QR-codes et phishing : pourquoi le coup de l'autocollant sur l'horodateur vous concerne aussi au bureau
Les QR-codes sont partout : sur les menus, les horodateurs et les factures. Mais les escrocs y collent de plus en plus souvent leur propre autocollant par-dessus. Voici comment les repérer et protéger votre équipe.
Il y a quelques années, un QR-code était encore une curiosité publicitaire. Aujourd'hui, on en scanne pour se garer, pour payer en terrasse, pour se connecter à un réseau invité ou pour régler une facture. Très pratique. Mais c'est précisément cette commodité qui en fait une cible de choix pour les escrocs. La technique s'appelle désormais quishing (QR + phishing) et elle touche les PME plus durement qu'on ne le croit.
Le quishing, c'est quoi exactement ?
Avec le quishing, le piège n'est pas dans un lien contenu dans un e-mail, mais dans un QR-code. Ce code vous redirige vers un faux site qui ressemble trait pour trait à celui de votre banque, votre service de paiement, votre connexion Microsoft ou votre fournisseur. Vous saisissez vos identifiants et l'escroc s'y connecte à votre place.
Ce qui rend la chose si difficile à détecter : un QR-code n'est qu'un bloc de pixels. Impossible de savoir à l'œil nu où il mène. Et comme vous le scannez avec votre téléphone — souvent hors du bureau, souvent dans la précipitation — votre vigilance naturelle se met en veille.
Trois scénarios observés ces derniers mois
1. L'autocollant sur l'horodateur
Dans plusieurs villes, des fraudeurs ont collé leurs propres QR-codes par-dessus ceux des horodateurs. Les personnes qui les scannaient arrivaient sur une fausse page de paiement et transmettaient leurs identifiants bancaires. Pour un entrepreneur qui rend vite visite à un client : c'est vite arrivé.
2. La facture avec le QR de paiement « pratique »
De nombreux fournisseurs intègrent désormais un QR de paiement sur leurs factures. Les fraudeurs ont repris cette habitude : ils interceptent une vraie facture, remplacent le QR-code par le leur et la renvoient. Le reste de la facture est identique — seul l'IBAN derrière le QR a changé.
3. L'e-mail de « réinitialisation MFA »
Un e-mail qui imite un message de Microsoft 365 : « Votre vérification en deux étapes doit être réinitialisée, scannez ce QR avec votre téléphone. » Le code ouvre une fausse page de connexion. Comme elle s'affiche sur votre téléphone (et non sur votre ordinateur), vous contournez les filtres de votre messagerie professionnelle et vous n'avez pas la barre d'URL que vous avez l'habitude de vérifier.
Pourquoi les QR-codes sont plus dangereux que le phishing classique
- Vous changez d'appareil. E-mail sur l'ordinateur → scan avec le téléphone. Vous sortez du périmètre de sécurité de votre bureau.
- Les URL sont difficiles à lire sur mobile. Un long lien contenant
microsft-login.xyzpasse facilement inaperçu sur un petit écran. - Les scanners ouvrent directement. La plupart des téléphones ouvrent le lien automatiquement, sans aperçu préalable.
- Les autocollants sont physiques. Aucun filtre anti-spam au monde ne peut bloquer un autocollant sur un poteau.
Ce que vous pouvez faire cette semaine — sans service informatique
Réglez votre téléphone sur « afficher l'URL d'abord »
Sur la plupart des iPhones et des appareils Android, vous pouvez configurer l'appareil photo pour qu'il affiche le lien avant de l'ouvrir lors du scan d'un QR-code. Faites-le. Un simple tap supplémentaire, et vous voyez si vous avez bien tikkie.me ou tikkie-betalen.support.
Fixez une règle unique pour les paiements
Ne payez jamais une facture via un QR-code sans qu'une personne ait vérifié l'IBAN séparément. Cette règle s'applique surtout aux nouveaux fournisseurs ou en cas de changement de numéro de compte. Un doute sur un IBAN ? Vérifiez-le via notre vérificateur IBAN — il indique directement la banque et le pays, ce qui vous aide à repérer un faux compte plus rapidement.
Pas de connexion via QR-code
Faites-en une règle absolue : ne vous connectez jamais à un service professionnel via un QR-code reçu par e-mail. Microsoft, votre logiciel de comptabilité et votre banque ne vous le demanderont jamais de cette façon. Connectez-vous toujours via vos favoris ou en saisissant l'URL vous-même.
Méfiez-vous des QR-codes physiques
Un autocollant par-dessus un autre ? Méfiance. Mieux vaut payer quelques minutes de stationnement en trop que de vider son compte. Vous pouvez toujours payer par carte bancaire ou via l'application.
Formez brièvement votre équipe
Pas besoin d'y consacrer une heure de réunion. Cinq minutes autour d'un café : montrez ces trois exemples, expliquez pourquoi le quishing n'est finalement que du phishing déguisé, et convenez des règles ci-dessus ensemble. C'est tout.
Et si ça arrive quand même ?
Un collaborateur a saisi ses identifiants sur un faux site après avoir scanné un QR-code ? Agissez dès aujourd'hui :
- Changez immédiatement le mot de passe, et sur tous les services où il était utilisé.
- Vérifiez la vérification en deux étapes. Un appareil inconnu apparaît ? Supprimez-le.
- Consultez les e-mails récemment envoyés et les règles créées dans la boîte mail — les fraudeurs mettent souvent en place des règles de transfert automatique.
- En cas de paiement : appelez votre banque et signalez-le à la Fraudehelpdesk.
Vous souhaitez sécuriser les bases avant qu'un incident ne survienne ? Nos services mise en place de la 2FA et sécurité des e-mails comblent les failles les plus exploitées par le quishing. Commencez par là — vous ne pouvez pas enlever un autocollant sur un poteau, mais une boîte mail non sécurisée, si.
Volledige gids: Seguridad para pymes sin departamento de TI: ¿qué haces este trimestre?
Dit artikel is onderdeel van onze uitgebreide Security zonder IT-afdeling-gids. Lees de pillar voor het complete plaatje.
Lees de pillar →