Les cyberattaques sont nombreuses et se renouvellent jour après jour. À l’ère du numérique, les cyberattaquants ne cessent d’innover leurs méthodes.
Alors que les utilisateurs connaissaient le phishing, cette escroquerie en ligne consistant à faire cliquer sur un lien frauduleux afin de voler les données personnelles, une nouvelle cyberattaque voit le jour : le quishing.
Qu’est-ce que le quishing ?
Depuis la pandémie de la Covid-19, force est de constater un réel développement des QR codes (“Quick Response Code”). Ces codes sont définis comme des dessins composés de carrés, pouvant être photographiés afin d’obtenir des informations ou de diriger la personne vers une page web.
Aujourd’hui, ils sont partout : sur les tables des restaurants pour afficher leur carte, sur des affiches afin de diriger vers un site web, sur les étiquettes de vêtements pour envoyer directement sur le site du magasin, sur les billets de trains, dans les mails, etc.
Face à ce développement, les cyberattaquants ont vu une nouvelle opportunité. C’est ainsi qu’est apparu le quishing. Il s’agit d’un hameçonnage ou phishing à l’aide d’un QR code.
Pour eux, l’avantage est double :
- Le quishing est très difficile à démasquer : les anti-spams ne les repèrent pas
- Le QR code est souvent scanné à l’aide d’un téléphone, qui est beaucoup moins protégé qu’un ordinateur ou une tablette et donc plus vulnérable.
Comment fonctionne le quishing?
Les QR codes étant intégrés à notre quotidien, il était à prévoir que des personnes malintentionnées mettent en œuvre des dérives.
La personne peut, par exemple, envoyer un mail basique de phishing. Ce mail semblera provenir d’un site officiel et familier comme une banque, la CAF, la Poste, le site des impôts, etc. Il s’agira d’un mail alarmiste, comme une situation anormale sur le compte de la victime ou un colis en attente de livraison. Ce mail précisera qu’afin de régulariser la situation, il est nécessaire de scanner le QR code présent dans le mail.
Ainsi, face à la supposée urgence, la victime effectuera la demande sans se questionner et rentrera ses informations confidentielles sur le site internet obtenu via le QR code. Le cyberattaquant pourra donc récupérer les informations confidentielles de la victime afin de les utiliser ultérieurement.
Il est possible, également, de coller un QR code malveillant sur un vrai. Que ce soit dans un magasin, un parking, ou un musée, nombreux sont les lieux nécessitant le scan d’un QR code. Par exemple, pour le parking, le QR code malveillant sera collé sur l’original, destiné au paiement. Ainsi, le paiement ne sera pas fait au parking, mais au cyberattaquant. Ceci est arrivé au Texas, en décembre 2021, où il été trouvé de faux QR codes sur des bornes de stationnement payantes de la ville.
Comment éviter le quishing ?
Afin d’éviter d’être victime de cette attaque, il est crucial de ne pas scanner n’importe quel QR code. En effet, il faut être vigilant face aux stickers dans la rue. Quoi qu’il arrive, vérifier l’adresse complète une fois le QR code scanné est indispensable avant d’entrer quelconque donnée personnelle. Sur le site, il est nécessaire de vérifier également le graphisme, l’orthographe et le logo du site.
Olivia MARTIN
M2 Cyberjustice – Promotion 2023/2024
Sources :
- Phishing (hameçonnage) | Service-Public.fr.
- Le « quishing » : l’hameçonnage par QR code | Cyber Cover
- Franceinfo conseil. Attention au « quishing », une arnaque qui se cache derrière de faux QR codes
- Beware of ‘Quishing’: Criminals Use QR Codes to Steal Data