Nouveau : Candidatures pour rentrée décalée en janvier 2025 ouvertes !

Candidater

Boite à outils

Quishing : tout savoir sur cette attaque par phishing

Si les internautes sont désormais en alerte face aux e-mails douteux, les hackers cherchent toujours d’autres moyens pour tromper leur vigilance. L’utilisation des QR codes fait partie de leurs dernières méthodes en date. Au départ, ces codes bidimensionnels facilitent l’accès à des informations comme ce fut le cas avec le pass sanitaire par exemple. Les hackers l’utilisent désormais pour cacher des liens malveillants, d’où le nom quishing.

Romain Charbonnier
Par Romain Charbonnier
Journaliste indépendant
Contenu mis à jour le
Quishing : tout savoir sur cette attaque par phishing
NB : Contenu en cours de réécriture.

Un faux conseiller bancaire qui envoie un mail, un prétendu recouvrement de la part des impôts, etc. Les hackers ne manquent pas d’idées pour inciter leurs victimes à tomber dans le piège du phishing. La victime reçoit le mail, le lit et clique finalement sur un lien. Si cette dernière va au bout de son processus, elle révèle des informations sensibles comme les coordonnées bancaires ou les identifiants de connexion.

Le quishing repose sur le même principe. L’objectif demeure l’incitation à cliquer sur un lien afin d’obtenir des données personnelles. Seulement, les hackers utilisent le QR code pour cacher le lien malveillant. Malheureusement, les filtres anti-spam sont inefficaces face à ces QR codes. De plus, ils peuvent être imprimés pour être ensuite utilisés. C’est pourquoi les experts en cybersécurité donnent l’alerte sur ce phénomène qui a pris de l’ampleur pendant la pandémie.

Quishing : tout savoir sur cette attaque par phishing

Qu’est-ce que le code QR ?

Quishing : tout savoir sur cette attaque par phishing

Le code QR, quick response pour QR, est un code-barre bidimenssionnel pouvant être scanné par un smartphone ou un outil dédié. Il se distingue du code-barre unidimensionnel collé sur les produits dans les grandes surfaces en plusieurs points :

  • Il a la capacité à stocker une quantité de données plus importante ;
  • Sa vitesse de transmission des données ;
  • La possibilité de scanner le code même s’il est endommagé.

Les premiers QR codes ont vu le jour en 1994, initiés par l’industrie automobile japonaise. Son utilisation gagne en popularité pendant la pandémie et les périodes de confinement. 

Les utilisateurs se sont habitués au scan de ce code dans la vie quotidienne. Le QR code séduit les professionnels en raison du nombre de données qu’il peut contenir. Les marques l’utilisent par exemple pour le traitement des paiements. Le secteur du marketing s’en sert à des fins publicitaires. Aujourd’hui, les QR codes se trouvent même sur les panneaux d’affichage.

Deux types de codes QR coexistent :

  • Les codes statiques ;
  • Les codes dynamiques.

Les codes statiques permettent de coder des informations non modifiables. Le créateur du code ne peut plus effectuer de mise à jour sur le contenu. Ce type de code est utilisé pour le partage d’informations comme le mot de passe wifi par exemple ou les identifiants de connexion.

De son côté, les codes dynamiques permettent de modifier les informations dans le code sans altérer son apparence. Dans ce cas, les codes redirigent vers l’URL d’un serveur qui stocke les données. Le code QR redirige ainsi vers le lien. L’utilisateur accède à des informations qui sont toujours mises à jour.

QR code Guardia Cybersecurity School

QR code Guardia Cybersecurity School

Gratuit
Téléchargez Le Grand Livre de la cybersécurité
Plus de 180 pages d’articles indispensables rédigés par des experts pour vous aider à mieux comprendre le secteur de la cybersécurité.
Téléchargez gratuitement le Grand Livre DE LA CYBERSÉCURITÉ

Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49

Le quishing : une nouvelle forme d’attaque dérivée du phishing

L’utilisation des QR codes a pris de l’ampleur pendant la pandémie, à cause notamment des pass sanitaires présent dessus. D’autres secteurs l’ont utilisé par la suite à l’instar des restaurants, des transports publics et de l’affichage.

La plateforme d’échanges de cryptomonnaies Coinbase l’a par exemple utilisé pendant le Super Bowl de 2022. Elle a incité les internautes à scanner le QR code affiché à l’écran pour télécharger l’application. Cette publicité a permis à Coinbase d’augmenter le téléchargement de son application de 309 %.

Quishing : tout savoir sur cette attaque par phishing

Cette montée de la popularité du QR code attire les hackers. Les escroqueries se multiplient et les victimes ayant scanné les codes voient leur compte vidé. Cette méthode est appelée quishing, une combinaison entre « quick response code » et « phishing ».

Comme le phishing, le quishing redirige les victimes vers un faux site ou les invite à télécharger un fichier rempli de virus. Sachant qu’un code QR peut abriter des liens, des portails de paiement ou des documents, les hackers s’en servent pour cacher de faux portails et des virus.

Les codes QR se trouvent généralement à la fin d’un e-mail de phishing. Aucun indice ne permet au destinataire de reconnaître la source derrière les codes. Le logiciel malveillant s’installe directement sur l’ordinateur de la victime dès qu’elle commence à scanner le code.

Les codes QR peuvent également se trouver sur les affichages, dans un lieu public où les victimes peuvent le scanner facilement. Pourtant, après le scan, on leur demande de fournir des informations sensibles comme les coordonnées bancaires.

Vous souhaitez travailler dans la cybersécurité ?
2 FORMATIONS DE POST BAC À BAC+5 100% dédiées à la cybersécurité
Nos programmes de formation sont pensés avec les entreprises du secteur de la cybersécurité et du digital pour maximiser l’employabilité de nos étudiants. Le Bachelor a été construit pour transmettre de solides bases de développement informatique tout en parcourant progressivement les notions clés de la cybersécurité. Le MSc est à 100% dédié à la cyber et spécialise dans un métier de la cybersécurité. Nos diplômes sont reconnus par les entreprises et par l’Etat, ils délivrent en fin de cursus un titre RNCP de niveau 6 (Bac+3) ou 7 (Bac+5).

Comment fonctionne le quishing ?

Il existe aujourd’hui plusieurs générateurs de QR code gratuits en ligne. En seulement deux clics, un utilisateur peut l’obtenir. Cependant, ce processus facilite également le travail des hackers. Il ne reste plus qu’à insérer le QR code dans un mail frauduleux aux couleurs d’une organisation connue. Néanmoins, les générateurs de ces QR codes gratuits ont limité le nombre de scans. Cela permet de contenir la menace.

L’exemple le plus célèbre d’une entreprise victime de quishing est la banque ING. L’établissement permet à ses clients de s’identifier par QR code. Malheureusement, ces QR codes d’authentification ont été détournés par les hackers. Ces derniers ont pu dérober les identifiants de centaines de comptes et voler des milliers d’euros.

Les acteurs de la filière restent néanmoins confiants. Les QR codes sont difficiles à détourner. Les hackers ont du mal à déchiffrer leurs multiples encodages. La preuve : près de 2,4 milliards de mails cachent des tentatives de phishing par jour. Pourtant, une plateforme de QR code génère des millions, voire quelques milliards par an. Ces chiffres signifient que le quishing reste une méthode marginale. Les utilisateurs doivent quand même rester en alerte en adoptant les mêmes réflexes qu’avec le phishing.

Quishing : tout savoir sur cette attaque par phishing

Quelques exemples de cas d’attaques par quishing

L’ING Bank. Les utilisateurs peuvent accéder à leur compte sur un second appareil en scannant le code QR. Les cybercriminels ont manipulé les codes QR pour rediriger les utilisateurs vers une fausse page de connexion. Les clients moins prudents ont vu leur compte déduit de plusieurs milliers d’euros.

En 2022, les hackers ont usurpé l’identité du ministère chinois des Finances et envoyé des milliers d’e-mails de quishing. Les destinataires ont été invités à scanner un code à partir de WeChat, une application de paiement. Une fois le scan terminé, ils étaient redirigés vers un formulaire à remplir avec des informations sur les coordonnées bancaires et les cartes de crédit.

En 2022, les conducteurs texans étaient invités à scanner un code QR pour payer un ticket de stationnement. Ces faux autocollants étaient placés sur les bornes de stationnement. Heureusement, les autorités locales ont identifié l’escroquerie plus tôt.

Quishing : tout savoir sur cette attaque par phishing

Comment se protéger du quishing ?

Quishing : tout savoir sur cette attaque par phishing

Sachant que le quishing repose sur les mêmes méthodes que les attaques de phishing, les mêmes recommandations s’appliquent, comme :

  • Une vérification minutieuse de l’adresse de l’expéditeur.
  • Une attention particulière aux fautes d’orthographe et au manque d’effort en matière de mise en page.
  • Prudence reste de mise quant au téléchargement de pièces jointes et au clic sur un lien douteux.

Le quishing présente quand même des spécificités impliquant des recommandations supplémentaires :

  • La méfiance à l’égard des codes QR proposant des offres commerciales alléchantes. Si le message provient d’une marque par exemple, il est préférable de vérifier la promotion sur le site officiel avant de scanner le code.
  • La prévisualisation de l’URL de destination est disponible sur certaines applications de numérisation. Elle permet de vérifier le lien avant d’y accéder et de se prémunir du téléchargement par inadvertance des logiciels malveillants.
  • L’utilisation d’un lecteur de code QR fiable est indispensable. Bien que les smartphones soient équipés de scanner intégré, certains utilisateurs préfèrent télécharger une application. Il y a quelques années, des hackers ont mis en ligne des mises à jour frauduleuses des lecteurs de code QR.
  • La prudence est de mise face à un code QR redirigeant vers un formulaire demandant des informations personnelles. Si tel est le cas, il faut en premier temps vérifier le logo et l’URL de la page. Cependant, certains hackers arrivent à faire une copie très similaire d’un site.
  • L’authentification à deux facteurs représente une couche de protection supplémentaire sur un téléphone et aux comptes. Même si le cybercriminel obtient le mot de passe d’un compte, il ne pourra pas y accéder sans la deuxième authentification.
  • La sensibilisation à la sécurité reste indispensable en milieu professionnel. Les employés se tiennent ainsi au courant des nouvelles pratiques des cybercriminels.

Quishing : tout savoir sur cette attaque par phishing

01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110

C'est quoi le phishing ?

Le phishing est une technique utilisée par des cybercriminels pour obtenir des informations personnelles sensibles telles que des identifiants de connexion, des numéros de carte de crédit, ou des données financières. Cela se fait généralement en envoyant des e-mails, des messages ou des liens frauduleux qui semblent légitimes pour inciter les utilisateurs à divulguer leurs informations. Ces attaques visent à usurper l'identité de la victime ou à infecter son système avec des logiciels malveillants.

C'est quoi le quishing ?

Le quishing fonction exactement comme le phishing mais se base sur l'utilisation de QR code comme point de départ.

Comment peut-on se prémunir contre le quishing ?

Pour se protéger, il est crucial de vérifier attentivement l'expéditeur, d'être vigilant aux fautes et à la mise en page, de ne pas télécharger de pièces jointes ni cliquer sur des liens suspects. Il est également important de se méfier des QR codes proposant des offres commerciales et de prévisualiser l'URL de destination avant de scanner le code. Utiliser un lecteur QR fiable et opter pour l'authentification à deux facteurs sont des mesures supplémentaires de sécurité recommandées.