Un email arrive dans votre boite. Il ressemble à s'y méprendre à un message de votre banque, ou peut-être de Microsoft, vous demandant de confirmer votre identité. Dans l'email, un QR code. Vous le scannez avec votre iPhone. Une page s'ouvre, vous entrez vos identifiants. Affaire réglée.
Sauf que vous venez de vous faire voler vos accès.
Ce scénario n'est pas nouveau. Ce qui l'est, c'est que cet email est passé à travers tous les filtres de sécurité de votre messagerie sans déclencher la moindre alerte. Pas parce que les filtres ne fonctionnaient pas, mais parce que les escrocs ont trouvé le moyen de les tromper avec une astuce aussi simple que redoutable.
Le quishing prend en réalité deux formes principales. La première, la plus courante, est celle décrite ci-dessus : un QR code malveillant intégré dans un email. La seconde est physique : un faux QR code collé par-dessus un vrai dans un lieu public — un parking, un restaurant, une caisse de magasin. Dans les deux cas, vous scannez quelque chose qui vous semble normal et vous atterrissez sur une page conçue pour vous soutirer des informations.
Le QR code dans l'email était en réalité composé de deux fichiers image distincts, placés côte à côte dans le code source du message. Sur votre écran, vous ne voyiez qu'une chose : un QR code normal, entier, scannable. Mais les outils de sécurité automatisés, eux, analysent chaque fichier image séparément. Chaque moitié prise seule ne ressemble à rien. Pas d'URL à bloquer, pas de structure reconnaissable. Aucune alarme.
C'est ce qu'on appelle le quishing. Et selon plusieurs rapports de sécurité publiés en 2025 et 2026, le quishing fait partie des formes d'hameçonnage en plus forte croissance.
Selon plusieurs études de sécurité indépendantes publiées entre 2025 et 2026 (Keepnet Labs, Barracuda, APWG) :
Comment ça marche concrètement
La majorité des attaques de quishing utilisent encore un QR code classique — un seul code, bien visible, qui pointe vers une page contrefaite imitant votre banque ou Microsoft. C'est simple, efficace, et suffisant pour tromper beaucoup de monde.
Mais une technique plus récente, documentée par les chercheurs de Barracuda Networks, pousse le concept plus loin. Le QR code est découpé en deux fichiers image distincts, placés côte à côte dans l'email. Sur votre écran, les deux moitiés se rejoignent et forment un QR code parfaitement lisible. Mais les filtres de sécurité, eux, analysent chaque fichier séparément et ne voient que deux petites images sans structure particulière. Rien à signaler.
Cette variante reste pour l'instant minoritaire dans les campagnes observées, mais elle illustre bien comment les techniques évoluent pour contourner les protections qui commencent à faire leurs preuves.
Fichier image 1
Fichier image 2
Ce que voient les filtres de sécurité : deux fichiers image sans structure reconnaissable
Il existe d'autres variantes. Des QR codes construits à partir de simples caractères texte qui, assemblés à l'écran, forment un code lisible. Ou des QR codes en couleurs non standard qui déjouent les outils de détection visuelle. La logique est toujours la même : paraître anodin pour les machines, rester parfaitement fonctionnel pour votre téléphone.
Qu'est-ce que l'escroc fait ensuite
Le QR code n'est qu'une porte d'entrée. Ce qui se passe après dépend de ce que l'escroc cherche.
Le plus souvent : le vol de session. Vous arrivez sur une page qui ressemble à s'y méprendre à votre banque ou à votre messagerie. Vous entrez votre identifiant et votre mot de passe. En arrière-plan, la page s'est connectée au vrai site avec vos informations, a récupéré votre session active et l'a transmise à l'escroc. Résultat : il est connecté à votre compte depuis son propre appareil, sans même avoir besoin de votre mot de passe.
Parfois : la revente des identifiants. Vos données sont simplement enregistrées et revendues. Un accès à un compte email se négocie entre 5 et 50 euros sur les marchés clandestins. Un accès bancaire, plusieurs centaines. Et ce n'est pas toujours utilisé immédiatement — parfois des mois plus tard, quand vous avez depuis longtemps oublié l'incident.
Dans de rares cas : l'installation d'un logiciel espion. Certaines attaques très ciblées, principalement contre des entreprises, exploitent une faille de navigateur pour installer quelque chose en arrière-plan. C'est techniquement possible mais reste exceptionnel, surtout sur iPhone. Les escrocs préfèrent largement voler des identifiants — c'est plus simple, plus rapide et tout aussi rentable.
Trois situations réelles documentées
À la gare de Thornaby, des escrocs ont simplement collé leurs propres QR codes par-dessus les codes officiels du parking. Une victime a scanné le faux code, entré ses coordonnées bancaires sur la fausse page de paiement. Les escrocs ont ensuite utilisé ces données pour contracter un prêt de £7 500 et plusieurs cartes de crédit en son nom. Au total : £13 000 de dettes à rembourser et plusieurs mois de démarches pour rétablir son dossier de crédit.
Source : Digital Media Net, 2026
Des dizaines d'employés ont reçu un faux mémo interne contenant un QR code. Ceux qui l'ont scanné ont atterri sur une page imitant leur outil de travail. Les accès récupérés ont suffi à pénétrer les systèmes internes. La fraude s'est élevée à 2,3 millions de dollars avant que l'incident ne soit détecté.
Source : DualMedia Innovation, mai 2026
En 2025, une campagne coordonnée a placé de faux stickers QR code sur les caisses de 200 boutiques dans plusieurs pays. Les clients pensaient simplement payer leurs achats. 15% des transactions ont été détournées avant que les enseignes ne s'en rendent compte. Le coût total de l'opération pour les enseignes : 2,3 millions de dollars.
Source : Keepnet Labs, avril 2026
Ce que fait votre iPhone — et ce qu'il ne fait pas
Ce que vous devez savoir si vous utilisez un iPhone
Quand vous pointez l'appareil photo vers un QR code, iOS affiche une petite notification en haut de l'écran avec l'adresse du lien. C'est utile, mais attention à deux limites importantes.
- L'adresse est souvent tronquée. "https://bnp-paribas-verification..." peut paraître normal même si la suite est "...compte-secure.ru". Prenez le temps de lire l'adresse en entier avant d'appuyer.
- iOS affiche l'adresse, il ne la vérifie pas. La notification ne vous dit pas si le lien est dangereux.
- Safari affiche l'adresse complète dans la barre pendant le chargement. Si la page s'ouvre très vite, vous ne la verrez peut-être pas.
- L'application Clean Links (gratuite, App Store) est une bonne solution : elle intercepte chaque lien ou QR code, affiche la destination réelle après toutes les redirections, et vous laisse décider d'ouvrir ou non.
Pourquoi même les gens prudents se font avoir
Avec un email classique, le lien est visible. Vous pouvez passer la souris dessus sans cliquer et voir l'adresse réelle. Des années de sensibilisation ont appris ce réflexe à beaucoup de personnes.
Avec un QR code, ce réflexe n'existe pas. Vous ne pouvez pas "survoler" un QR code pour voir où il mène. Vous scannez ou vous ne scannez pas. Et entre le scan et l'ouverture de la page, le délai est si court que vérifier l'adresse demande un effort délibéré que la plupart des gens ne font pas encore automatiquement.
Ce n'est pas une question de négligence. C'est simplement que personne ne nous a encore appris à être méfiant face à un QR code de la même façon qu'on l'est face à un lien dans un email. Les escrocs le savent très bien.
Les bons réflexes
Posez-vous une question simple avant de scanner : est-ce que j'attendais ce message ? Un email de livraison sans commande en cours, un courrier bancaire non sollicité, un document administratif qui tombe du ciel — ce sont des signaux d'alerte, peu importe le format.
Lisez l'adresse avant d'entrer sur la page. Sur iPhone, elle s'affiche brièvement avant que Safari ne s'ouvre. Un vrai site bpost commence par "bpost.be". Une vraie adresse bancaire ne contient pas de tirets, de chiffres au hasard ou un pays improbable à la fin.
Inspectez les QR codes dans les lieux publics. Un sticker légèrement décalé, des bords qui se soulèvent, une impression de moins bonne qualité que le reste du support — ce sont des indices qu'un faux code a été collé par-dessus l'original.
Ne saisissez jamais vos coordonnées bancaires ou votre mot de passe sur une page atteinte via QR code. Si une page vous demande ces informations juste après un scan, allez directement sur le site officiel en tapant l'adresse vous-même dans Safari.
En résumé : un QR code, c'est un lien que vous ne pouvez pas lire avant de cliquer. La même prudence s'applique.
Un vrai QR code — à titre d'exemple
Voici à quoi ressemble un QR code légitime et vérifié.
Celui-ci est le nôtre. Il mène directement à notre page d'avis Google. Vous pouvez le scanner en toute confiance — et si une de nos interventions vous a rendu service, c'est le moment de le faire savoir.
Ce QR code mène vers : search.google.com/local/writereview — page officielle Google
← Épisode 1 : le Smishing · ← Épisode 2 : le Vishing par IA · Épisode 4 : à paraître
Sources et références
- Barracuda Networks — Threat Spotlight: Split and nested QR codes fuel new generation of 'quishing' attacks, août 2025 — lire l'article
- Keepnet Labs — QR Phishing Statistics: Quishing Trends, avril 2026
- Digital Media Net — Quishing Surges 146% in Q1 2026
- Infosecurity Magazine — Hackers Weaponize QR Codes in New Quishing Attacks, avril 2026
- Help Net Security — Clean Links: exposes what's hiding behind a QR code, septembre 2025
- Anti-Phishing Working Group (APWG) — Phishing Activity Trends Report 2025
- NordVPN Research — 73% of users scan QR codes without verifying destination, 2025
Un doute sur la sécurité de vos appareils Apple ?
MacAssistance vous aide à sécuriser votre iPhone, Mac et Apple ID contre les tentatives d'intrusion.
Nous contacter