Quishing 2026 : pourquoi le phishing par QR code explose dans les boîtes mail des PME (et comment vos collaborateurs se font piéger en 8 secondes)

En janvier 2026, Cisco Talos publiait des chiffres alarmants : les emails contenant un QR code malveillant ont été multipliés par 8 en 18 mois, et 60 % d'entre eux passent les filtres anti-phishing classiques. Sur les TPE/PME françaises que j'accompagne, c'est devenu LA nouvelle vague — celle qui contourne ce qu'on avait mis en place pour stopper le phishing traditionnel. Voici pourquoi le quishing fonctionne si bien, et ce qui marche réellement pour l'arrêter.

Quishing : la mécanique de l'attaque

Le mot "quishing" vient de "QR" + "phishing". Le principe : au lieu d'envoyer un email avec un lien cliquable, l'attaquant intègre un QR code dans l'email — souvent dans une image PNG ou directement dans une pièce jointe PDF. Le prétexte type : "Votre boîte mail va expirer dans 24h, scannez ce QR code pour la réauthentifier", ou "Document confidentiel reçu, scannez pour ouvrir".

Le collaborateur sort son téléphone pour scanner — geste devenu banal depuis le COVID — et atterrit sur une page de phishing Microsoft 365 parfaitement imitée. Ses identifiants partent à l'attaquant. Temps moyen entre la réception du mail et la soumission des identifiants : 8 secondes.

Pourquoi ça contourne les protections

Trois raisons qui en font une menace particulièrement vicieuse :

1. Les filtres anti-phishing ne lisent pas les QR codes — du moins, pas la majorité d'entre eux. Un QR code, c'est juste une image. Pour vérifier l'URL qu'il contient, il faut un OCR + un décodeur spécifique. Microsoft Defender for Office 365 a déployé une détection en juillet 2025, Barracuda en septembre 2025 — mais Exchange Online classique, Google Workspace gratuit, et la plupart des solutions premier prix ne scannent pas.

2. Le scan se fait depuis le téléphone personnel — donc en dehors du périmètre de l'entreprise. Pas de filtre DNS, pas de proxy, pas d'EDR mobile dans 95 % des PME. La page de phishing s'affiche directement, sans alerte.

3. Le téléphone affiche l'URL en tout petit avant le clic — ou ne l'affiche pas du tout selon l'app de scan. L'utilisateur ne voit que "Connectez-vous à Microsoft" sur une interface visuellement identique à la vraie.

Les variantes qu'on voit sur le terrain en 2026

La "session expirée" — la plus courante

Email semblant venir de l'IT interne ou de Microsoft : "Votre session Microsoft 365 va expirer dans 24h. Scannez ce QR code depuis votre téléphone pour la prolonger." Cible : tous les utilisateurs M365, y compris ceux qui ne reçoivent jamais de mail externe. Variante : "Votre mot de passe expire aujourd'hui, scannez pour renouveler."

Le "document partagé"

PDF en pièce jointe avec un QR code à l'intérieur, présenté comme la "vraie" façon d'accéder à un document confidentiel (RH, devis, contrat). Joue sur la curiosité + l'urgence. Cible : services RH, compta, direction.

La "facture impayée"

Email du faux fournisseur avec un QR code à scanner pour "consulter la facture en attente". Variante observée à Avignon en mars 2026 : faux email d'Engie reproduisant à la perfection la charte graphique, QR code menant vers un faux portail Engie avec champ mot de passe.

Le QR code physique (rare mais redoutable)

Stickers collés en vrai sur des bornes de paiement, parkings publics, panneaux publicitaires : le QR code original est recouvert par celui de l'attaquant. Anecdote terrain : un client à Avignon s'est fait pirater son compte bancaire après avoir scanné le QR d'un faux "parcmètre" sur le parking du Champfleury.

Pourquoi vos protections existantes ne suffisent pas

Si vous avez fait ce que la plupart des PME font (filtre anti-spam premier prix, sensibilisation au phishing classique, MFA par SMS), vous êtes vulnérable au quishing. Voici les angles morts :

Filtres email basiques : Microsoft Exchange Online basique, ProtonMail Business basique, OVH Mail Plus : aucun de ces filtres ne décode systématiquement les QR codes dans les images attachées en mai 2026. Le mail arrive dans la boîte du collaborateur.

MFA par SMS : une fois les identifiants volés, l'attaquant lance un push MFA spam (MFA fatigue) ou utilise un proxy adversary-in-the-middle (AiTM) avec Evilginx pour intercepter aussi le code SMS. Le compte est compromis.

Sensibilisation théorique : "ne cliquez pas sur les liens suspects" ne fonctionne pas pour un QR code — il n'y a pas de lien visible. La formation doit être spécifique.

Ce qui fonctionne vraiment contre le quishing

1. Filtre anti-phishing qui décode les QR codes

Sur Microsoft 365, Defender for Office 365 Plan 2 détecte les QR codes malveillants depuis juillet 2025 (fonctionnalité "Image-based phishing detection"). À activer dans le portail Security. Sur Google Workspace, Beyond Standard tier ajoute la détection. Pour les autres providers : passer à une solution dédiée comme Barracuda Email Protection (≈40 €/utilisateur/an), Vade Secure ou Proofpoint.

2. MFA sans SMS — application ou clé physique

Microsoft Authenticator avec number matching activé (l'utilisateur doit taper un code affiché à l'écran de l'app, pas juste valider), ou mieux : clés Yubikey FIDO2 pour les comptes admins et dirigeants. Une AiTM ne peut PAS intercepter une FIDO2 — c'est mathématique. Coût : 50 € par clé, à amortir sur 5 ans.

3. Conditional Access avec restriction géographique

Sur Microsoft 365 Business Premium et Entreprise, configurer une politique d'accès conditionnel qui bloque les connexions depuis l'étranger (sauf liste blanche pour les commerciaux qui voyagent). 90 % des attaquants se connectent depuis Russie, Vietnam, Nigeria, Brésil. Une simple geofence neutralise l'attaque même si les identifiants sont compromis.

4. Sensibilisation spécifique quishing

Inclure le quishing dans votre campagne de sensibilisation trimestrielle : exemples concrets (capture d'écran d'un mail réel), démo en direct du flux d'attaque, simulation avec un QR code de test mesurant le taux de scan + le taux de soumission d'identifiants. Les outils KnowBe4 et Riot intègrent désormais des scénarios quishing — utilisez-les.

5. URL preview activée sur les téléphones pro

Sur iPhone : "Réglages > Appareil photo > Codes scannés > Afficher avant ouverture". Sur Android : selon la marque, généralement par défaut. Le téléphone affiche l'URL complète avant d'ouvrir le navigateur — au minimum, le collaborateur voit "login-microsoft-365.ru" et tique.

Plan d'action 30 jours pour une PME de 5 à 50 postes

Semaine 1 : audit de votre filtre email — décode-t-il les QR codes ? Si non, basculer ou upgrader. Coût indicatif : 0 € (si vous êtes déjà sur Business Premium M365) à 40 €/utilisateur/an (Barracuda).

Semaine 2 : migrer tout le monde du MFA SMS vers MFA app. 1h de configuration par utilisateur, on peut faire en visio. Acheter 3-5 Yubikey pour dirigeants + admins (200-300 €).

Semaine 3 : déployer Conditional Access avec geofence FR + pays partenaires. 1h de configuration totale.

Semaine 4 : campagne de simulation quishing — qui scanne, qui soumet ses identifiants. Formation ciblée pour les collaborateurs qui sont tombés dans le piège. C'est en se confrontant à un faux mail réaliste qu'on apprend, pas en lisant des guides.

Et si un de mes collaborateurs s'est fait avoir ?

Réflexes immédiats : changer le mot de passe du compte M365 / Google compromis ET révoquer toutes les sessions actives (sinon l'attaquant garde l'accès via les tokens). Sur M365 : "Sign out" depuis Azure AD > Utilisateur > Sessions actives. Audit Microsoft 365 sign-in logs : depuis quelle IP, à quelle heure, quels mails ont été consultés. Souvent l'attaquant configure une règle d'inbox forwarding vers son adresse — à supprimer en priorité.

Si compte admin compromis : c'est plus grave. Audit complet d'AD, rotation des secrets, vérification qu'aucune nouvelle application enregistrée n'a été créée par l'attaquant (technique courante en 2026 : créer une application OAuth avec permissions Mail.Read pour persister discrètement).

En résumé

Le quishing est l'évolution naturelle du phishing à mesure que les filtres se sont améliorés sur les emails textuels. Pour les PME, c'est devenu la première source de compromission de comptes Microsoft 365 / Google Workspace en 2026.

La protection passe par trois piliers indissociables : filtre email qui décode les QR codes, MFA sans SMS, sensibilisation spécifique. Aucun ne suffit seul. Tous combinés, on neutralise 95 % des attaques quishing — le reste tombe sous l'EDR si l'attaquant essaie de bouger latéralement.