Quishing : derrière chaque QR code se cache une décision à prendre
- 19 février 2026
- Temps de lecture: 10 min
Depuis la pandémie, les QR codes font partie du quotidien. On les scanne dans les restaurants pour consulter le menu, à l’aéroport pour embarquer, sur les factures pour accéder à un portail de paiement. Ce petit carré de pixels est devenu un réflexe, une commodité naturelle que personne ne remet en question. Et c’est précisément ce que les cybercriminels ont compris.
Le quishing — contraction de QR et de phishing — est une technique d’attaque qui consiste à intégrer une URL malveillante dans un QR code pour tromper ses victimes. Elle progresse rapidement : les campagnes de quishing ont bondi de 331 % en un an selon Cofense (2025), et le QR code représente désormais 26 % de tous les liens malveillants diffusés en messagerie professionnelle. Dans cet article, nous vous expliquons comment fonctionne cette menace, pourquoi elle touche particulièrement les PME suisses, et surtout comment vous en protéger concrètement.
Le QR code, nouvel angle mort des filtres de sécurité
Pour un filtre anti-phishing classique, un QR code est une image comme une autre : pas de lien visible, pas de texte analysable, rien de suspect. Le message passe sans encombre dans les boîtes de réception.
Depuis des années, les solutions de sécurité des messageries ont appris à analyser les textes et les liens hypertexte dans les e-mails. Elles reconnaissent les URL suspectes, les expéditeurs inconnus, les tournures caractéristiques des e-mails frauduleux. Un QR code court-circuite entièrement ces défenses. Une fois que l’utilisateur le scanne avec son smartphone — souvent un appareil personnel, hors de tout système de protection d’entreprise —, il est redirigé vers une page Web malveillante avant même d’avoir réalisé ce qui se passe. C’est là toute la subtilité de cette attaque : elle exploite à la fois une lacune technologique et un comportement humain devenu automatique.
Pourquoi les PME suisses sont-elles particulièrement exposées ?
Les PME cumulent plusieurs facteurs de vulnérabilité qui en font des cibles de choix — et les cybercriminels le savent.
Elles disposent rarement d’une équipe informatique dédiée. La gestion de la messagerie, la sécurité des postes de travail et la formation des collaborateurs reposent souvent sur une seule personne, voire sur personne. Dans ce contexte, les nouvelles menaces comme le quishing mettent du temps à être connues et prises en compte. Un audit de sécurité réseau permet justement d’identifier ces angles morts avant qu’une attaque ne les exploite.
Les PME font également confiance à leurs partenaires et fournisseurs. Un e-mail qui semble provenir d’un prestataire habituel, avec un QR code demandant de confirmer une livraison ou de consulter une facture, a toutes les chances d’être scanné sans méfiance. C’est cette confiance que les attaquants exploitent systématiquement.
Il y a enfin un détail statistique qui mérite attention : les cadres et dirigeants sont 42 fois plus ciblés par les attaques par QR code que les collaborateurs ordinaires (WatchGuard, 2024). Autrement dit, les personnes qui ont accès aux informations les plus sensibles — comptabilité, données clients, accès aux systèmes — sont précisément celles que les attaquants visent en priorité. Dans une PME, il s’agit souvent du dirigeant lui-même, qui cumule plusieurs accès critiques.
À cela s’ajoute la question de la conformité à la nLPD : une compromission de données clients ou collaborateurs via une attaque par quishing peut engager la responsabilité de l’entreprise et nécessiter une notification au Préposé fédéral à la protection des données, avec les conséquences juridiques et réputationnelles que cela implique.
Les formes les plus courantes d’attaques par quishing
Dans la messagerie professionnelle
C’est le vecteur le plus fréquent. Vous recevez un e-mail qui ressemble à une notification de votre outil de stockage cloud, de votre prestataire RH ou de votre service de paiement. Le corps du message est sobre, rassurant, et contient un QR code accompagné d’une instruction simple : « Scannez pour accéder à votre document » ou « Confirmez votre identité pour continuer ». La page qui s’affiche après le scan est une copie quasi parfaite du portail de connexion Microsoft 365, Google Workspace ou de votre e-banking. Vous saisissez vos identifiants, et ils sont capturés instantanément. Près de 90 % de ces attaques visent à voler des identifiants de connexion professionnels — un chiffre confirmé par Barracuda Networks sur l’ensemble des campagnes analysées en 2025.
Dans les documents imprimés et les espaces physiques
Les attaques ne se limitent pas au monde numérique. Des fausses factures papier avec QR code frauduleux ont été glissées dans des colis d’entreprises. Des autocollants malveillants ont été collés par-dessus des QR codes légitimes dans des restaurants, des hôtels ou des salles de conférence. Dans ces cas, même un collaborateur vigilant peut être piégé, car rien dans l’environnement physique ne trahit la supercherie.
Dans les SMS et les notifications de livraison
La notification de colis non livré avec un QR code à scanner pour « reprogrammer la livraison » est devenue une arnaque très répandue. Elle cible indifféremment les smartphones personnels et professionnels, et fonctionne d’autant mieux que les livraisons sont devenues une réalité quotidienne pour de nombreuses équipes.
Un scénario qui pourrait concerner votre PME
Imaginons que Sophie, responsable des finances dans une PME de vingt personnes, reçoive un matin un e-mail qui semble provenir de son logiciel de comptabilité. L’objet : « Votre rapport mensuel est disponible. » Le message contient un QR code, qu’elle scanne avec son téléphone pendant sa pause café. Elle saisit ses identifiants sur la page qui apparaît, pensant accéder à ses données habituelles.
Deux heures plus tard, les attaquants utilisent ces identifiants pour se connecter à la messagerie de l’entreprise, extraire les coordonnées bancaires des clients et envoyer de fausses factures en usurpant l’identité de la société.
Ce scénario n’est pas une fiction. Des situations similaires sont documentées chaque semaine en Europe. Et dans la grande majorité des cas, la victime n’a commis aucune erreur grossière : elle a simplement fait confiance à un e-mail qui paraissait tout à fait normal. Le vrai problème, c’est que personne ne lui avait expliqué ce qu’est le quishing.
Ce que vous pouvez faire concrètement pour protéger votre PME
Se protéger du quishing ne nécessite ni budget astronomique ni expertise technique avancée. Chez Bexxo, nous l’observons régulièrement sur le terrain : les PME qui résistent le mieux ne sont pas celles qui ont les meilleurs outils, mais celles dont les collaborateurs ont été sensibilisés. La technologie seule ne suffit pas — et cette conviction est au cœur de notre approche.
Sensibiliser vos équipes — c’est la mesure la plus efficace
Un collaborateur qui sait que les QR codes peuvent être frauduleux prendra le temps de s’interroger avant de scanner. Cette sensibilisation peut se faire lors d’une réunion d’équipe, à travers une newsletter interne, ou via des simulations d’attaques. L’objectif n’est pas de créer de la méfiance généralisée, mais de développer un réflexe : « D’où vient ce QR code ? Est-ce que j’attendais ce message ? »
Bexxo propose des simulations de phishing et de quishing avec PhishTrainer, conçues pour les PME suisses. En dix minutes, vos collaborateurs apprennent à identifier ces attaques en conditions réelles, sans risque.
Vérifier l’URL avant d’ouvrir
La plupart des smartphones modernes affichent un aperçu de l’URL de destination lorsqu’on scanne un QR code, avant d’ouvrir le navigateur. Cette étape dure deux secondes et peut éviter bien des mésaventures. Apprenez à vos collaborateurs à lire cette URL : est-elle cohérente avec l’expéditeur présumé ? Contient-elle des caractères suspects, des variations orthographiques ? Si le doute subsiste, mieux vaut ne pas ouvrir.
Ne jamais saisir ses identifiants après un scan
Cette règle est simple et absolue : si une page demande un nom d’utilisateur et un mot de passe après le scan d’un QR code reçu par e-mail ou SMS, arrêtez-vous. Ouvrez votre navigateur et accédez au service directement en tapant l’adresse que vous connaissez. C’est le seul moyen de s’assurer que vous êtes sur le vrai site.
Activer l’authentification à deux facteurs (2FA)
Même si des identifiants sont volés, l’authentification à deux facteurs constitue un filet de sécurité précieux. Sans le second facteur — code envoyé via une application d’authentification, clé physique —, le cybercriminel ne peut pas accéder au compte. C’est une protection indispensable pour tous les services critiques de votre PME : messagerie, comptabilité, CRM, stockage cloud.
Choisir des outils de messagerie avec filtrage avancé
Les messageries professionnelles basées en Suisse comme Infomaniak Mail ou Proton Mail intègrent des mécanismes de sécurité robustes : authentification SPF, DKIM et DMARC, marquage automatique des e-mails externes suspects, et détection des liens malveillants. En optant pour ces solutions conformes à la nLPD et hébergées sur sol suisse, vous bénéficiez d’une première ligne de défense solide — sans dépendre d’infrastructures étrangères.
Définir une politique claire pour les appareils personnels
Si vos collaborateurs utilisent leur smartphone personnel pour scanner des QR codes liés au travail — ce qui est fréquent —, définissez des règles simples : ne jamais saisir des identifiants professionnels sur un appareil non sécurisé, signaler immédiatement tout comportement suspect à la personne responsable de l’informatique. Une politique BYOD claire est un complément indispensable à toute stratégie de cybersécurité.
Conclusion
Le quishing illustre parfaitement une réalité que les PME doivent intégrer : les cyberattaques évoluent constamment pour contourner les défenses existantes. Là où les filtres anti-spam bloquent les liens suspects, les attaquants utilisent des images. Là où les collaborateurs se méfient des pièces jointes, les escrocs passent par les QR codes physiques.
Face à cette évolution, deux choses restent vraies : la sensibilisation des équipes est toujours l’investissement le plus rentable, et les actions simples — vérifier l’URL, ne pas saisir ses identifiants après un scan, activer le 2FA — suffisent à déjouer la grande majorité des tentatives.
Vous souhaitez évaluer concrètement la résistance de vos collaborateurs face à ces nouvelles formes d’attaques ? Contactez Bexxo pour découvrir nos simulations adaptées aux PME suisses. Vous pouvez également commencer par un audit de sécurité pour identifier rapidement vos points d’exposition.
Questions fréquentes
Qu’est-ce que le quishing et en quoi est-il différent du phishing classique ? Le quishing est une forme de phishing qui utilise un QR code à la place d’un lien cliquable. Sa particularité : là où un filtre anti-spam peut analyser et bloquer un lien suspect, un QR code est traité comme une simple image. Il passe donc sans aucun contrôle dans les messageries, ce qui le rend bien plus difficile à détecter automatiquement.
Comment reconnaître un QR code potentiellement frauduleux avant de le scanner ? La principale précaution est de vous demander d’où vient ce QR code. S’il vous est envoyé par e-mail ou SMS sans que vous l’ayez demandé, méfiez-vous. Après le scan, vérifiez toujours l’URL affichée par votre smartphone avant d’ouvrir la page : une URL légitime d’un service connu ne contient pas de caractères étranges ni de domaine inhabituel.
Que faire si un collaborateur a scanné un QR code suspect et saisi ses identifiants ? Agissez immédiatement : changez le mot de passe du compte concerné depuis un appareil sécurisé, activez le 2FA si ce n’est pas encore fait, et prévenez la personne responsable de l’informatique. Si des données personnelles de clients ou de collaborateurs ont pu être exposées, vérifiez avec votre juriste si une notification au Préposé fédéral à la protection des données (PFPDT) est nécessaire selon la nLPD.
Une PME suisse sans équipe IT dédiée peut-elle vraiment se protéger du quishing ? Oui, et c’est même l’une des menaces pour lesquelles la protection humaine est plus efficace que la protection technique. Former vos collaborateurs à reconnaître cette attaque — en une heure de sensibilisation — réduit drastiquement le risque. Des outils comme PhishTrainer de Bexxo sont précisément conçus pour les PME sans département IT.
Le quishing peut-il exposer notre entreprise à des sanctions liées à la nLPD ? Si une attaque réussit et que des données personnelles de clients ou de collaborateurs sont compromises, oui. La nLPD suisse oblige les entreprises à notifier le PFPDT en cas de violation de données à risque élevé. Une PME qui n’a pas pris de mesures de protection raisonnables peut voir sa responsabilité civile et pénale engagée.
Nos appareils mobiles professionnels sont-ils mieux protégés que les smartphones personnels ? En principe, oui — si votre entreprise a mis en place une solution de gestion des appareils mobiles (MDM) et un VPN professionnel. Dans la réalité de nombreuses PME suisses, les collaborateurs utilisent leur smartphone personnel, non soumis à aucune politique de sécurité. C’est précisément pourquoi une politique BYOD claire est aussi importante que les outils techniques.
Sources : Cofense, 2025 · Barracuda Networks, 2025 · QR Code Tiger, 2025 · WatchGuard
