Publié le 20 avril 2026 à 00h00 par Philippe

QR codes piégés : la nouvelle vague de phishing qui cible les smartphones

Longtemps perçus comme un simple outil pratique pour accéder rapidement à un site ou partager des informations, les QR codes sont en train de devenir l’un des vecteurs d’attaque les plus préoccupants du paysage numérique mobile. Une évolution que confirme une récente analyse menée par Unit 42, ainsi que les observations de Zimperium, qui alertent sur la montée en puissance du « quishing », contraction de QR code et phishing.

Une menace en forte progression, difficile à détecter

Selon les données recueillies par les chercheurs, des dizaines de milliers de QR codes suspects sont détectés chaque jour. Plus inquiétant encore, environ 15 % d’entre eux redirigent vers des sites compromis ou directement malveillants. Une tendance qui s’inscrit dans une dynamique plus large : les cybercriminels exploitent désormais massivement ces codes pour contourner les mécanismes de sécurité traditionnels.

Le principe est redoutablement efficace. Contrairement aux liens classiques, les URL encapsulées dans les QR codes ne sont pas visibles à l’œil nu. Elles échappent ainsi aux filtres des messageries et aux systèmes d’analyse d’URL, rendant leur inspection plus complexe. Résultat : l’utilisateur scanne un code en apparence anodin et se retrouve redirigé vers une page frauduleuse ou un contenu infecté, sans alerte préalable.

Pourquoi le mobile est particulièrement vulnérable

Le succès du quishing repose en grande partie sur les usages mobiles. Dans des secteurs comme le commerce, la logistique ou les paiements, le QR code est devenu omniprésent, au point de susciter une confiance quasi automatique chez les utilisateurs.

Cette banalisation joue en faveur des attaquants. D’autant que les QR codes peuvent intégrer des mécanismes sophistiqués : URL raccourcies, redirections multiples, ou encore liens profonds vers des applications. Ces techniques permettent de masquer la destination réelle et de contourner les protections classiques.

Sur smartphone, l’utilisateur est également plus exposé. Les interfaces affichent moins d’informations sur les liens, les contrôles de sécurité sont parfois limités et les comportements sont souvent plus rapides et moins prudents. Autant de facteurs qui facilitent les attaques et augmentent leur taux de réussite.

Des scénarios d’attaque variés et ciblés

Les campagnes de quishing prennent des formes multiples. Les cybercriminels peuvent intégrer des QR codes malveillants dans des emails, des documents PDF, des prospectus ou même des affiches physiques. Dans certains cas, ils remplacent directement des codes légitimes dans des lieux publics ou sur des emballages de produits.

Une fois scanné, le code peut conduire à une fausse page de connexion imitant des services de messagerie, des plateformes cloud ou des outils professionnels. L’objectif est clair : récupérer des identifiants ou détourner des sessions.

La menace ne se limite plus au grand public. Des alertes récentes du Federal Bureau of Investigation pointent l’utilisation de QR codes malveillants par le groupe Kimsuky pour cibler des comptes d’entreprise. Une évolution qui souligne le caractère stratégique de ces attaques, désormais orientées vers les accès professionnels et les données sensibles.

Vers une sécurité mobile repensée

Face à cette montée en puissance, les approches traditionnelles de cybersécurité montrent leurs limites. Le filtrage des emails ou la réputation des URL ne suffisent plus à bloquer des menaces qui transitent en dehors des canaux classiques.

Les experts recommandent désormais une approche centrée sur le terminal mobile lui-même. Cela passe par une inspection en temps réel des liens issus des QR codes, une analyse comportementale des sessions web et une capacité à explorer dynamiquement les liens profonds vers les applications.

Dans ce contexte, les solutions de Mobile Threat Defense (MTD) s’imposent progressivement comme un rempart clé. Celles proposées par Zimperium, par exemple, permettent de détecter et bloquer les contenus malveillants sur l’ensemble des vecteurs mobiles, qu’il s’agisse de SMS, de QR codes ou de documents.

À mesure que le smartphone s’impose comme un point d’entrée central vers les services numériques et professionnels, la sécurisation des interactions initiées par QR code devient un enjeu majeur. Le quishing illustre une transformation profonde des cybermenaces : plus discrètes, plus mobiles et surtout, mieux adaptées aux usages du quotidien.

~~~~~~~~

Guides & Comparatifs France Mobiles