Qu’est-ce que le quishing ?
Le mot vient de la contraction de « QR code » et de « phishing ». Le principe reste celui de l’hameçonnage classique : attirer le destinataire vers une fausse page pour lui dérober ses identifiants, ses coordonnées bancaires ou ses accès professionnels. Ce qui change, c’est le vecteur. À la place d’un lien cliquable, l’email contient un QR code à scanner avec son smartphone.
Pourquoi ce détour ? Parce qu’un lien écrit peut s’inspecter. On survole, on lit le domaine, on repère l’URL douteuse. Un QR code, lui, masque totalement sa destination. Impossible de savoir où il mène avant de l’avoir scanné.
Cybermalveillance.gouv.fr, le dispositif national d’assistance aux victimes, consacre une fiche dédiée à cette technique. Le constat est mesuré : la menace reste marginale en France comparée au phishing par lien classique, mais elle progresse régulièrement depuis 2023. Les scénarios documentés parlent d’eux-mêmes. Fausses confirmations de connexion Office 365, faux avis de passage de colis, faux documents RH invitant les salariés à scanner un code pour « mettre à jour » leurs accès. Le monde professionnel est une cible de choix, car le QR code y bénéficie d’un capital confiance élevé depuis la crise sanitaire.
Pourquoi les filtres antispam laissent passer ces emails
Un filtre antispam traditionnel analyse du texte. Il cherche des mots suspects, compare les URL aux listes noires, examine la réputation des domaines cités dans le corps du message. Or dans un email de quishing, le lien malveillant n’apparaît jamais en clair. Il est encodé dans les pixels d’une image. L’analyse lexicale ne voit rien, la vérification d’URL n’a rien à vérifier.
Les chiffres traduisent l’efficacité de la méthode. Selon les rapports Phishing Threat Trends d’Egress, la part des charges malveillantes reposant sur un QR code est passée de 0,8 % des emails de phishing en 2021 à 12,4 % en 2023. Cofense, de son côté, a mesuré une hausse de 331 % en un an des signalements de menaces actives liées à des QR codes malveillants dans son rapport 2024 sur la sécurité email.
Les attaquants affinent leur technique à mesure que les défenses s’adaptent. Première évolution : déplacer le QR code du corps de l’email vers une pièce jointe PDF, encore plus opaque pour les passerelles de sécurité. Barracuda Networks a identifié plus de 500 000 emails de phishing utilisant ce procédé entre la mi-juin et la mi-septembre 2024. Les marques usurpées dans ces campagnes ? Microsoft et ses services SharePoint ou OneDrive dans 51 % des cas, DocuSign dans 31 %, Adobe dans 15 %. Deuxième évolution, documentée par le même éditeur en 2025 : des QR codes fractionnés en deux images ou imbriqués l’un dans l’autre, conçus pour tromper les moteurs de reconnaissance optique que les passerelles récentes ont justement déployés pour contrer la première vague.
La détection exige donc une analyse d’image, un décodage du QR, puis une vérification du lien obtenu dans un environnement isolé. Une chaîne de traitement coûteuse que beaucoup d’infrastructures email ne supportent pas nativement.
Comment reconnaître une tentative de quishing ?
Bonne nouvelle : les réflexes valables contre le phishing classique fonctionnent aussi contre sa variante par QR code. Quelques signaux doivent alerter.
Le premier, c’est la présence même d’un QR code dans un email. L’usage est contre-intuitif : vous lisez déjà le message sur un écran, un simple lien suffirait. Demander de sortir son téléphone pour scanner l’écran de son ordinateur n’a de sens que pour une raison précise : faire quitter au destinataire le périmètre sécurisé de l’entreprise. Le smartphone personnel échappe souvent aux protections du poste de travail.
Viennent ensuite les grands classiques. Un sentiment d’urgence artificiel, du type « votre compte sera suspendu sous 24 heures ». Une demande de reconnexion à un service que vous utilisez déjà. Un expéditeur dont le domaine ne correspond pas exactement à la marque affichée. Cybermalveillance.gouv.fr recommande la même prudence que pour un lien : vérifier la plausibilité de la demande, et s’abstenir au moindre doute. En entreprise, le bon réflexe consiste à passer par un canal séparé, en tapant soi-même l’adresse du service concerné, plutôt que de scanner le code reçu.
Notez que les fonctions de direction concentrent une part disproportionnée de ces attaques. Les accès d’un dirigeant ou d’un responsable financier valent bien plus qu’un compte lambda, et les cybercriminels le savent.
Ce que le quishing change pour les expéditeurs B2B légitimes
C’est l’angle dont personne ne parle, et il concerne directement les équipes marketing. Face à la montée du quishing, les messageries et les passerelles de sécurité durcissent leur traitement de tous les emails contenant un QR code. Y compris les vôtres.
Une invitation à un salon professionnel avec un QR code d’accès, un billet dématérialisé, une carte de visite augmentée en signature : ces usages parfaitement légitimes se retrouvent pris dans les mailles d’un filet conçu pour les fraudeurs. Un email commercial porteur d’un QR code part désormais avec un handicap. Il subit une analyse renforcée, parfois un passage en quarantaine, au pire un classement en spam. Votre délivrabilité email peut en pâtir sans qu’aucune règle n’ait été enfreinte.
L’autre risque est réputationnel. Les campagnes de quishing usurpent massivement les grandes marques, on l’a vu avec Microsoft ou DocuSign. Mais rien n’empêche un fraudeur d’utiliser votre nom de domaine si celui-ci n’est pas verrouillé. Chaque email frauduleux envoyé en votre nom dégrade la confiance des destinataires et, à terme, la réputation de votre domaine auprès des messageries.
QR codes en campagne : les bonnes pratiques pour préserver votre délivrabilité
Faut-il bannir les QR codes de vos emails B2B ? Non, mais leur usage mérite réflexion. Voici les règles que nous appliquons et recommandons.
D’abord, posez-vous la question de la pertinence. Dans un email, un lien cliquable fait le même travail qu’un QR code, en mieux : il se clique directement, il se tracke proprement et il ne déclenche pas d’analyse antispam renforcée. Réservez le QR code aux cas où il apporte une vraie valeur, comme un billet à présenter à l’entrée d’un événement ou un support qui sera imprimé.
Ensuite, verrouillez votre authentification. SPF, DKIM et DMARC avec une politique stricte empêchent un tiers d’envoyer des emails en usurpant votre domaine. C’est votre meilleure protection contre le détournement de votre marque dans des campagnes de quishing, et un signal de confiance fort envoyé aux messageries.
Troisième règle : la transparence. Si vous insérez un QR code, indiquez clairement à côté l’adresse de destination et proposez un lien alternatif en clair. Le destinataire sait où il va, le filtre aussi. Faites pointer le code vers votre propre domaine plutôt que vers un raccourcisseur d’URL générique, souvent associé aux abus.
Enfin, soignez ce qui se passe après le scan. La page d’arrivée collecte parfois des données de contact, ce qui engage votre responsabilité sur la protection des données emailing. Formulaires proportionnés, mentions claires, consentement documenté : le RGPD s’applique au bout du QR code comme partout ailleurs. C’est d’ailleurs un point sur lequel une plateforme française apporte une garantie appréciable. Chez Ediware, l’hébergement des données en France et la sécurité des données Ediware font partie du socle de la plateforme, pas d’une option.
Le quishing ne signe pas la fin des QR codes en marketing. Il impose simplement la même discipline que le reste de vos campagnes : authentification irréprochable, destination transparente et respect du destinataire. Les fraudeurs exploitent la confiance aveugle. Votre meilleur atout commercial reste une confiance méritée.