Les QR codes détournés en armes de phishing ciblant le mobile

Longtemps perçus comme de simples passerelles pratiques entre le monde physique et le numérique, les QR codes sont désormais au cœur d’une menace cyber en pleine expansion. Selon Zimperium, leader mondial de la sécurité mobile, les attaques de phishing reposant sur des QR codes malveillants, désormais désignées sous le terme de « quishing », connaissent une progression alarmante. En l’espace d’un an, ce type de campagne a bondi d’environ 25 %, représentant aujourd’hui jusqu’à un quart des attaques d’hameçonnage exploitant ce vecteur comme leurre principal.

Une mécanique d’attaque pensée pour le mobile

Le principe du quishing repose sur l’intégration de liens malveillants directement dans des QR codes. Une fois scannés, ces derniers redirigent les victimes vers des pages frauduleuses, spécialement conçues pour les usages mobiles. L’objectif est clair : dérober des identifiants, intercepter des informations sensibles et, dans certains cas, contourner les mécanismes d’authentification multifacteur (MFA).

Ces QR codes circulent via des canaux variés : e-mails professionnels, documents numériques, invitations, mais aussi supports imprimés tels que des affiches, des flyers ou des courriers. Leur efficacité tient notamment au fait qu’ils incitent l’utilisateur à quitter un environnement de travail sécurisé pour utiliser un smartphone personnel ou un terminal mobile non géré par l’entreprise.

Des faux portails indiscernables sur smartphone

Une fois le QR code scanné, l’utilisateur est dirigé vers de faux portails imitant à la perfection des services cloud, des VPN d’entreprise ou des plateformes collaboratives. Sur un écran de smartphone, où l’URL complète est rarement visible et où les contrôles de sécurité sont souvent absents ou limités, la supercherie devient difficile à détecter.

Cette approche favorise une compromission rapide des comptes, d’autant plus que les attaques sont souvent conçues pour s’adapter au contexte de la victime, renforçant leur crédibilité.

La montée en puissance des attaques « mobile-first »

Zimperium observe par ailleurs une adoption croissante de stratégies dites « mobile-first » de la part des cybercriminels. Ces méthodes privilégient le smartphone comme point d’entrée principal dans les systèmes d’information. Certaines campagnes, inspirées notamment des techniques attribuées au groupe Kimsuky, combinent ingénierie sociale, fausses applications mobiles et vecteurs de diffusion spécifiquement pensés pour le mobile.

« Les cybercriminels exploitent le manque de visibilité et de protection sur les appareils mobiles pour contourner les défenses traditionnelles. Les QR codes sont particulièrement efficaces, car l’utilisateur ne peut pas inspecter visuellement l’URL de destination et perçoit le scan comme une action anodine », explique Nicolás Chiaraviglio, Chief Scientist chez Zimperium.

Des QR codes qui échappent aux défenses classiques

Contrairement aux liens cliquables traditionnels, les QR codes encapsulent les URL dans des images. Ce simple détail technique leur permet de passer sous le radar de nombreux dispositifs de sécurité existants, tels que la réécriture d’URL, le sandboxing ou encore les systèmes de détection par réputation.

L’attaque ne se déclenche qu’au moment du scan, généralement depuis un appareil mobile non protégé. Cette temporalité complique la détection et permet aux attaquants de diffuser des pages de phishing de manière ciblée et furtive.

Un risque opérationnel majeur pour les entreprises

Pour les organisations, le quishing constitue une menace stratégique. Des identifiants compromis sur mobile peuvent être rapidement réutilisés pour accéder à des services cloud critiques, faciliter la prise de contrôle de comptes professionnels, permettre des mouvements latéraux au sein du système d’information et alimenter de nouvelles campagnes de spear-phishing à partir de boîtes mail légitimes désormais compromises.

Ce phénomène accentue la porosité entre usages personnels et professionnels, fragilisant les politiques de sécurité traditionnelles encore largement centrées sur les postes de travail.

Étendre la sécurité jusqu’au terminal mobile

Face à cette évolution, Zimperium plaide pour une approche globale de la cybersécurité intégrant pleinement les terminaux mobiles. Sa solution de Mobile Threat Defense (MTD) vise à détecter les QR codes malveillants, analyser leurs destinations et bloquer l’accès aux infrastructures de phishing, qu’elles soient déjà connues ou totalement inédites, avant toute compromission.

Dans un contexte où le smartphone est devenu un outil de travail à part entière, la montée en puissance du quishing rappelle une réalité incontournable : la sécurité ne peut plus s’arrêter aux frontières du poste de travail et doit désormais s’étendre jusqu’au mobile, nouveau maillon faible exploité par des cybercriminels toujours plus agiles.