MtoM Mag - Le journal de l'MtoM.

Initialement conçus pour partager des URL ou des données, les QR codes deviennent un vecteur d’attaque privilégié par les cybercriminels, qui exploitent leur omniprésence et la confiance qu’ils inspirent. Une récente analyse des menaces menée par Unit 42 met en évidence la forte progression de l’utilisation de QR codes à des fins de phishing et de diffusion de malwares. En encapsulant des liens difficiles à inspecter par les outils de sécurité traditionnels, ils contournent les filtres des messageries et d’URL et redirigent les victimes vers des contenus frauduleux ou malveillants. Le rapport fait état de dizaines de milliers de détections quotidiennes de QR codes suspects, dont environ 15 % mènent à des sites corrompus. Ces observations concordent avec les données télémétriques de Zimperium, qui constate un flux constant d’attaques par quishing (QR-phishing).

Pourquoi le quishing est particulièrement efficace sur mobile ?

Ce type d’attaque repose sur plusieurs facteurs qui le rendent particulièrement redoutable pour les utilisateurs mobiles. Largement utilisés dans le retail, la logistique, les paiements et la relation client, ils suscitent peu de méfiance, réduisant la vigilance des utilisateurs lors du scan. D’autre part, les QR codes intègrent souvent des URL raccourcies, des liens profonds applicatifs (in-apps deep links) ou des chaînes de redirection multiples qui masquent la destination réelle et compliquent l’analyse par les solutions de sécurité classiques. Ces techniques dissimulent des points d’accès malveillants derrière des URL d’apparence légitime ou exploitent des liens spécifiques à une application, permettant aux cybercriminels de déclencher l’installation de malwares ou de dérober des identifiants.

Des conséquences lourdes pour les utilisateurs et les entreprises

Les scénarios d’attaque sont multiples, les attaquants peuvent intégrer des QR codes malveillants dans des emails, documents, prospectus ou encore remplacer des codes légitimes sur des affiches ou des emballages.

Une fois le QR code scanné, la victime peut être redirigée vers une fausse page de connexion (messagerie, cloud, services d’entreprise), entraînant la compromission des identifiants ou des sessions. Cette menace ne concerne pas que le grand public, de récentes alertes du FBI indiquent que le groupe Kimsuky utilise des QR codes malveillants pour cibler des identifiants d’entreprise. Cette évolution illustre la montée en puissance d’attaques centrées sur le mobile et l’identité capables de contourner les défenses traditionnelles.

Une protection mobile indispensable pour contrer le quishing

Face à cette menace, les entreprises doivent aller au-delà du simple filtrage des emails et du trafic réseau. Les liens intégrés aux QR codes peuvent contourner les passerelles de messagerie et les systèmes de réputation d’URL, les entreprises doivent donc mettre en place une analyse et un filtrage du contenu web couvrant spécifiquement les connexions sur mobiles : inspection en temps réel des URL issues des scans, évaluation comportementale des sessions web sur les appareils et exploration dynamique des liens profonds. La détection des menaces directement sur les appareils s’avère particulièrement efficace pour bloquer les redirections malveillantes ou les demandes de connexion frauduleuses, y compris sur les appareils non gérés où l’EDR d’entreprise ou l’inspection du réseau montrent leurs limites.

La solution Mobile Threat Defense (MTD) de Zimperium analyse les contenus malveillants sur l’ensemble des vecteurs d’attaque mobiles (SMS, QR codes, PDF, etc.). Elle permet aux entreprises d’identifier et de bloquer les tentatives de quishing avant toute compromission d’identifiants ou exécution de malware. À l’heure où les appareils mobiles constituent un point d’accès privilégié aux services d’entreprise, étendre la protection contre le phishing, traditionnellement centrée sur les URL des emails, aux contenus web initiés par QR code est devenu essentiel.