55% des Français admettent être la cible de phishing au moins une fois par mois, d'après une étude publiée par Kaspersky, une société de cybersécurité. En somme, un fraudeur vous envoie un mail ou un SMS, en se faisant passer pour un organisme ou une personne que vous connaissez. Son but ? Récupérer vos données personnelles afin de détourner votre argent ou d’usurper votre identité. 

Très répandue, l’arnaque au phishing (hameçonnage, en français) est aussi de plus en plus connue. Pour preuve, 69% des Français estiment savoir de quoi il s’agit. Mais un nouveau venu au pays des arnaques risque fort de rebattre les cartes, il s’agit du quishing. Contraction de “QR code” et “Phishing”, le quishing consiste à utiliser un QR code pour hameçonner une victime potentielle. Une technique qui a déjà coûté plusieurs milliers d’euros aux clients d’une fameuse banque en ligne. On vous explique comment elle fonctionne et comment l’éviter. 

Le quishing, comment ça marche ? 

Pour soutirer un maximum d’informations à leurs victimes, certains arnaqueurs n’hésitent pas à utiliser les QR code. Il présente deux avantages majeurs pour les hackers. Le premier, c’est que le QR code est difficilement détectable par les logiciels anti-spam (contrairement aux mails de phishing). Le second, c’est que le QR code est facilement déclinable sur d’autres supports. Une fois imprimé, il peut être affiché dans divers lieux, publics ou privés (parking, transports en commun, affiche publicitaire, prospectus …) et scanner par un maximum de monde. 

Mais comment ça marche exactement ? Le hacker commence par générer un QR code.  Envoyés par mail, par SMS, ou affichées dans l’espace public, ces QR codes contiennent un malware (logiciel malveillant), ou un lien vers un site frauduleux. Une fois que la victime l’a scanné, soit elle est amenée à renseigner ses informations personnelles, soit à télécharger un fichier dont le but est de compromettre son appareil. In fine, le hacker accède aux données de la victime. 

Comment ne pas se faire avoir ?

Interrogé par UFC Que Choisir, Vincent Biret, PDG d’Unitag (l’une des grandes plateformes de QR codes), temporise : « Ce type de détournement est de plus en plus complexe. Un QR code contient de multiples encodages, avec une redondance des différents modules difficiles à déchiffrer. On estime que dans le monde, 2,4 milliards de courriels par jour sont des tentatives de phishing. À titre de comparaison, chez Unitag, nous avons généré 25 millions de QR codes en 2023 et seuls 1 500 se sont avérés frauduleux. »

Rassurez-vous, si le phishing a augmenté de 61% en Europe, l’arnaque au QR cCode semble donc être marginale. Il convient tout de même d’adopter ces quelques bonnes pratiques pour éviter les arnaques. 

👉Lorsque vous avez un doute sur la provenance du message, ne cliquez jamais sur les liens…et ne flashez pas les QR code.

👉Comme pour le phishing, méfiez-vous des offres qui semblent trop alléchantes, des messages qui produisent un sentiment d’urgence ou des alertes relatives à une situation critique, des mises en page hasardeuses ou des fautes d’orthographe dans les courriels officiels, des demandes de renseignements personnels…

👉Lorsque vous avez un doute sur la provenance du message, contactez directement la personne ou l’organisme concerné. Sachez notamment que les QR code sont peu employés dans les messages d’entreprises ou d’organismes publics. 

👉Pour en savoir plus, rendez-vous sur le site cybermalveillance.gouv.fr ou sur notre rubrique “Sécurité”.