Technologies
En l’espace de douze mois, les campagnes de quishing ont augmenté d’environ 25 %, au point de représenter aujourd’huijusqu’à un quart des attaques de phishing utilisant ce vecteur comme principal leurre. Le principe est simple : des QR codes malveillants, intégrant des liens contrôlés par des hackers, redirigent les victimes vers des sites frauduleux optimisés pour les écrans mobiles.
Ces pages imitent des services bien connus — plateformes cloud, VPN, outils collaboratifs — afin de voler identifiants et mots de passe, voire de contourner l’authentification multifacteur (MFA).
Diffusés par e-mail, documents numériques ou supports imprimés (affiches, courriers, badges), les QR codes incitent les utilisateurs à quitter les environnements informatiques sécurisés de l’entreprise. Le scan se fait le plus souvent depuis un smartphone personnel ou non géré, échappant aux protections traditionnelles déployées sur les postes de travail.
Une fois scanné, le QR code conduit vers un faux portail conçu pour une compromission rapide, exploitant la confiance accordée à ce geste devenu routinier.
Zimperium observe une montée en puissance des stratégies mobile-first, dans lesquelles le smartphone est au cœur du scénario d’attaque. Certaines campagnes s’inspirent notamment des méthodes du groupe Kimsuky, combinant ingénierie sociale, fausses applications et diffusion ciblée sur mobile.
Comme l’explique Nicolás Chiaraviglio, Chief Scientist chez Zimperium :
« Les cybercriminels exploitent le manque de visibilité et de protection sur les appareils mobiles. Les QR codes sont redoutablement efficaces, car l’utilisateur ne peut pas inspecter l’URL et perçoit le scan comme une action anodine. »
Contrairement aux liens traditionnels, les QR codes encapsulent les URL dans des images. Cette particularité leur permet de contourner de nombreux mécanismes de sécurité : réécriture d’URL, sandboxing, filtrage par réputation ou analyse préalable.
L’attaque ne se déclenche qu’au moment du scan, souvent sur un appareil mobile insuffisamment protégé. Les cybercriminels peuvent ainsi diffuser des pages de phishing ciblées, furtives et difficiles à détecter en amont.
Pour les organisations, le quishing représente une menace stratégique. Des identifiants compromis sur mobile peuvent être rapidement exploités pour accéder aux services cloud, faciliter des mouvements latéraux ou lancer de nouvelles campagnes de spear-phishing depuis des boîtes mail professionnelles détournées.
Face à cette évolution, la cybersécurité ne peut plus se limiter aux postes de travail. Zimperium souligne la nécessité d’étendre les dispositifs de sécurité jusqu’aux smartphones. Sa solution de Mobile Threat Defense (MTD) analyse les QR codes scannés, inspecte leurs destinations et bloque l’accès aux infrastructures de phishing — connues comme inconnues — avant toute compromission.
À l’heure où le QR code est devenu un réflexe, le rapport rappelle une réalité essentielle : sur mobile, un simple scan peut suffire à ouvrir la porte à une attaque majeure.
ATT : revers judiciaire pour les éditeurs français face au géant Apple
