Mis à jour le 29 mars 2026

QR codes malveillants (quishing) : la nouvelle menace en entreprise

Les attaques par QR code frauduleux ont explosé de 587% entre 2023 et 2025. Cette technique, baptisée « quishing », exploite la confiance que nous accordons aux QR codes devenus omniprésents depuis la pandémie. En entreprise, un simple QR code collé sur une imprimante ou glissé dans un email peut compromettre tout votre réseau.

Sommaire

Qu’est-ce que le quishing ?

Le quishing est une forme de phishing qui utilise des QR codes frauduleux pour rediriger les victimes vers des sites malveillants. Le terme vient de la contraction de « QR code » et « phishing ».

Un QR code est un code-barres en deux dimensions que votre smartphone peut scanner pour accéder à un lien, un fichier ou une action. Le problème : vous ne pouvez pas voir l’URL avant de le scanner. C’est cette opacité que les cybercriminels exploitent.

Le quishing est particulièrement redoutable car les QR codes contournent la plupart des filtres anti-phishing des messageries. Un email contenant un QR code malveillant au format image passe souvent inaperçu des systèmes de sécurité classiques.

Les techniques d’attaque par QR code

Les cybercriminels déploient des stratégies variées pour diffuser leurs QR codes frauduleux.

QR codes dans les emails professionnels

Un email imitant Microsoft, Google ou votre service RH contient un QR code au lieu d’un lien classique. Le message demande de scanner le code pour « vérifier votre identité », « mettre à jour votre mot de passe » ou « accéder à un document confidentiel ».

QR codes physiques substitués

Un attaquant colle un faux QR code par-dessus un QR code légitime. Cela peut se produire sur des menus de restaurant, bornes de paiement ou même dans vos propres locaux. Un QR code collé sur l’imprimante pour « configurer le Wi-Fi » peut mener vers un site de vol d’identifiants.

QR codes dans des documents

Un faux bon de commande, une facture ou un courrier professionnel contient un QR code invitant à « consulter les détails en ligne » ou « effectuer le règlement ». Le lien mène à un site frauduleux.

QR codes sur les parkings et bâtiments

De faux QR codes de paiement de stationnement sont collés sur les horodateurs ou des affiches dans les parkings d’entreprise. Les victimes saisissent leurs données bancaires sur un faux site de paiement.

+587%Augmentation des attaques quishing depuis 2023
72%Des filtres email ne détectent pas les QR codes malveillants
3 secTemps moyen pour scanner un QR code sans vérifier

Les risques pour votre entreprise

Les conséquences d’une attaque par quishing peuvent être graves.

Point clé : Le principal danger du quishing réside dans le fait que le QR code est scanné par un smartphone, souvent personnel et moins protégé que les postes de travail de l’entreprise. Ce smartphone peut ensuite servir de porte d’entrée vers le réseau de l’entreprise s’il est connecté au Wi-Fi professionnel ou utilisé pour accéder aux outils de travail.

  • Vol d’identifiants : la page de destination imite la connexion Microsoft 365, Google Workspace ou votre VPN
  • Installation de malware : le QR code déclenche le téléchargement d’une application malveillante
  • Vol de données bancaires : fausse page de paiement ou faux portail bancaire
  • Compromission du réseau : depuis le smartphone infecté, l’attaquant peut accéder aux ressources de l’entreprise
  • Ransomware : le malware installé chiffre les données accessibles depuis le téléphone

Comment se protéger contre le quishing

La protection exige une approche combinant vigilance humaine et mesures techniques.

Sensibilisation des équipes

  • Ne jamais scanner un QR code reçu par email sans vérifier l’expéditeur
  • Vérifier l’URL affichée par le téléphone avant d’ouvrir le lien
  • Se méfier des QR codes physiques collés par-dessus d’autres
  • En cas de doute, taper l’URL manuellement plutôt que scanner le QR code
  • Ne jamais saisir d’identifiants sur un site atteint via un QR code non vérifié

Mesures techniques

  • Déployer des solutions de sécurité email capables de détecter les QR codes dans les images
  • Utiliser un scanner de QR code sécurisé qui vérifie les URL avant ouverture
  • Activer l’authentification multi-facteurs pour limiter l’impact du vol d’identifiants
  • Mettre en place un MDM (Mobile Device Management) pour sécuriser les smartphones professionnels
  • Configurer un filtrage DNS qui bloque les domaines malveillants connus

Procédures pour les QR codes internes

  • Documenter et inventorier tous les QR codes utilisés dans votre entreprise
  • Vérifier régulièrement que les QR codes affichés n’ont pas été remplacés ou recouverts
  • Utiliser des QR codes dynamiques dont la destination peut être modifiée si compromise
  • Ajouter votre logo ou charte graphique aux QR codes légitimes pour les distinguer

Bonnes pratiques pour l’utilisation de QR codes en entreprise

Si votre entreprise utilise des QR codes pour ses clients ou ses processus internes, voici les règles à suivre.

  • Toujours indiquer clairement la destination du QR code en texte visible à côté
  • Utiliser un générateur de QR codes fiable et éviter les services gratuits douteux
  • Protéger les QR codes physiques contre le recouvrement (cadres fixes, plastification)
  • Utiliser le HTTPS pour toutes les URL de destination
  • Tester régulièrement vos QR codes pour vérifier qu’ils pointent vers le bon site
Questions fréquentes
3 questions
Le scan en lui-même ne représente généralement pas de risque. C’est l’action qui suit qui est dangereuse : visiter le site malveillant, télécharger un fichier ou saisir des identifiants. Les smartphones modernes affichent l’URL avant l’ouverture. Prenez toujours le temps de vérifier cette URL avant de confirmer.
Vérifiez d’abord visuellement que le QR code n’est pas un autocollant collé par-dessus un autre. Après le scan, examinez l’URL affichée : elle doit correspondre au domaine officiel attendu (pas de fautes, pas de sous-domaine suspect). Des applications comme QR Scanner Safe de Kaspersky ou Norton vérifient automatiquement les URL contre des bases de données de sites malveillants.
Les filtres anti-spam analysent les liens textuels dans les emails. Un QR code est une image, et la plupart des filtres traditionnels ne savent pas décoder les images pour en extraire l’URL cachée. Les solutions de sécurité récentes intègrent de la reconnaissance d’image pour détecter et analyser les QR codes, mais elles ne sont pas encore généralisées.

Besoin d’accompagnement ?

Audit de sécurité, sensibilisation au quishing et déploiement de protections adaptées : Odyssix vous aide à faire face aux nouvelles menaces liées aux QR codes en entreprise.

Contactez nos experts

Services associés

Odyssix peut vous accompagner

Odyssix

Rédigé par l'équipe Odyssix

Experts IT, Cybersécurité & Digital depuis 2018

Odyssix accompagne les PME dans leur transformation numérique et la sécurisation de leur système d'information. Nos experts certifiés (CEH, OSCP, ISO 27001) partagent leur expérience terrain à travers nos articles de blog.

Besoin d'en savoir plus ?

Contactez nos experts pour une démonstration personnalisée.

Nous contacter