JunkMail
Retour au blog

L'arnaque au QR Code : L'histoire de Chloé et de cet e-mail qui semblait si normal

Le phishing ne se cache plus seulement dans les liens. Découvrez l'histoire de Chloé, et comment un simple QR Code a failli lui coûter ses données.

Par Leadership Team25/01/2026

Lundi matin, 9h30. Chloé est devant son ordinateur, au cœur de l'effervescence habituelle. Le téléphone sonne, les notifications s'accumulent, et la liste des tâches à faire semble s'allonger à chaque minute. En triant ses e-mails, elle en repère un qui sort du lot. L'expéditeur est le "Support Technique" de son entreprise, l'objet est sans équivoque : "Action requise : Confirmez votre session pour éviter la suspension de votre compte".

L'e-mail est impeccable. Le logo, les couleurs, la police de caractères... tout est familier. Le message explique qu'en raison d'une nouvelle politique de sécurité, tous les employés doivent se ré-authentifier. Pour ce faire, pas de lien cliquable – on nous a tant répété de nous en méfier – mais un QR code. "Tiens, c'est nouveau," se dit Chloé. "C'est plus moderne, ça doit être la nouvelle procédure officielle. Une image, c'est sûrement plus sûr qu'un lien."

Pressée par le temps, elle saisit son téléphone et scanne le code. Son navigateur s'ouvre sur une page de connexion qui est la réplique parfaite de son portail d'entreprise. Le petit cadenas est là, l'adresse semble correcte à première vue. Sans plus de cérémonie, elle tape son identifiant, son mot de passe, et valide. La page se rafraîchit, la renvoyant vers l'intranet habituel. L'affaire est réglée.

Du moins, c'est ce qu'elle croit. Chloé vient, sans le savoir, de donner les clés de son royaume numérique à des pirates. Elle a été victime de Quishing.

Le tour de passe-passe derrière le QR Code

L'histoire de Chloé pourrait être celle de n'importe qui. Elle illustre parfaitement pourquoi cette arnaque est si redoutable.

1. Le cheval de Troie moderne Le garde du corps de notre boîte mail est un expert pour repérer les liens suspects. Mais ici, il n'y a pas de lien, juste une image. Pour le logiciel de sécurité, ce n'est qu'un carré noir et blanc, aussi inoffensif qu'une photo de chat. Le piège a ainsi pu se faufiler et atterrir dans une boîte de réception qui se croyait bien protégée.

2. Le complice dans votre poche L'attaque a commencé sur l'ordinateur de Chloé, protégé par les boucliers de l'entreprise. Mais le coup de grâce a été porté par son téléphone personnel. En scannant le code, elle a utilisé son propre appareil, qui navigue sur un autre réseau, hors de la forteresse de sécurité de l'entreprise. C'est un tour de passe-passe brillant entre deux mondes, l'un sécurisé, l'autre non.

3. La confiance, l'ennemi de la prudence Au restaurant, pour payer son parking, pour monter dans un train... nous avons été conditionnés à voir les QR codes comme des raccourcis pratiques et inoffensifs. Les pirates le savent. Ils exploitent cette confiance presque aveugle, en y ajoutant une bonne dose de stress ("Votre compte sera suspendu !") pour nous faire agir vite, trop vite.

Comment ne pas être la prochaine Chloé ?

Bonne nouvelle : déjouer ce piège est plus simple qu'il n'y paraît. Il suffit d'activer un super-pouvoir que nous avons tous : la curiosité.

  • Le jeu du "Pourquoi moi, pourquoi comme ça ?". Prenez une seconde de recul. Pourquoi votre service informatique ou votre banque utiliserait-il un QR code pour une action aussi sensible ? C'est extrêmement rare. Dans le doute, ignorez l'e-mail, ouvrez une nouvelle page et connectez-vous au service comme vous le faites d'habitude.

  • Jouez au détective. Avant que votre téléphone n'ouvre la page, il affiche souvent l'adresse du site en tout petit. Prenez le temps de la lire. microsft-support.com n'est pas microsoft.com. secure-connexion.net n'est pas le site de votre entreprise. Une simple lettre peut révéler toute l'arnaque.

  • L'arme secrète : l'alias d'e-mail. Et si Chloé avait utilisé des alias ? L'alias est comme un badge nominatif pour chaque service. Pour Microsoft, elle utiliserait chloe.microsoft@monalias.com. Si elle reçoit l'e-mail piégé sur son adresse chloe.shopping@monalias.com, l'imposture est flagrante. Pourquoi Microsoft lui écrirait-il sur son adresse dédiée aux achats ? C'est un test de cohérence instantané que les pirates ne peuvent pas déjouer.

Que faire si vous avez scanné le code ? Si vous lisez cet article et que l'histoire de Chloé vous semble familière, pas de panique.

  1. Changez immédiatement votre mot de passe sur le site officiel du service concerné.
  2. Activez l'authentification multifacteur (MFA) si ce n'est pas déjà fait.
  3. Signalez l'e-mail comme "Phishing" ou "Hameçonnage" dans votre client de messagerie.

L'histoire à retenir

La mésaventure de Chloé nous apprend une chose : les meilleures arnaques sont celles qui se fondent dans le décor de notre quotidien. Le Quishing est malin, mais son succès repose entièrement sur notre précipitation. Dans notre course à l'efficacité, la sécurité est la première chose que nous sacrifions.

La prochaine fois que vous verrez un QR code dans un e-mail, pensez à Chloé. Prenez une grande inspiration, et offrez-vous ces trois secondes de doute qui font toute la différence. C'est votre meilleure défense.