sollicité, fût-il d'apparence officielle. Sur le terrain, un rapide coup d'ongle révèle souvent l'autocollant frauduleux placé sur l'original. Aucune banque ni administration ne réclament d'activer un service ou de payer par ce biais ; dans le doute, saisir soi-même l'adresse du site officiel reste la voie sûre. Certaines applications affichent désormais un aperçu de l'adresse avant l'ouverture, un garde-fou bienvenu. Activer la double authentification et signaler les tentatives sur la plateforme dédiée complètent une parade à la portée de tous.

Photos liées à l'article
© CC0
Multimédia

Star Fox, le retour triomphal de Fox McCloud

Trente ans après Lylat Wars, Fox McCloud rempile sur Switch 2 dans un remake confié au studio Velan. Le principe n'a pas pris une ride : aux commandes de l'Arwing, on enchaîne des niveaux sur rails au rythme soutenu, à canarder va...
Lire la suite
Star Fox, le retour triomphal de Fox McCloud
Multimédia

Garmin Venu 4, la beauté du sport

Spécialiste de la montre GPS, Garmin renouvelle sa gamme lifestyle avec la Venu 4. Un écran AMOLED plus lumineux, un suivi santé étoffé jusqu'à l'électrocardiogramme et une autonomie de plusieurs jours. De quoi séduire sportifs et...
Lire la suite
Garmin Venu 4, la beauté du sport
Multimédia

The Adventures of Elliot, le nouveau voyage à travers le temps de Square Enix

Après avoir ressuscité la formule avec Octopath Traveler, Square Enix confie cette fois son esthétique HD-2D à une aventure entièrement inédite. On y suit Elliot et sa fée Faie, lancés à travers les âges pour briser la malédiction...
Lire la suite
The Adventures of Elliot, le nouveau voyage à travers le temps de Square Enix