Un QR code collé sur une borne de recharge, une affiche en salle d’attente, un e-mail d’apparence officielle… En 2025, les cybercriminels ont trouvé une nouvelle surface d’attaque discrète et redoutablement efficace : le quishing. Contraction de « QR code » et de « phishing », cette technique détourne les codes QR pour rediriger les victimes vers des sites frauduleux, voler des identifiants ou installer des logiciels malveillants. En France, les signalements ont explosé depuis 2023, touchant aussi bien les particuliers que les TPE/PME de régions comme Roanne, Lyon et l’ensemble de l’Auvergne-Rhône-Alpes.
Contrairement au phishing classique par e-mail, le quishing QR code passe sous les radars de la plupart des filtres antispam — et exploite une habitude du quotidien que nous avons tous adoptée sans méfiance.
Qu’est-ce que le quishing ? Définition et fonctionnement
Le quishing est une forme évoluée de phishing qui substitue le lien hypertexte cliquable par un QR code. Le principe est simple : l’attaquant génère un QR code qui pointe vers une URL malveillante, puis le diffuse via des canaux variés :
- E-mails frauduleux : factures falsifiées, notifications RH, alertes de sécurité ;
- Faux QR codes physiques : autocollants apposés sur des bornes de paiement, des menus de restaurant, des parkings ou des arrêts de bus ;
- Documents d’entreprise piégés : PDF, présentations PowerPoint ou contrats contenant un QR code en lieu et place d’un lien officiel ;
- Réseaux sociaux et messageries : partages viraux de bons de réduction ou de concours fictifs.
Une fois que la victime scanne le code avec son smartphone, elle est redirigée vers une page imitant un service légitime (espace client bancaire, portail RH, outil SaaS professionnel). La page collecte les identifiants saisis, parfois les données de carte bancaire, voire installe un malware en arrière-plan.
Pourquoi le quishing est-il si difficile à détecter ?
Trois raisons expliquent son efficacité croissante :
- Invisibilité technique : le QR code est une image, pas un lien texte. Les passerelles de messagerie et les antivirus ne lisent pas leur contenu.
- Confiance acquise : nous avons intégré le réflexe de scanner les QR codes depuis la pandémie de COVID-19. Le geste est automatique, la vigilance est faible.
- Bascule vers le mobile : sur smartphone, l’URL de destination s’affiche brièvement et dans un format condensé — difficile de repérer une adresse frauduleuse en une fraction de seconde.
Quels sont les risques pour les TPE/PME ?
Pour une entreprise, les conséquences d’une attaque par quishing peuvent être multiples et sévères :
- Compromission de comptes professionnels : messagerie, outils collaboratifs (Microsoft 365, Google Workspace), ERP ou logiciels comptables ;
- Vol de données clients ou fournisseurs, engageant la responsabilité de l’entreprise au titre du RGPD (CNIL) ;
- Infection par ransomware : un QR code peut déclencher le téléchargement d’un cheval de Troie qui prépare une attaque au rançongiciel ;
- Fraude financière : redirection vers une fausse interface bancaire pour détourner des virements.
Les PME industrielles, les cabinets comptables, les professions libérales et les commerces de proximité — très présents dans la Loire et la région lyonnaise — sont particulièrement exposés. Ils traitent quotidiennement des QR codes légitimes (bons de livraison, catalogues fournisseurs, portails clients) et n’ont pas toujours les réflexes pour en détecter les contrefaçons.
| Scénario | Canal | Objectif de l’attaquant |
|---|---|---|
| Fausse facture fournisseur avec QR code | Vol d’identifiants portail comptable | |
| Autocollant sur borne de recharge véhicule | Physique | Vol de données bancaires |
| QR code dans PDF de contrat | Document | Installation de malware |
| Fausse notification RH (bulletin de paie) | E-mail / messagerie interne | Compromission compte Microsoft 365 |
| Bon de réduction partagé sur WhatsApp | Messagerie instantanée | Vol de données personnelles |
Bonnes pratiques pour se protéger du quishing
La protection contre le quishing QR code repose sur des réflexes simples, applicables immédiatement sans investissement technique majeur.
Pour les particuliers
- Vérifier l’URL avant d’ouvrir : la plupart des appareils affichent brièvement l’adresse avant de l’ouvrir. Prenez le temps de la lire et méfiez-vous des URL raccourcies ou avec des noms de domaine suspects.
- Ne jamais saisir de données sensibles (mot de passe, numéro de carte) sur une page ouverte via QR code, sauf si vous avez scanné vous-même un support officiel et vérifié.
- Signaler sur Cybermalveillance : toute tentative peut être déclarée sur Cybermalveillance.gouv.fr.
Pour les TPE/PME
- Former les collaborateurs à ne jamais scanner un QR code reçu par e-mail sans vérification préalable de l’expéditeur.
- Inspecter physiquement les supports : un autocollant superposé sur un QR code officiel est un signal d’alerte fort.
- Déployer une solution de filtrage mobile (MDM — Mobile Device Management) qui analyse les URL avant ouverture sur les appareils professionnels.
- Activer l’authentification multi-facteurs (MFA) sur tous les comptes critiques : même si un mot de passe est volé, le MFA bloque l’accès. L’ANSSI recommande cette mesure en priorité.
- Mettre en place une charte d’usage des QR codes internes : format standardisé, domaine officiel, signature visuelle reconnaissable.
Focus local : Roanne, Loire et Auvergne-Rhône-Alpes
La région Auvergne-Rhône-Alpes est l’une des plus dynamiques économiquement de France, avec un tissu de TPE/PME très dense dans les secteurs industriels, agroalimentaires et de services. De Roanne à Lyon, en passant par Charlieu, Paray-le-Monial et Mâcon, les entreprises locales adoptent massivement les QR codes pour la dématérialisation (menus, bons de commande, catalogues) — ce qui en fait une cible de choix pour les campagnes de quishing.
Les artisans, les commerçants et les professions libérales roannais utilisent fréquemment des QR codes sur leurs supports de communication. Un simple autocollant frauduleux posé sur leur vitrine ou leur comptoir peut compromettre leurs clients. La sensibilisation au quishing reste encore très insuffisante dans ces secteurs.
La Chambre de Commerce et d’Industrie de la Loire ainsi que les réseaux d’accompagnement des entreprises encouragent les PME à se rapprocher de prestataires en cybersécurité locaux pour des audits et des formations adaptées à leur réalité opérationnelle. RACCOON Cybersecurity, basé à Roanne, intervient sur l’ensemble de la région pour accompagner ces démarches.
Conclusion : le QR code n’est plus neutre — agissez avant d’être victime
Le quishing QR code illustre parfaitement l’ingéniosité des cybercriminels modernes : s’approprier les outils du quotidien pour contourner nos défenses. Face à cette menace, la vigilance ne suffit pas seule — elle doit s’appuyer sur des procédures claires, une formation régulière et des outils techniques adaptés.
Vous êtes dirigeant d’une TPE ou d’une PME en Loire ou en Auvergne-Rhône-Alpes ? Contactez RACCOON Cybersecurity pour un audit de vos usages numériques et une sensibilisation de vos équipes au quishing et aux cybermenaces actuelles. Nos experts interviennent à Roanne et dans toute la région.
Ressources officielles :
- Hameçonnage et phishing — Cybermalveillance.gouv.fr
- Guide cybersécurité TPE/PME — ANSSI
- Violations de données personnelles — CNIL
FAQ — Quishing et QR codes malveillants
Le quishing, c’est différent du phishing classique ?
Oui. Le phishing classique utilise un lien texte dans un e-mail ; le quishing utilise un QR code, qui est une image. Cette différence est cruciale : les filtres antispam et antivirus analysent les liens texte, mais ne décodent généralement pas les QR codes, ce qui rend le quishing beaucoup plus difficile à bloquer automatiquement.
Comment savoir si un QR code est sécurisé avant de le scanner ?
Il n’existe pas de moyen visuel fiable à 100%. Néanmoins : vérifiez que le QR code n’est pas un autocollant superposé à un support existant, prévisualisez l’URL affichée avant d’ouvrir (la plupart des appareils photo le font), et méfiez-vous des URL raccourcies (bit.ly, tinyurl, etc.) qui masquent la destination réelle.
Un simple scan suffit-il à infecter mon téléphone ?
Le scan seul ne suffit généralement pas. C’est l’ouverture de la page web et l’interaction avec elle (saisie de données, téléchargement d’un fichier, autorisation accordée à une application) qui expose à un risque. Cependant, sur certains navigateurs non mis à jour, des exploits peuvent agir dès l’ouverture de la page. Il est donc essentiel de maintenir son système et ses applications à jour.
Que faire si j’ai scanné un QR code suspect ?
Ne saisissez aucune donnée sur la page ouverte. Fermez immédiatement le navigateur. Si vous avez déjà saisi des identifiants, changez votre mot de passe sans délai depuis un autre appareil. Signalez l’incident sur Cybermalveillance.gouv.fr. Si l’incident concerne un appareil professionnel, alertez votre responsable informatique ou votre prestataire cyber.
Les QR codes que j’utilise dans ma communication d’entreprise sont-ils sûrs ?
Si vous avez généré vos propres QR codes pointant vers votre site ou vos outils internes, ils sont a priori sûrs — à condition que votre site soit lui-même sécurisé (HTTPS, sans malware). Le risque vient des QR codes reçus de l’extérieur ou de supports physiques qui pourraient avoir été trafiqués. Une bonne pratique est d’afficher à côté du QR code l’URL complète qu’il contient, pour que les utilisateurs puissent vérifier.
Le quishing peut-il toucher les bornes de paiement ou les parkings à Roanne et Lyon ?
Oui, des cas ont été signalés en France sur des bornes de recharge électrique, des horodateurs et des parkings utilisant des QR codes pour le paiement. Des autocollants frauduleux sont apposés sur les QR codes officiels. Avant de scanner une borne dans la rue, vérifiez toujours que le QR code n’est pas un autocollant et que l’URL affichée correspond bien au service attendu.