Actualités juridiques et digitales

Comment éviter l’arnaque du quishing ?

Rédigé par Haas Avocats | Aug 30, 2024 1:00:16 PM

Par Haas Avocats

Le « quishing » (phishing par QR Code) est une nouvelle cyberattaque exploitant les QR Code, c’est-à-dire des codes-barres à deux dimensions. Cette appellation résulte de la combinaison des mots « QR code » et « phishing » (ou « hameçonnage » en français).

Le phishing repose traditionnellement sur des courriels frauduleux ou des sites web trompeurs. Cette technique a été améliorée au fil des années et se base aujourd’hui sur des éléments réels visant à tromper la personne ciblée. L’un des exemples les plus courants dans le milieu professionnel est « l’arnaque au président ».  

Pourquoi le quishing est de plus en plus courant ?  

Les QR codes visent notamment à faciliter l’expérience utilisateur. Accéder à un menu dès l’arrivée au restaurant, payer son ticket de transport, il suffit d’un smartphone et d’un accès internet pour rapidement ouvrir la page du QR Code et accéder à un bien ou un service. Ainsi, cette arnaque est particulièrement efficace et difficile à détecter pour les utilisateurs non avertis.  

Les attaquants utilisent des QR codes pour rediriger les utilisateurs vers des sites web malveillants ou logiciels malveillants. Ces sites et logiciels, souvent conçus pour imiter des plateformes légitimes, ont pour but de recueillir des informations sensibles, telles que des identifiants de connexion, des mots de passe ou des informations financières. Pourtant, la mise en place de cette arnaque est relativement simple pour les cybercriminels.  

Comment fonctionne le quishing ? 

Tout d’abord, les cybercriminels génèrent un QR code contenant un URL menant à un site web malveillant ayant l’apparence d’un site légitime.  

Le QR code est ensuite distribué par tout moyen. Cette distribution peut se faire par voie électronique (e.g. envoi par courriel, communication sur les réseaux sociaux) ou sur un support matériel (e.g. arrêt de bus, borne de stationnement, table de restaurant). Placés à des endroits stratégiques, les utilisateurs sont aisément incités à scanner le code pour accéder à des produits ou services.  

Enfin, une fois le QR code scanné, l’utilisateur est redirigé vers le site malveillant, lequel peut demander à l’utilisateur de communiquer des informations personnelles ou installer des logiciels malveillants sur l’appareil.  

Comment se protéger contre le quishing ? 

En tant que cyberattaque, l’un des enjeux majeurs du quishing est le vol de données. Or, ces codes-barres sont généralement perçus comme pratiques, ce qui rend leur détournement très efficace.  

Plusieurs précautions peuvent être prises : 

Vérification des sources : avant de scanner un QR code, il faut vérifier d’où il provient. Si le code provient d'une source inconnue, il est préférable de ne pas le scanner. 
Utilisation de scanners de sécurité : certaines applications de scanner de QR code incluent des fonctionnalités de sécurité qui permettent de vérifier l'URL avant de l'ouvrir. Il est recommandé d'utiliser ces applications pour scanner les QR codes. 
Éducation et sensibilisation : les utilisateurs doivent être informés des risques liés au quishing et des signes qui peuvent indiquer une tentative de fraude notamment : offres très favorables au destinataire, emplacement d’un QR code à un endroit inhabituel, superposition de QR codes (parfois très peu visible), distributeur du QR code inconnu, etc.   

Le quishing est une menace croissante. Toutefois, la sensibilisation, la vigilance, la vérification des sources et l'utilisation d'outils de sécurité appropriés permettent de se protéger contre ce type d'attaque. 

*** 

Le Cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il assiste et défend les personnes physiques et morales dans le cadre de contentieux judiciaires et extrajudiciaires. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.