Phishing par QR Code et Deepfakes : Les nouvelles menaces à surveiller 

par | | Information Technologies

La cybersécurité est une course sans fin entre les défenseurs et les attaquants. Alors que les entreprises se protègent contre les menaces classiques (email spoofing, rançongiciels), les cybercriminels affinent leurs techniques. Deux vecteurs d’attaque, utilisant des technologies en apparence inoffensives ou innovantes, montent en puissance et nécessitent une vigilance accrue : le Phishing par QR Code et les Deepfakes. 

1. Le Phishing par QR Code (Quishing) : Le Danger Imprimé 

Le code QR a connu un essor fulgurant, notamment depuis la pandémie, pour accéder rapidement à des menus, des informations ou des systèmes de paiement. Or, cette simplicité est devenue une faille de sécurité majeure. 

Comment fonctionne le Quishing ? 

Le Quishing est une forme d’attaque par phishing où le lien malveillant n’est pas transmis par texte, mais encodé dans un code QR. 

  1. L’Attaque : Les cybercriminels remplacent un code QR légitime (sur une borne de recharge, une facture, un affichage public, un courrier) par un code frauduleux. 
  1. La Cible : L’utilisateur scanne le code (souvent sans vérification, car les lecteurs sont intégrés aux smartphones). 
  1. Le Piège : Il est redirigé vers une fausse page de connexion (banque, service Cloud, outil interne) conçue pour voler ses identifiants. 

Stratégies de Défense Contre le Quishing 

  • Vérification de l’URL : Après avoir scanné le code, prenez toujours le temps de vérifier l’adresse URL dans la barre de navigation avant de saisir vos informations. Une URL suspecte est souvent un signe d‘alerte. 
  • Utilisation d’un Scanner Sécurisé : Certains scanners d’applications mobiles affichent l’URL encodée avant de procéder à la redirection. Il est conseillé d’utiliser des applications de lecture qui offrent cette prévisualisation. 
  • Vigilance Contextuelle : Soyez extrêmement méfiant face aux QR codes reçus par email ou par courrier si vous n’attendiez aucune communication de ce type. 

2. Les Deepfakes : Quand la Réalité Devient Fictive 

Les Deepfakes sont des médias synthétiques (vidéos, audio) hyperréalistes créés par des algorithmes d’intelligence artificielle. Ces technologies sont désormais assez matures et accessibles pour être utilisées dans des attaques sophistiquées. 

Des Attaques de plus en plus Personnalisées 

Le risque principal lié aux Deepfakes en entreprise est l’ingénierie sociale avancée : 

  • L’usurpation Vocale (Audio Deepfake) : Un fraudeur utilise une voix clonée (souvent capturée à partir de vidéos ou d’appels publics) d’un dirigeant (CEO) ou d’un responsable financier pour appeler un employé. Le but est d’ordonner un virement urgent ou de débloquer l’accès à des données sensibles, profitant de la confiance et de la pression hiérarchique. 
  • L’usurpation Vidéo : Bien que plus coûteuse à produire, la vidéo Deepfake peut être utilisée lors d’une visioconférence. Un pirate se fait passer pour un partenaire ou un collègue, participant à une réunion pour glaner des informations ou obtenir l’approbation d’une action frauduleuse. 

Comment Détecter et Se Protéger des Deepfakes ? 

La détection des Deepfakes est complexe, car la qualité de la synthèse s’améliore constamment. La défense repose sur des processus stricts plutôt que sur la seule technologie : 

  • Instaurer le Double Vérification : Pour toute transaction financière urgente ou demande d’accès inhabituelle, exigez une vérification par un second canal. Si l’ordre est donné par téléphone, confirmez-le par un email (que vous composez vous-même) ou un message instantané. 
  • Sensibilisation aux Indices Visuels/Auditifs : Apprenez aux équipes à être attentives aux anomalies : mouvements saccadés (vidéo), manque d’émotion (audio), ou incohérence dans le message par rapport aux habitudes de l’interlocuteur. 
  • Protocoles clairs : Formalisez des protocoles de validation pour les virements et l’accès aux données. Ces protocoles doivent ignorer toute demande effectuée en urgence sans les vérifications d’usage. 

Conclusion : L’Humain, Première Ligne de Défense 

Ces nouvelles menaces technologiques exploitent toujours la même vulnérabilité fondamentale : le facteur humain. Face au Quishing et aux Deepfakes, la meilleure protection n’est pas un logiciel, mais une culture de la vigilance en interne. 

La formation continue de vos employés aux signaux d’alerte et l’établissement de protocoles de vérification stricts sont essentiels pour transformer vos collaborateurs en votre première ligne de défense contre l’évolution rapide de la cybercriminalité.