Sécurité·5 min·

QR code phishing — comment se protéger du quishing

Le « quishing » (contraction de « QR code phishing ») est devenu, depuis 2023, l'une des arnaques les plus efficaces. Le principe est simple : un attaquant remplace un vrai QR par un faux, qui redirige vers une page de vol de données. Voici comment éviter le piège.

Pourquoi le QR est-il un vecteur si efficace ?

Trois raisons :

  • L'utilisateur ne voit pas l'URL avant d'ouvrir le lien — contrairement à un email.
  • Le contexte (parking, restaurant, affiche officielle) inspire confiance.
  • Sur mobile, les URLs sont souvent tronquées et difficiles à lire.

Les arnaques les plus fréquentes en 2026

  • Bornes de paiement parking : un autocollant masque le vrai QR. La page imite l'opérateur et demande la carte bancaire.
  • Faux QR de stationnement sur les horodateurs et les voitures.
  • Faux QR de menu restaurant qui collecte numéro de table + carte bleue pour « activer le paiement ».
  • QR sur affiches sauvages promettant un cadeau ou un remboursement.
  • QR dans des emails professionnels imitant Microsoft 365 ou Google Workspace, pour voler les identifiants.

Comment reconnaître un faux QR code

  • Autocollant collé par-dessus : grattez délicatement le coin, un faux QR se décolle facilement.
  • Décalage visuel : le QR ne semble pas faire partie du design original (encre différente, papier différent, taille incohérente).
  • Aucun contexte officiel : un QR seul, sans logo ni texte de marque autour, est suspect.
  • Promesse trop belle : « scannez et gagnez 100 € »… c'est presque toujours du phishing.

Les bons réflexes au scan

  1. Lisez l'URL complète affichée par votre téléphone avant d'ouvrir.
  2. Vérifiez que le domaine correspond à la marque attendue (par exempleindigo.fr pour Indigo Parking, pas indigo-parking-secure.com).
  3. Vérifiez la présence de HTTPS (cadenas dans la barre du navigateur).
  4. Ne saisissez jamais de carte bancaire sur une page atteinte via un QR public sans avoir vérifié l'URL manuellement.

Côté création : protéger ses utilisateurs

Si vous distribuez un QR public (menu, packaging, affiche) :

  • Pointez vers un domaine en HTTPS que vous contrôlez.
  • Évitez les raccourcisseurs externes (bit.ly, tinyurl) qui masquent la destination.
  • Imprimez votre logo et nom de marque à proximité du QR.
  • Préférez les QR avec logo intégré : plus difficiles à contrefaire à l'autocollant.
  • Pour les paiements, utilisez un QR SEPA officiel ou un service de paiement reconnu, jamais un QR vers une page de formulaire.

Que faire si vous avez scanné un QR malveillant ?

  1. Ne saisissez rien sur la page ouverte.
  2. Si vous avez saisi votre carte : opposez-la immédiatement auprès de votre banque.
  3. Signalez l'incident sur cybermalveillance.gouv.fr.
Voir les 135 générateurs