Le paysage des attaques évolue de jour en jour. La dernière menace émergente, le Quishing, exploite les QR codes pour piéger leur cible. Ces codes omniprésents offrent une passerelle simple et efficace liant les mondes physique et numérique. Ils sont utilisés sur les emballages, affiches et même les cartes de visite pour facilement diriger leur audience vers un site internet. Cet outil, pratique et démocratisé, est détourné par les cybercriminels, devenant une nouvelle menace pour les utilisateurs. Mais qu'est-ce que le Quishing exactement ?
Le terme "Quishing" trouve sa source dans la contraction de "QR" (pour Quick Response) et "Phishing". Alors que le phishing classique exploite principalement des liens ou des pièces jointes pour tromper ses victimes, le Quishing, lui, utilise les QR codes comme vecteur d'attaque.
Le Quishing a les mêmes intentions malveillantes que les messages de phishing ou smishing. Il vise à duper les individus pour qu'ils divulguent des informations sensibles, telles que des identifiants de connexion, des données financières, ou d'autres informations personnelles.
Quoi de neuf par rapport au phishing ?
Le phishing, également appelé hameçonnage, est une technique d'attaque qui débute généralement par un e-mail. Le message, donne l'impression de provenir d'une source légitime et présente une demande souvent attrayante. La victime, est incitée à cliquer sur un lien dans l'e-mail, puis est redirigée vers un faux site Web qui peut imiter parfaitement une institution financière, un service en ligne, ou d'autres entités légitimes. Ce site frauduleux est spécifiquement conçu pour recueillir des informations sensibles telles que des identifiants de connexion, des informations financières, ou des données personnelles. Le smishing suit une approche identique en s’appuyant sur un SMS plutôt qu’un e-mail.
Avec le Quishing, l’objectif reste le même, mais cette fois-ci, le lien malveillant se cache derrière un QR code. Ce code peut être envoyé par e-mail ou même collé physiquement sur un QR code existant dans des magasins, des banques, ou même dans des parkings.
Un piège difficile à détecter
Le Quishing présente un danger plus élevé que le phishing classique du fait qu’il est plus complexe à identifier.
Les attaques de phishing et de smishing sont tout d’abord mieux connues des usagers et peuvent être partiellement déjouées par les filtres anti-spam des messageries. Elles sont toutefois de plus en plus évoluées, en s’appuyant notamment sur l’intelligence artificielle générative, pour imiter au plus près la source qu’elles usurpent. Les utilisateurs doivent être vigilent à l’émetteur (email, nom, …) et au lien afin de tenter de déjouer ces tentatives de récupération de données.
Le Quishing quant à lui est encore relativement méconnu. De plus, la confiance accordée aux QR codes, notamment sur des supports physiques comme les boutiques ou les parkings accroît le risque.
Enfin et surtout, les QR codes sont faits pour être scannés par un téléphone mobile, le lien frauduleux s'ouvrant directement à l’écran. Contrairement à une interface d'ordinateur, les liens sur mobile sont souvent moins visibles, rendant plus complexe l'identification des pages malveillantes. Cette caractéristique clé du Quishing augmente de manière significative le risque pour les utilisateurs.
Les bonnes pratiques
Pour éviter de tomber dans le piège du Quishing, suivez ces conseils :
- Méfiez-vous des stickers supplémentaires comportant un QR code.
- En cas de doute, abstenez-vous de scanner le QR code ; rendez-vous sur le site officiel par vos propres moyens.
- Si vous choisissez de scanner le code QR, assurez-vous toujours que l'adresse du site Internet vers lequel vous êtes redirigé est officielle. Scrutez attentivement l'adresse, l'orthographe, le graphisme et le logo.
Protection professionnelle contre le Quishing
En intégrant les terminaux mobiles à leur environnement ou en autorisant l'utilisation de smartphones personnels à des fins professionnelles (BYOD), les entreprises deviennent des cibles attrayantes pour les attaques de Quishing. Face à cette menace croissante, une approche efficace consiste à adopter une solution de protection de flotte mobile (Mobile Threat Defense ou MTD).
Le MTD agit en temps réel en détectant les liens malveillants avant que l'utilisateur ne puisse effectuer des manipulations ou fournir des informations sensibles. Cette solution offre une protection complète, couvrant non seulement le Quishing, mais également le phishing classique et le smishing (phishing par SMS). De plus, la protection de flotte mobile s’étend à la détection et la prévention des menaces venant des applications (malveillantes et intrusives), du réseau (WiFi ouvert, attaque Man-In-The-Middle, …) et du système (OS non à jour, manipulation de la configuration, …).
Le Quishing, tirant profit des QR codes, représente une menace grandissante. Dissimulés derrière la simplicité apparente des QR codes, les attaquants tirent profit de la confiance accordée à ces codes omniprésents.
La détection du Quishing, plus complexe que celle du phishing traditionnel, nécessite une vigilance accrue. Les bonnes pratiques, telles que la méfiance envers les QR codes et la vérification des redirections, sont cruciales pour se prémunir contre cette menace.
La protection professionnelle contre le Quishing passe par l'adoption de solutions avancées telles que le MTD (Mobile Threat Defense), qui détecte les liens malveillants avant toute manipulation de l'utilisateur. Ainsi, entreprises et individus peuvent renforcer leur sécurité numérique face à cette évolution pernicieuse des attaques en ligne.
