Temps de lecture :
4
min

Les cyberattaques par QR Code (Quishing) : un risque encore méconnu

Les cyberattaques par QR Code (Quishing) : un risque encore méconnu

Un QR code sur une facture, une note de service RH ou un email de vérification de compte : ce réflexe de scan devenu banal, constitue aujourd'hui l'un des vecteurs de compromission les plus efficaces contre les entreprises. Le « quishing », contraction de QR code et phishing, exploite une faille comportementale simple : personne ne vérifie l'URL derrière un carré de pixels noir et blanc avant de le scanner. Pour les DSI et responsables IT, cette menace mérite une attention particulière, car elle cible en priorité les identifiants professionnels et contourne des dispositifs de sécurité email pourtant matures.

Le quishing, une évolution logique du phishing classique

Selon cybermalveillance.gouv.fr, le quishing figure parmi les formes d'hameçonnage recensées dans ses rapports d'activité, aux côtés du phishing par email et du smishing par SMS. Le principe reste identique à celui du phishing traditionnel : rediriger la victime vers un site frauduleux pour lui dérober des identifiants, des données bancaires ou des codes de validation. Ce qui change, c'est le support.

Les premières campagnes recensées en France par cybermalveillance.gouv.fr reposaient sur une diffusion physique : de faux avis de contravention laissés sur les pare-brises, de faux avis de passage de La Poste déposés dans les boîtes aux lettres, ou des QR codes frauduleux collés sur des bornes de stationnement, en substitution du code légitime. Le phénomène a depuis largement basculé vers le canal numérique, avec des campagnes email ciblant directement les environnements professionnels.

Pourquoi le QR code déjoue les réflexes de vigilance habituels

L'efficacité du quishing tient à deux caractéristiques techniques précises, qui expliquent pourquoi les collaborateurs les mieux sensibilisés au phishing classique restent vulnérables face à cette variante.

D'une part, un QR code ne révèle pas l'URL de destination avant le scan. Contrairement à un lien texte dans un email, où l'utilisateur peut survoler l'adresse pour en vérifier la légitimité, le QR code masque totalement sa cible jusqu'au moment où le smartphone l'a déjà interprété. D'autre part, cette dissimulation contourne les défenses techniques de l'entreprise. D'après Barracuda Networks, dans son rapport 2025 sur les menaces email, les liens malveillants sont intégrés sous forme d'image plutôt que de texte, ce qui empêche les filtres anti-phishing traditionnels de les analyser comme du contenu textuel suspect. Le même rapport précise que 83 % des documents Microsoft 365 malveillants et 68 % des PDF malveillants analysés contenaient des QR codes menant vers des sites d'hameçonnage.

À cela s'ajoute un troisième facteur, spécifique au contexte professionnel : le scan s'effectue généralement depuis un smartphone personnel, souvent hors du périmètre de sécurité géré par l'entreprise (VPN, proxy filtrant, EDR). L'identifiant professionnel est ainsi exposé sur un terminal totalement invisible pour les équipes de sécurité informatique.

Une menace qui cible directement les identifiants professionnels

L'usurpation de Microsoft 365, vecteur numéro un

Selon Barracuda Networks, l'identité de marque la plus usurpée dans les attaques de quishing analysées est celle de Microsoft 365, représentée dans environ 51 % des campagnes étudiées. Le scénario type reprend toujours la même trame : un email annonce l'expiration prochaine du mot de passe, la nécessité de vérifier le compte, ou une mise à jour requise des paramètres d'authentification multifacteur (MFA). Plutôt qu'un lien classique, l'email invite à scanner un QR code, qui redirige vers une fausse page de connexion Microsoft conçue pour capter les identifiants.

Un cas documenté par Hornetsecurity illustre ce mécanisme en contexte professionnel : une attaque visant un prestataire de services managés (MSP) aux États-Unis reposait sur un faux message signalant la désactivation de l'authentification multifacteur du destinataire, accompagné d'un QR code reprenant le logo de Microsoft Authenticator pour renforcer sa crédibilité. Le code redirigeait vers une page de connexion Microsoft 365 falsifiée, hébergée sur un nom de domaine créé pour l'occasion.

Des campagnes de plus en plus sophistiquées

Les attaquants ne se limitent plus à des QR codes bruts dans le corps d'un email. Selon un cas documenté par Netskope Threat Labs en juillet 2024, une campagne exploitant le service légitime Microsoft Sway pour héberger les pages de phishing a généré une hausse de 2 000 % du trafic malveillant associé, par rapport au premier semestre de la même année. L'intérêt pour les attaquants : l'URL de la page piégée pointe vers un domaine officiel de Microsoft (sway.cloud.microsoft), ce qui rend la détection nettement plus difficile, y compris pour un utilisateur averti qui prendrait la peine de vérifier l'adresse après le scan.

D'autres campagnes ciblent directement les processus RH internes : un faux document envoyé au nom du service des ressources humaines, intégrant un QR code sous couvert de consultation d'un manuel interne, redirige vers une fausse page d'authentification personnalisée au nom du destinataire. Un détail qui renforce artificiellement la crédibilité de l'attaque. Les campagnes les plus avancées vont jusqu'à intercepter les codes de double authentification via des sites proxy en temps réel, neutralisant ainsi une partie de la protection apportée par le MFA classique.

Ampleur du phénomène : ce que disent les chiffres officiels

Le quishing s'inscrit dans une dynamique globale de croissance de l'hameçonnage, largement documentée par les organismes français de référence. D'après le rapport d'activité de cybermalveillance.gouv.fr, la plateforme nationale d'assistance aux victimes a enregistré 420 000 demandes d'assistance en 2024, soit une hausse de 49,9 % par rapport à l'année précédente, pour 5,4 millions de visiteurs uniques. De son côté, l'ANSSI a traité 4 386 événements de sécurité en 2024, soit une progression de 15 % par rapport à 2023, dont 1 361 incidents avérés.

Pour les structures de taille intermédiaire, le baromètre national de la maturité cyber des TPE-PME 2025, réalisé par OpinionWay pour cybermalveillance.gouv.fr, révèle que 16 % des TPE-PME françaises ont subi au moins un incident cyber au cours des douze derniers mois, alors que 75 % d'entre elles disposent d'un budget cybersécurité inférieur à 2 000 euros. Un déséquilibre d'autant plus préoccupant que 43 % des cyberattaques recensées en 2024 ciblaient spécifiquement les TPE et PME.

Sur la tendance de fond, Keepnet Labs a pour sa part signalé une multiplication par cinq du volume de phishing basé sur les QR codes entre 2024 et 2025.

Les conséquences concrètes pour une organisation

Le vol d'un identifiant Microsoft 365 par quishing constitue rarement une fin en soi pour l'attaquant : c'est un point d'entrée. Une fois un compte compromis, les pirates peuvent analyser la messagerie de la victime pour identifier des interlocuteurs sensibles — dirigeants, service comptable, partenaires financiers — et lancer des attaques de spear phishing beaucoup plus ciblées et crédibles depuis un compte interne légitime.

Ce risque s'étend également aux fonctions de support interne. Les informations collectées via une campagne de quishing (nom, poste, historique de connexion) peuvent ensuite être réutilisées pour usurper l'identité d'un collaborateur auprès du service d'assistance informatique, dans le but d'obtenir une réinitialisation de mot de passe ou un déblocage de compte sans authentification renforcée. Ce vecteur, souvent négligé dans les plans de sensibilisation centrés sur l'email, constitue un point de vulnérabilité à part entière.

Enfin, sur le plan opérationnel, la remédiation d'un incident de ce type n'est jamais anodine : elle impose un audit des accès, une vérification de l'absence de comptes supplémentaires compromis, et mobilise les équipes techniques sur plusieurs jours, avec une perte de productivité directe pour l'organisation.

Comment protéger son entreprise contre le quishing

Des mesures techniques adaptées à ce vecteur spécifique

Les solutions de sécurité email natives ne suffisent pas à intercepter ce type de menace, car elles sont conçues pour analyser du texte et des liens, non des images. Il est recommandé de s'appuyer sur des passerelles de sécurité tierces capables d'analyser le contenu des QR codes intégrés dans les emails, pièces jointes PDF et documents Office, via des technologies de reconnaissance visuelle. Le déploiement d'une authentification multifacteur résistante au phishing, s'appuyant sur des clés de sécurité physiques (norme FIDO2) plutôt que sur de simples codes à usage unique, réduit également fortement l'impact d'un vol d'identifiants, ces méthodes ne pouvant pas être interceptées par les sites proxy utilisés dans les campagnes les plus avancées.

Des mesures organisationnelles indispensables

La sensibilisation des collaborateurs doit désormais intégrer spécifiquement le réflexe QR code, au même titre que la vérification des liens et des expéditeurs. Le principe à transmettre est simple : un email professionnel légitime ne demande jamais de scanner un QR code pour vérifier un compte ou réactiver une authentification. Il est également recommandé de renforcer les procédures de vérification d'identité au niveau du service d'assistance informatique, afin qu'une simple connaissance du nom ou du poste d'un collaborateur ne suffise pas à justifier une réinitialisation de compte sensible.

Enfin, toute tentative de quishing identifiée peut et doit être signalée sur la plateforme cybermalveillance.gouv.fr, qui centralise ces signalements pour alimenter les bases de données de menaces au niveau national.

Une menace émergente à intégrer dès maintenant dans la politique de sécurité

Le quishing n'invente pas une nouvelle catégorie de risque : il exploite une lacune précise dans les dispositifs de sécurité existants, pensés pour analyser du texte et non des images. Pour une entreprise, l'enjeu n'est donc pas de remplacer sa stratégie de cybersécurité, mais de l'étendre à ce vecteur spécifique — techniquement, par des outils capables d'analyser les QR codes, et humainement, par une sensibilisation qui traite le scan d'un code au même niveau de vigilance qu'un clic sur un lien. Les organisations qui intègrent ce réflexe dès maintenant réduisent significativement leur exposition à une menace dont la croissance, documentée par plusieurs sources indépendantes, ne montre aujourd'hui aucun signe de ralentissement.

Stim Plus, partenaire de votre protection contre le quishing et les menaces email émergentes

Face à une menace qui contourne les dispositifs de sécurité email classiques, la réponse ne peut pas se limiter à une sensibilisation ponctuelle des équipes. En tant que partenaire IT et cybersécurité des PME, ETI et grands comptes depuis plus de 35 ans, Stim Plus accompagne ses clients sur l'ensemble de la chaîne de protection contre le quishing et les attaques d'hameçonnage avancées :

Audit de votre exposition actuelle : analyse des flux email entrants, des solutions de filtrage en place et de leur capacité réelle à détecter les QR codes malveillants intégrés dans les emails, PDF et documents Office.

Déploiement de solutions de sécurité email adaptées, capables d'analyser le contenu visuel des QR codes et de bloquer les campagnes de quishing avant qu'elles n'atteignent la boîte de réception des collaborateurs.

Que vous souhaitiez évaluer votre niveau d'exposition actuel ou renforcer durablement votre dispositif de sécurité email, l'équipe Stim Plus se tient à votre disposition pour construire une réponse adaptée à la taille et aux enjeux de votre organisation. Contactez-nous à contact@stimplus.com pour en discuter.

Contactez-nous

Remplissez le formulaire ci-dessous pour discuter avec un de nos expert
Nom complet
Entreprise
Numéro de téléphone
Adresse Email
Votre message
Nous avons bien reçu votre message :)
Oups ! Une erreur s'est produite lors de l'envoi du formulaire. Veuillez réssayer.

Un projet informatique ?

Depuis plus de 35 ans, Stim Plus accompagne les entreprises :

 Distribution IT
 Services managés
 Infrastructure
 Cybersécurité
 Cloud computing

Plus de 3 000 clients nous font confiance.
Nous contacter
Partager l'article sur :