Quishing : l'arnaque 2.0 qui se cache derrière vos QR codes
Que renferme réellement le QR code que vous vous apprêtez à scanner avec votre smartphone ? Le menu du restaurant où vous êtes attablé, le site web d'une enseigne qui vous intéresse, ou la possibilité de finaliser un paiement ? Oui, assurément. Mais la réalité est plus sombre. Grâce à la technique malveillante du quishing, les cybercriminels ont perfectionné l'art de vous escroquer en exploitant ces codes-barres carrés qui ont envahi notre quotidien. Une lueur d'espoir émerge cependant : une parade technologique existe désormais pour éviter de tomber dans le piège. L'éditeur de solutions de sécurité McAfee déploie mondialement ce mercredi son QR code spam checker, présenté comme un remède contre ces arnaques. S'agit-il pour autant d'une solution définitive ?
Le quishing, ou l'art de détourner une commodité
Inventés en 1994 mais popularisés massivement durant la pandémie de Covid-19, les QR codes (Quick Response Codes) offrent une commodité inégalée. Un simple scan via l'appareil photo de votre téléphone déclenche une action automatique : accéder à un site internet, consulter une carte dans un établissement, ou remplir un formulaire. C'est simple, rapide et efficace. Le revers de la médaille ? Ces codes sont désormais partout, et les cybercriminels ont parfaitement saisi les opportunités lucratives qu'ils représentent. C'est le principe fondateur du quishing.
15% des Français déjà confrontés à un risque
Le mécanisme est sournois : un QR code frauduleux, collé par-dessus un code légitime, ou un code dont l'un des modules carrés a été subtilement altéré. En le scannant, l'utilisateur est redirigé vers une URL malveillante conçue pour collecter ses données personnelles. « Selon nos études, 66% des Français ont scanné un QR code au cours des trois derniers mois, et 15% ont atterri sur un site suspect ou dangereux », révèle à 20 Minutes Vonny Gamot, vice-présidente Europe ventes et marketing partenaires mondiaux chez McAfee. Elle souligne que les jeunes générations, ultra-connectées, sont les premières cibles : « 26% des 18-24 ans scannent des QR codes quotidiennement, contre seulement 1% des 65-74 ans ». Un constat qui doit alerter.
McAfee lance un vérificateur en temps réel
Avec son QR code spam checker, McAfee enrichit ses suites de protection McAfee+ et McAfee Total Protection, sans coût additionnel pour les abonnés. Ces logiciels, commercialisés à partir de 44,95 euros par an pour la première année, intègrent désormais un filtre actif lors du scan d'un QR code. Auparavant, il fallait souvent recopier manuellement l'URL obtenue dans un outil de vérification, comme sur la plateforme cybersecurité.orange.fr. Désormais, McAfee intervient instantanément. « Nous vérifions en temps réel que l'URL ne pointe pas vers un site illicite. L'utilisateur sait immédiatement à qui il a affaire », explique Vonny Gamot. Elle précise : « Avec les faux QR codes, l'objectif des cybercriminels est de monétiser les informations volées. L'arnaque intervient souvent a posteriori, via une attaque massive qui revient comme un boomerang ».
Autre avantage notable : pour un accès immédiat, le widget du QR code spam checker peut être intégré directement au panneau Mission Control des iPhone (et son équivalent sous Android). Une fonctionnalité qui rassure, mais qui a aussi une vocation pédagogique. Car selon McAfee, 39% des Français ne prendraient aucune précaution avant de scanner un QR code. Une méconnaissance que le gouvernement avait déjà mise en lumière en septembre 2025 lors du Cybermois. Une étude Ipsos révélait alors que seuls 6% des Français étaient capables d'expliquer ce qu'est le quishing.
Au-delà des QR codes : la menace des deepfakes vocaux
D'autres périls guettent les utilisateurs de smartphones. En s'appuyant sur l'intelligence artificielle, les cybercriminels passent désormais des appels téléphoniques dont le seul but est d'échantillonner la voix de la personne qui décroche. Un prélèvement suffisant pour créer un clone vocal utilisé dans de nouvelles escroqueries. « Comme recevoir l'appel de votre enfant - ou supposé tel - vous annonçant qu'il vient d'avoir un accident », détaille la vice-présidente de McAfee. Si l'éditeur sait détecter ces deepfakes vocaux, c'est pour l'instant uniquement en anglais et en espagnol. En attendant une version française, Vonny Gamot conseille une parade simple : « Lorsque vous décrochez un appel, attendez quatre secondes avant de parler ». Quatre secondes, c'est précisément le temps nécessaire à l'IA malveillante pour analyser et reproduire votre voix avec une fidélité troublante.
