L’hameçonnage par code QR, également appelé « quishing », figure actuellement parmi les variantes les plus perfides du vaste univers des attaques d’hameçonnage. La raison : le lien malveillant n’apparaît pas directement sous forme de texte dans l’e-mail, mais se trouve «dissimulé» dans un fichier image.
À cela s’ajoute le fait que l’accès s’effectue fréquemment via un terminal mobile privé ou insuffisamment sécurisé. C’est précisément ce déplacement du vecteur d’attaque qui rend l’hameçonnage par code QR si redoutable. L’attaque proprement dite se produit en dehors de l’environnement protégé de l’entreprise.L’attaque proprement dite se déroule en dehors de l’environnement protégé de l’entreprise. Cette méthode contourne ainsi délibérément, et à plusieurs niveaux, les mécanismes de protection traditionnels.
Analyse multicouche pour une protection optimale
Chez Retarus, nous opposons également à l’hameçonnage par code QR une approche multicouche éprouvée et rigoureusement mise en œuvre.. Plutôt que de s’en remettre à une source de données unique ou à une seule technologie d’analyse, notre Advanced Threat Protection (ATP) combine plusieurs procédés d’analyse hautement performants Leur interaction permet d’aboutir à une évaluation globale cohérente et étayée, garantissant un niveau de sécurité optimisé tout en maintenant un taux de faux positifs extrêmement faible.
Dans le cadre du quishing, interviennent notamment :
- Analyse des fichiers basée sur le hachage : lorsqu’un code QR est déjà identifié comme pièce jointe malveillante, il est reconnu et bloqué de manière fiable grâce à son «empreinte numérique.»
- Analyse anti-hameçonnage assistée par l’IA : des moteurs puissants examinent les e-mails sous tous les angles, des caractéristiques structurelles à l’analyse du contenu, en passant par des critères heuristiques et comportementaux.
- Analyse en sandbox : chez Retarus, tous les e-mails sont soumis à un préfiltrage intelligent . Celui-ci garantit que seules les communications pour lesquelles une analyse approfondie apporte une réelle valeur ajoutée sont transférées dans la sandbox – l’un des secrets de nos délais de traitement remarquablement courts. Cela vaut naturellement aussi pour les messages contenant des codes QR. La sandbox peut, le cas échéant, vérifier les URL raccourcies afin de lever le voile sur des adresses cibles dissimulées.
L’élément décisif réside dans l’interaction fluide des différents algorithmes d’analyse. En pratique, ce n’est que rarement le code QR en tant que tel qui constitue l’unique signal d’alerte. D’autres indicateurs apparaissent souvent, par exemple dans les en-têtes, la structure du message ou le comportement global de l’e-mail. Notre approche analytique multicouche garantit que les résultats ne sont jamais évalués isolément, mais toujours replacés dans leur contexte.
Protection contre le quishing en tant que composante de Retarus Advanced Threat Protection
Autre différence majeure par rapport à de nombreux prestataires : chez Retarus, la protection contre l’hameçonnage par code QR ne nécessite aucune option supplémentaire. Elle fait partie intégrante du pack ATP. L’exigence est claire : nos clients doivent bénéficier en permanence de l’état le plus récent de la défense contre les menaces, sans avoir à intégrer manuellement de nouveaux scénarios d’attaque ni à activer des services additionnels. Dans le cas de méthodes d’attaque évolutives comme le quishing, cet aspect est déterminant.
