Scanner un QR code peut désormais suffire à infecter votre smartphone

Publié le 20 juin 2025 à 15:00

Une nouvelle menace liée aux QR codes inquiète les experts en cybersécurité : il suffit désormais de scanner un code malveillant pour que votre téléphone soit infecté, sans étape supplémentaire ni téléchargement apparent.

Tl;dr

Les QR codes piégés exécutent du code malveillant dès le scan.
La menace échappe aux outils de sécurité classiques.
Ne scannez jamais un QR code inconnu ou suspect.

Une nouvelle forme de quishing menace la sécurité numérique

Depuis peu, les QR codes, omniprésents dans nos vies quotidiennes, sont devenus l’outil privilégié d’une cybermenace en pleine mutation : le quishing. Si autrefois ces codes redirigeaient vers des sites douteux nécessitant une action de l’utilisateur, la technique vient de franchir un nouveau cap. Selon une récente alerte relayée par Silicon Angle, les attaquants injectent désormais directement des charges utiles JavaScript au sein même des QR codes. Résultat : dès la lecture du code par un smartphone, l’exécution du script s’enclenche, sans que la victime ait à cliquer sur quoi que ce soit.

Des attaques furtives et redoutablement efficaces

Le mode opératoire a radicalement changé. Grâce à l’utilisation de data URI, il est possible d’intégrer du HTML et du JavaScript bruts dans le code QR lui-même. Ainsi, tout se déroule à l’intérieur du navigateur mobile : prise de contrôle des pages de connexion, enregistrement discret des frappes clavier (keylogger), exploitation instantanée de failles… L’astuce ? Aucun lien externe n’est contacté, rendant ces attaques pratiquement invisibles pour les systèmes antiviraux habituels. Les rapports d’INKY soulignent d’ailleurs que cette méthode permet non seulement de dissimuler efficacement des malwares, mais aussi d’échapper à la plupart des dispositifs de détection traditionnels.

Savoir repérer et éviter le piège

Face à cette sophistication croissante, la vigilance s’impose plus que jamais. Quelques gestes simples permettent cependant de réduire considérablement les risques :

Désactivez l’ouverture automatique des liens après scan dans votre application.
N’entrez jamais d’informations personnelles après avoir scanné un QR code dont la source n’est pas parfaitement identifiée.
Méfiez-vous tout particulièrement des messages insistant sur l’urgence ou proférant une menace concernant vos comptes.

En cas de doute sur un message reçu – que ce soit par mail, SMS ou via les réseaux sociaux – il est recommandé de vérifier auprès de la source officielle en utilisant un canal indépendant. Pour le monde professionnel, signalez systématiquement tout QR code suspect à votre équipe informatique ; pour un usage privé, privilégiez le signalement comme spam ou tentative d’hameçonnage.

L’adaptation indispensable face à une menace persistante

L’adoption massive des QR codes, encouragée par leur simplicité notamment dans les restaurants ou espaces publics, rend ce type d’attaque particulièrement préoccupant. Tandis que les utilisateurs continuent à faire confiance à ces petits carrés noirs sans toujours mesurer les dangers sous-jacents, il serait temps que des acteurs majeurs tels que Google et Apple renforcent leurs protections sur Android et iOS. Une évolution rendue nécessaire face à une cybercriminalité qui n’a pas dit son dernier mot.