Tech

Alerte phishing : des QR codes cachés dans de l’ASCII art — le piège invisible qui contourne vos filtres mail

Nouvelle tactique de phishing : les cybercriminels cachent des QR codes dans de l’ASCII art

Une technique de fraude ingénieuse et inquiétante a été récemment mise en lumière par les spécialistes : des cybercriminels utilisent de la « ASCII art » pour dissimuler des codes QR pointant vers des sites de phishing. L’objectif est simple mais efficace : tromper les filtres de messagerie et les outils d’analyse d’images, et pousser les victimes à scanner un code qui les redirige vers une page factice où l’on récupère leurs identifiants.

Comment fonctionne l’attaque ?

Le schéma d’attaque observé par les chercheurs consiste en plusieurs étapes :

  • Envoi d’un e‑mail de type « document confidentiel » ou « notification importante » contenant une image.
  • Cette image semble anodine mais, une fois agrandie, révèle un code QR construit à l’aide de caractères ASCII ou de caractères Unicode invisibles à l’œil nu.
  • Le destinataire est invité à scanner le QR code pour accéder à un document ou pour se connecter — action qui le renvoie vers un site de phishing demandant ses identifiants.
  • Les outils automatiques qui analysent les images et les filtres antispam ne détectent pas le lien caché, car le QR est encodé via des caractères et non comme une image classique.

    • Pourquoi l’ASCII art est efficace contre les protections

    Historiquement, l’ASCII art était utilisé à une époque où les images étaient coûteuses ou difficiles à transmettre ; aujourd’hui, les cybercriminels détournent ce langage de caractères pour masquer des informations dans des blocs de texte ou d’images reconstruites à partir de caractères spéciaux. Les filtres traditionnels cherchent des patterns d’URL, des signatures d’images ou des métadonnées ; or, un code QR « dessiné » en ASCII échappe souvent à ces heuristiques, surtout si des caractères Unicode invisibles sont utilisés pour scinder ou dissimuler le motif.

    Article à lire  Edge 146 : les 7 changements qui vont bouleverser votre navigateur (Copilot, vie privée, fin d’options)

    Un exemple concret et ses implications

    Les laboratoires de Kaspersky ont documenté un exemple typique : un message promettant un document confidentiel, disponible après la lecture d’un QR. Le code, à première vue, ressemble à une illustration ; mais agrandi, il révèle le motif d’un QR. Le lien encodé mène à une page mimant un service de messagerie ou un portail professionnel, où l’utilisateur croit saisir ses identifiants légitimes. La compromission peut ainsi viser des comptes de messagerie professionnels, des solutions cloud d’entreprise ou tout autre service ciblé.

    Quels sont les outils qui détectent (ou non) cette méthode ?

  • Les solutions classiques d’analyse d’images et certains filtres antispam peuvent manquer ce type de code car elles ne « voient » pas le QR en tant que tel.
  • Certaines suites de sécurité avancées, comme celles de Kaspersky, ont toutefois détecté des variantes de cette technique en analysant différemment la présence de motifs encodés dans du texte ou en recherchant des anomalies dans la composition des images.
  • Comparativement, les détections manuelles et les analyses contextuelles (vérification du domaine d’envoi, heuristiques sur le contenu du message) restent essentielles pour repérer l’anomalie.

    • Pourquoi le QR code reste un vecteur privilégié

    Les QR codes sont massivement utilisés pour des usages légitimes : connexion à WhatsApp Web, accès sécurisé via des applications d’identité, paiements mobiles, etc. Leur popularité les rend efficaces pour la fraude car l’utilisateur a l’habitude de scanner un QR pour accéder rapidement à un service. Ajoutez à cela l’effet d’urgence d’un e‑mail soi‑disant important, et le piège est souvent refermé avant que la victime ne réalise la supercherie.

    Article à lire  Mise à jour urgente : Microsoft Edge corrige une faille haute gravité — devez‑vous mettre à jour tout de suite ?

    Mesures de protection à adopter immédiatement

  • Ne jamais scanner un QR issu d’un e‑mail non sollicité ou d’une source inconnue sans vérification préalable.
  • Vérifier l’expéditeur : un nom ressemblant à celui d’un collègue peut masquer une adresse différente — inspectez le domaine d’envoi.
  • En entreprise, sensibiliser les collaborateurs : les services IT doivent rappeler les procédures pour la validation des pièces jointes et des demandes de connexion.
  • Utiliser une solution de sécurité capable d’analyser le contenu des images et de détecter des motifs atypiques (caractères Unicode inhabituels, densité de symboles, etc.).
  • En cas de doute, demander aux sources officielles (service RH, support informatique) la confirmation d’un envoi avant toute interaction.

    • Que doivent faire les organisations ?

    Les entreprises doivent renforcer leur formation anti‑phishing en expliquant non seulement les menaces classiques (liens, pièces jointes) mais aussi les vecteurs innovants comme les QR cachés. Les équipes de sécurité doivent intégrer des règles d’analyse d’images et des contrôles post‑scan : par exemple, un QR scanné depuis une messagerie d’entreprise devrait déclencher une prévisualisation du lien (ou un avertissement) avant l’ouverture dans un navigateur.

    Le signe d’une menace en évolution

    Cette utilisation de l’ASCII art pour dissimuler des QR codes illustre la créativité croissante des attaquants, qui cherchent en permanence à contourner les protections automatiques. Elle rappelle que la lutte contre le phishing est un effort combiné : outils techniques, vigilance humaine et formation continue. Les défenseurs doivent adapter leurs heuristiques et enseigner aux utilisateurs les réflexes qui sauvent — notamment la vérification systématique des sources avant toute action.

    Article à lire  L’ONU prépare un traité sur l’IA militaire : va‑t‑on vraiment interdire les robots tueurs ou assister à un simple coup de com ?

    Questions à retenir

  • Vos outils de sécurité détectent‑ils des motifs étranges dans les images ou des caractères Unicode invisibles ?
  • Votre entreprise a‑t‑elle une procédure claire en cas de réception d’un document « sensible » par e‑mail ?
  • Avez‑vous sensibilisé les collaborateurs à la fragilité des QR codes et aux contresignes du phishing moderne ?

    • Related Posts

    You May Have Missed