Quishing : la nouvelle arme des cybercriminels mobiles

Tech / Mobile / Sécurité / QR Code
Par Christophe Romei publié le 19 janvier 2026 à 12h00, modifié le 21 janvier 2026 à 11h32.
Tech
Gros plan d un écran de smartphone scannant un qr code rouge lumineux

Image d'illustration. Gros plan d un écran de smartphone scannant un qr code rouge lumineuxADN

Un scan suffit désormais pour compromettre un appareil mobile. Le « quishing », nouvelle forme de phishing via QR codes, déjoue les défenses classiques. Voici pourquoi les entreprises doivent s’adapter rapidement

Tl;dr

  • Les QR codes facilitent le phishing mobile (« quishing »).
  • 25% des attaques d’hameçonnage exploitent ce vecteur.
  • La sécurité mobile devient prioritaire pour les entreprises.

L’essor inquiétant du « quishing »

Il suffit aujourd’hui d’un simple geste, celui de scanner un QR code, pour s’exposer à de nouvelles formes d’attaques de phishing. Sur ce terrain en constante évolution, les cybercriminels redoublent d’ingéniosité, exploitant la confiance que suscitent ces carrés noirs et blancs. D’après Hoxhunt, l’usage malveillant des QR codes, désormais désigné sous le terme de « quishing » a connu une envolée impressionnante : +25 % en un an seulement.

Un mode opératoire taillé pour le mobile

En pratique, ces QR codes frauduleux se nichent un peu partout : e-mails, documents numériques ou supports imprimés. Ils poussent insidieusement leurs victimes à délaisser les environnements sécurisés de leur entreprise au profit de terminaux personnels, souvent bien moins protégés. Un simple scan conduit vers de fausses pages imitant habilement des plateformes cloud ou des accès VPN. Le but ? Dérober des identifiants, contourner l’authentification multifacteur (MFA), puis ouvrir la porte à d’autres intrusions.

Selon Nicolás Chiaraviglio, Chief Scientist chez Zimperium, cette méthode s’avère particulièrement efficace : « Les cybercriminels exploitent le manque de visibilité et de protection sur les appareils mobiles pour contourner les défenses traditionnelles. Les QR codes sont particulièrement efficaces, car l’utilisateur ne peut pas inspecter visuellement l’URL de destination et perçoit le scan comme une action anodine. »

Des techniques de plus en plus sophistiquées

Le « quishing » ne doit rien au hasard. Certaines campagnes adoptent une stratégie dite « mobile-first », avec des méthodes issues du groupe Kimsuky : ingénierie sociale, applications frauduleuses, tout converge vers l’utilisateur mobile. Ce qui rend la détection complexe ? Les liens sont encapsulés dans l’image du QR code. De ce fait, ils échappent facilement aux mécanismes classiques tels que la réécriture d’URL ou le filtrage par réputation. C’est lors du scan,  souvent sur un smartphone non géré par l’entreprise que l’attaque prend forme.

Voici comment s’organisent généralement ces attaques :

  • Dissémination sur supports variés (e-mail, affiches…)
  • Redirection vers des portails factices imitant services professionnels
  • Piratage des comptes puis utilisation malveillante (spear-phishing…)

L’enjeu crucial pour les organisations

À mesure que s’étendent ces menaces mobiles, la sécurisation du terminal personnel s’impose comme une priorité pour les entreprises. La solution Mobile Threat Defense (MTD) développée par Zimperium illustre cette tendance : elle détecte les QR codes suspects avant toute compromission et bloque immédiatement l’accès aux infrastructures malicieuses connues ou émergentes. Preuve que face à cette sophistication croissante du « quishing », renforcer la protection mobile n’est plus une option mais bien un impératif stratégique.

En savoir plus