Accueil / Blog / General / Les cybercriminels utilisent l’ASCII art pour masquer des QR codes malveillants

Les cybercriminels utilisent l’ASCII art pour masquer des QR codes malveillants

Vous recevez un e-mail. L'expéditeur semble connu, le message paraît professionnel, et un QR code vous invite à scanner pour accéder à un document confidentiel en attente de signature. Rien d'inhabituel en apparence ce type de notification est devenu parfaitement banal dans l'environnement de travail moderne. Vous sortez votre téléphone, vous scannez, vous saisissez vos identifiants. Et c'est à ce moment précis que tout bascule. Ce que vous ne saviez pas, c'est que ce QR code n'était pas une image.

C'était du texte des caractères Unicode soigneusement assemblés pour ressembler à un QR code et c'est précisément pour cette raison que votre solution de sécurité ne l'a pas vu venir. Bienvenue dans l'ère du phishing par ASCII art.

Qu'est-ce que l'ASCII art et pourquoi refait-il surface ?

L’ASCII (American Standard Code for Information Interchange) art consiste à créer des visuels à partir de caractères textuels. Apparue dans les premières années de l’informatique, cette technique a connu un regain de popularité dans les années 2000, lorsque les spammeurs l’utilisaient pour contourner les filtres anti-spam en déguisant certains contenus sensibles. Aujourd’hui, elle refait surface dans un contexte bien plus sophistiqué : des cybercriminels l’exploitent pour générer des QR codes malveillants entièrement composés de texte. L’objectif est de contourner les outils de sécurité capables d’analyser les images intégrées aux e-mails. En d’autres termes, les attaquants reviennent au texte, mais un texte conçu pour ressembler à une image.

À quoi ressemble le phishing par ASCII art ?

Voici à quoi ressemble concrètement un e-mail de phishing utilisant cette technique — et pourquoi il est si difficile à détecter au premier coup d'œil :

Trois signaux d’alerte ressortent : un domaine expéditeur imitant une marque connue, un QR code composé de caractères textuels plutôt que d’une image classique, et une demande de saisie d’identifiants professionnels via un smartphone, une pratique rarement légitime en entreprise.

Comment fonctionne l'attaque concrètement ?

Le phishing suit un schéma classique : la victime reçoit un e-mail l’invitant à scanner un QR code pour accéder à un document confidentiel et saisir ses identifiants professionnels. La nouveauté réside dans la manière dont le QR code est dissimulé.

Contrairement à un QR code classique sous forme d’image, celui-ci est créé à partir de caractères Unicode. Il paraît normal à l’œil humain, mais peut passer inaperçu aux outils de sécurité qui analysent les images et pièces jointes.

Dans le code source, il n’y a aucune image, uniquement du texte structuré. Les scanners de liens et les outils d’analyse d’images ne détectent donc rien, permettant à l’e-mail malveillant de contourner les filtres de sécurité.

Ce que cette technique permet aux attaquants de contourner :

Filtres antispam basés sur les mots-clés
Outils d’analyse d’images des passerelles e-mail
Scanners de QR codes recherchant des images
Solutions n’analysant pas le rendu visuel du texte brut

Pourquoi les QR codes malveillants sont-ils particulièrement dangereux ?

Les QR codes malveillants constituent déjà une menace bien connue, et l'utilisation de l'ASCII art renforce encore leur capacité à contourner les défenses. Bien qu'un QR code puisse avoir des usages légitimes, demander à un utilisateur de scanner un code pour saisir ses identifiants professionnels doit immédiatement éveiller les soupçons.

Le risque est double : le scan déplace l'interaction vers un smartphone, souvent moins protégé et où les URL sont plus difficiles à vérifier, tandis que l'action est rapide et instinctive. Lorsqu'un QR code est généré en ASCII art, son objectif est généralement clair : contourner les contrôles de sécurité pour mener une attaque de phishing.

Ce que ça révèle sur l'évolution des tactiques d'attaque

Cette technique illustre une tendance croissante : les attaquants exploitent l’écart entre ce que les outils de sécurité analysent et ce que les utilisateurs voient. En utilisant l’ASCII art pour masquer des QR codes malveillants, ils ne contournent plus les défenses par la force, mais par la tromperie, rendant ces attaques plus difficiles à détecter pour des outils non conçus pour analyser le rendu visuel du texte.

Comment se protéger : conseils de prévention

Déployer une passerelle e-mail avec analyse comportementale : les solutions capables d'analyser non seulement les pièces jointes et les images, mais aussi le rendu visuel du contenu textuel constituent la première ligne de défense contre ce type d'attaque.
Bloquer ou filtrer les e-mails contenant des QR codes non sollicités : dans un contexte professionnel, l'usage légitime d'un QR code dans un e-mail entrant est suffisamment rare pour justifier une règle de filtrage dédiée ou une mise en quarantaine automatique.
Étendre la politique de sécurité aux appareils mobiles : les smartphones utilisés pour scanner des QR codes dans des e-mails professionnels doivent être couverts par la politique de sécurité de l'entreprise. Des solutions de gestion unifiée des terminaux permettent d'appliquer des politiques d'accès conditionnel et de bloquer les accès à des domaines non approuvés, y compris depuis le parc mobile. ManageEngine Mobile Device Manager Plus est l'une des solutions qui répondent à ce besoin.
Centraliser la gestion des incidents e-mail : lorsqu'un collaborateur signale un e-mail suspect contenant un QR code, le traitement doit être rapide et traçable. Disposer d'un outil ITSM structuré pour gérer ces remontées, assigner les investigations et conserver un historique des cas aide à identifier des patterns d'attaque récurrents. C'est précisément ce que permet ManageEngine ServiceDesk Plus dans un workflow d'incident formalisé.
Former les équipes à reconnaître les signaux d'alerte : un QR code dans un e-mail demandant des identifiants professionnels est un signal d'alarme, quelle que soit l'apparence du message. Cette règle simple, bien intégrée, peut déjouer la grande majorité des tentatives.
Ne jamais scanner un QR code reçu par e-mail sans vérification préalable : avant tout scan, vérifier l'expéditeur, le contexte de la demande et si possible contacter l'expéditeur présumé par un autre canal pour confirmer la légitimité du message.

Conclusion

L'utilisation de l'ASCII art pour dissimuler des QR codes malveillants dans des e-mails de phishing n'est pas qu'une anecdote technique amusante. C'est le symptôme d'une réalité que les équipes de sécurité doivent intégrer : les attaquants s'adaptent plus vite que les outils ne se mettent à jour. Face à des techniques qui exploitent les angles morts des solutions de détection classiques, la combinaison d'outils capables d'analyser le rendu visuel des e-mails, d'une gestion rigoureuse des appareils mobiles et d'une sensibilisation continue des utilisateurs reste la réponse la plus robuste.