Le qishing cible les passerelles de paiement e-commerce
Une nouvelle campagne de qishing vise les passerelles de paiement e-commerce. Protégez vos clients et générez des QR codes avec notre outil sécurisé.

La technique du qishing (ou hameçonnage par code QR) a atteint un niveau de complexité technique sans précédent. Récemment, des experts en sécurité informatique ont mis en évidence une campagne mondiale ciblant directement les passerelles de paiement intégrées aux sites de commerce électronique (e-commerce). Cette attaque ne repose pas sur de simples e-mails frauduleux, mais modifie de manière dynamique les éléments côté client pour substituer les codes QR de transaction légitimes par des codes appartenant à des cybercriminels.
Dans cette analyse technique, nous détaillons le fonctionnement de cette campagne, ses mécanismes d'évitement et les solutions pratiques pour protéger votre boutique en ligne et vos clients.
Qu'est-ce que le Qishing et Comment Fonctionne-t-il dans l'E-Commerce ?
Le terme qishing est issu de la fusion entre « QR Code » et « Phishing ». Alors que les filtres de messagerie traditionnels détectent facilement les hyperliens malveillants textuels, le qishing dissimule l'URL suspecte à l'intérieur d'une image matricielle bidimensionnelle.
Dans l'e-commerce moderne, l'utilisation de codes QR est très répandue pour valider des transactions via des portefeuilles numériques, des virements bancaires instantanés ou des paiements en cryptomonnaies. L'utilisateur s'attend à ce que le code QR affiché sur l'interface sécurisée représente le compte de facturation officiel du marchand.
Lors de cette nouvelle campagne, les attaquants exploitent des vulnérabilités de type Cross-Site Scripting (XSS) ou des extensions tierces obsolètes dans le système de gestion de contenu (CMS) du site. Lorsqu'un client lance le processus de paiement, un script malveillant intercepte le conteneur HTML du code QR et le remplace par celui des fraudeurs. Confiant dans l'apparence sécurisée du site (notamment grâce au protocole HTTPS), le client scanne le code QR et procède au paiement, transférant ainsi ses fonds directement sur le compte de l'attaquant.
Le Modus Operandi de cette Campagne de Vol de Transactions
La sophistication technique de cette campagne repose sur plusieurs étapes clés visant à s'infiltrer discrètement dans le parcours d'achat :
- Compromission de la chaîne d'approvisionnement : Les attaquants ciblent les scripts JavaScript ou les modules de paiement tiers non mis à jour.
- Substitution dynamique du DOM : Un script furtif surveille le DOM (Document Object Model) pour identifier l'apparition d'images de paiement.
- Usurpation visuelle : Le code QR frauduleux intègre des logos officiels en son centre afin de maximiser la confiance du client.
- Redirection dynamique par agent utilisateur : Pour éviter d'être détectée par les robots d'indexation de sécurité, l'URL du QR code analyse l'Agent Utilisateur (User Agent). Elle ne redirige vers le site de phishing que si la demande provient d'un appareil mobile.
Le tableau suivant montre les étapes clés de cette fraude par rapport à une transaction normale :
| Étape de la Transaction | Flux Légitime | Flux Compromis (Qishing) |
|---|---|---|
| 1. Choix du paiement | Le client sélectionne le paiement par code QR. | Le client sélectionne le paiement par code QR. |
| 2. Génération du code | Le serveur génère un code QR de paiement unique. | Le script malveillant intercepte le conteneur de paiement. |
| 3. Affichage sur l'écran | Affichage du code QR officiel de la boutique. | Remplacement invisible par le code QR du pirate. |
| 4. Scan & Validation | Le client scanne et valide la transaction. | Le client scanne et envoie l'argent à l'adresse du pirate. |
| 5. Confirmation | La boutique confirme et valide la commande. | La session expire ou indique une fausse erreur réseau. |
Méthodes d'Évasion et Limites des Systèmes Traditionnels
Les passerelles de messagerie classiques et les pare-feu applicatifs Web (WAF) peinent à contrer le qishing. Décoder chaque image en temps réel, exécuter des algorithmes de reconnaissance de caractères (OCR) et analyser les hyperliens sous-jacents exige une puissance de calcul trop élevée pour être généralisée.
De plus, les attaquants utilisent des techniques d'obfuscation d'URL sophistiquées. Même en décodant le code QR, le lien peut utiliser des attaques homographiques (caractères Unicode ressemblant à des lettres de l'alphabet latin) ou des sous-domaines complexes (comme login.client-securise.fr.attaquant-serveur.xyz) pour contourner les règles heuristiques classiques.
Pour en savoir plus sur la détection de ces techniques de redirection, nous vous invitons à consulter notre guide sur l'identification des redirections d'URL de phishing et l'analyse des sauts DNS.
Script en Python : Décodage et Analyse de Codes QR
Pour aider les équipes techniques et les administrateurs système à auditer les images de codes QR de paiement, voici un script simple en Python permettant de décoder l'image et d'inspecter les redirections réseau de manière automatisée :
import requests
from PIL import Image
from pyzbar.pyzbar import decode
import urllib.parse
def analyser_code_qr(chemin_image):
print(f"[*] Analyse de l'image : {chemin_image}")
try:
# Charger et décoder le code QR
img = Image.open(chemin_image)
objets_codes = decode(img)
if not objets_codes:
print("[-] Aucun code QR trouvé dans l'image.")
return
for obj in objets_codes:
url_detectee = obj.data.decode('utf-8')
print(f"[+] URL décodée : {url_detectee}")
# Extraire le domaine de destination
domaine = urllib.parse.urlparse(url_detectee).netloc
print(f"[*] Domaine cible : {domaine}")
# Suivre les redirections réseau
entetes = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)'}
reponse = requests.get(url_detectee, headers=entetes, allow_redirects=True, timeout=5)
print(f"[+] URL de destination finale : {reponse.url}")
if reponse.url != url_detectee:
print("[!] Attention : Le code QR utilise des redirections intermédiaires.")
except Exception as e:
print(f"[-] L'analyse a échoué : {str(e)}")
# Exemple d'utilisation
# analyser_code_qr("facture_paiement.png")
Ce script s'appuie sur la bibliothèque pyzbar pour extraire la chaîne de caractères du QR code et utilise requests pour suivre l'historique des requêtes HTTP. Cet outil peut facilement être planifié dans vos processus d'intégration continue (CI/CD).
Mesures de Protection pour Sécuriser votre E-Commerce
L'atténuation du risque de qishing repose sur une approche de sécurité multicouche. Nous vous conseillons d'adopter les stratégies suivantes :
- Signature cryptographique des QR codes : Calculez une signature du côté serveur pour chaque image de paiement générée. L'application cliente doit impérativement valider cette signature avant le rendu visuel.
- Audits réguliers des dépendances : Effectuez des analyses statiques et dynamiques de vos extensions Web. Vous trouverez des explications détaillées dans notre article sur les audits SAST/DAST pour le développement de logiciels sécurisés.
- Politique de sécurité de contenu (CSP) stricte : Déployez des en-têtes CSP restrictifs pour empêcher l'exécution de scripts JavaScript non approuvés et bloquer le chargement de médias provenant de sources externes non autorisées.
- Validation des métadonnées : Intégrez des mécanismes qui affichent clairement le nom du marchand directement au sein de l'application de paiement mobile de l'utilisateur.
- Sensibilisation à l'ingénierie sociale : Sensibilisez vos clients aux risques de manipulation psychologique en ligne. Lisez notre article détaillé sur le hacking humain et l'ingénierie sociale.
Conclusion
Le qishing s'impose comme une menace redoutable pour l'e-commerce moderne, profitant de la popularité croissante des codes QR pour contourner les contrôles traditionnels de sécurité. La lutte contre cette fraude exige des développeurs une vigilance accrue lors de la génération des interfaces de paiement et une validation stricte du DOM.
Pour générer des codes QR sécurisés pour votre entreprise ou vos besoins personnels, utilisez notre Générateur de QR code en ligne. Contrairement aux solutions tierces courantes, notre outil effectue l'intégralité du traitement localement dans votre navigateur, sans conserver vos données ni rediriger vos liens vers des serveurs publicitaires.
Sources et références externes conseillées :
- Cybersecurity and Infrastructure Security Agency (CISA) — Alertes de sécurité officielles concernant l'hameçonnage par code QR.
- World Wide Web Consortium (W3C) — Directives de mise en œuvre de la Content Security Policy (CSP).
- Article lié sur TecnoCrypter : Qishing : l'arnaque aux codes QR
- Article lié sur TecnoCrypter : Maliciel du presse-papiers et fraudes QR


