Quishing où arnaque QR Code
Chiffre clé : Entre août et novembre 2025, le volume d'e-mails contenant un QR code malveillant a été multiplié par cinq passant de 47 000 à 249 000 en seulement trois mois.
C'est quoi le quishing ?
Le mot est la contraction de QR code et de phishing. Le principe est le même que l'arnaque par e-mail classique. Piéger un utilisateur pour lui soutirer des identifiants, des données bancaires ou lui faire télécharger un logiciel malveillant. Cependant, à la place d'un lien cliquable, l'attaquant utilise un QR code.
L'utilisateur scanne le code avec son smartphone. Il croit accéder à un service légitime, et se retrouve sur une page frauduleuse conçue pour imiter un site officiel : son espace bancaire, un portail d'entreprise, une page de paiement de parking. En quelques secondes, sans se rendre compte de rien, il a transmis ses informations à des cybercriminels.
Pourquoi le QR code est un vecteur d'attaque particulièrement efficace
Le quishing fonctionne aussi bien parce qu'il exploite deux failles simultanément : une faille technique et une faille humaine.
La faille technique : les filtres anti-spam et les outils de sécurité e-mail sont entraînés à analyser les liens textuels. Un QR code, lui, est une image. Les systèmes de sécurité traditionnels le traitent comme un contenu visuel inoffensif et laissent passer le message sans déclencher d'alerte. Le lien malveillant est donc dissimulé là où les défenses ne regardent pas.
La faille humaine : les QR codes sont perçus comme pratiques, rapides, et surtout anodins. Personne ne vérifie ce qu'il y a derrière un QR code avant de le scanner c'est précisément ce réflexe de confiance aveugle que les attaquants exploitent. Une enquête NordVPN révèle que 73 % des utilisateurs scannent un QR code sans vérifier au préalable la destination vers laquelle il pointe.
Les scénarios d'attaque les plus courants en entreprise
Le quishing se décline dans différents scénarios en raison des nombreuses possibilités d'utilisation d'un QR Code.
Par e-mail : un message prétendument envoyé par le service IT, les RH ou la direction demande de "valider son compte", "confirmer une information" ou "accéder à un document urgent" via un QR code. Le collaborateur scanne depuis son téléphone qui est souvent moins bien protégé que son poste de travail et saisit ses identifiants sur une fausse page.
Sur des supports imprimés : des QR codes frauduleux sont collés par-dessus des QR codes légitimes, affiches dans des espaces communs, flyers, documents laissés dans les espaces de travail. La victime croit scanner un code officiel.
Via des faux avis administratifs : fausse amende, faux avis de livraison, faux document fiscal, l'urgence ressentie pousse à agir vite, sans réfléchir. En avril 2026, la FTC américaine a publié une alerte spécifique sur des faux messages d'infraction routière utilisant cette technique.
Des chiffres qui parlent d'eux-mêmes
Le quishing n'est plus une menace marginale. Les données 2025-2026 sont sans appel :
- +400 % d'augmentation des attaques par QR code entre 2023 et 2025 selon Abnormal Security
- 12 % de toutes les attaques de phishing contenaient un QR code en 2025
- 68 % des attaques de quishing ciblent spécifiquement les utilisateurs mobiles
- Seulement 36 % des attaques par QR code sont correctement identifiées par les victimes
Le ministère de l'Intérieur français a mis à jour en mars 2026 une fiche dédiée au quishing, confirmant que le phénomène est désormais suffisamment répandu pour justifier une communication publique.
Le vrai problème : vos collaborateurs ne sont pas formés à cette menace
Un collaborateur qui sait repérer un e-mail frauduleux n'est pas nécessairement capable d'identifier un QR code malveillant. Les codes visuels n'ont pas encore les mêmes signaux d'alerte intuitifs qu'un lien suspect. Et comme l'action se déroule sur le smartphone, hors de l'environnement de travail habituel, la vigilance est naturellement plus basse.
C'est précisément pour combler ce type d'angle mort que la sensibilisation doit évoluer : elle ne peut plus se limiter au phishing par lien texte, elle doit intégrer les nouvelles formes d'ingénierie sociale dont le quishing fait partie.
Les bons réflexes à transmettre à vos équipes
Former ses collaborateurs au quishing, c'est leur apprendre quelques réflexes simples mais décisifs :
Vérifier l'URL avant d'agir : après avoir scanné un QR code, l'adresse du site s'affiche avant l'ouverture. Prendre deux secondes pour la lire peut tout changer : un domaine suspect, une faute dans le nom, une extension inhabituelle sont autant de signaux d'alerte.
Se méfier de l'urgence : les attaques de quishing jouent souvent sur la pression temporelle ("votre compte sera bloqué", "dernière chance", "action requise immédiatement"). L'urgence est un levier de manipulation, plus on se sent pressé, moins on vérifie.
Ne jamais saisir ses identifiants depuis un QR code inconnu : un service légitime bancaire, RH, administratif ne demande pas de se connecter via un QR code reçu par e-mail ou collé sur une affiche.
Signaler plutôt que se taire : un collaborateur qui doute doit pouvoir le signaler facilement. La culture du signalement est une composante essentielle d'une bonne hygiène cyber en entreprise.
Sencybeo pour former vos collaborateurs face au quishing
Tester, former, mesurer : c'est l'approche que nous appliquons pour que vos équipes deviennent votre meilleur rempart contre les cybermenaces y compris celles qui se cachent derrière un simple carré noir et blanc.
