Un QR code en lui-même n'est qu'une image — il ne contient aucun virus, aucun code exécutable. Le risque vient uniquement de ce vers quoi il pointe : une URL malveillante, une page de phishing, un faux paiement. Voici les vrais dangers et comment les éviter.
Le QR n'est qu'un véhicule
Quand vous scannez un QR, votre téléphone décode le contenu et vous demande votre accord avant d'ouvrir un lien, lancer un appel ou enregistrer un contact. Aucun code n'est exécuté automatiquement. Le QR ne peut pas « pirater » votre téléphone à la lecture.
Le « quishing » (phishing par QR code)
La technique la plus courante : un attaquant colle un faux QR par-dessus le vrai (sur une borne de paiement de parking, un menu de restaurant, une affiche). Le scan redirige vers une page de phishing qui imite le service légitime et demande les coordonnées bancaires.
Signaux d'alerte :
- Le QR est un autocollant collé par-dessus un autre.
- L'URL affichée avant ouverture ne correspond pas au domaine officiel.
- La page demande des informations sensibles (carte, mot de passe) sans HTTPS.
Les bonnes pratiques côté utilisateur
- Toujours regarder l'URL affichée avant d'ouvrir le lien — c'est ce que fait votre téléphone par défaut. Si l'URL semble étrange, n'ouvrez pas.
- Méfiez-vous des QR dans l'espace public : parkings, distributeurs, affiches sans contexte clair.
- Évitez les redirections multiples (bit.ly, tinyurl…) sans pouvoir voir la destination finale.
Côté création : pourquoi un générateur local est plus sûr
Les générateurs en ligne classiques envoient votre contenu (URL privée, mot de passe Wi-Fi, carte de visite, IBAN) sur leurs serveurs pour générer l'image. C'est un risque pour la confidentialité.
Tous les générateurs de Convertly QR fonctionnent 100 % dans votre navigateur : aucune donnée n'est envoyée à un serveur. C'est particulièrement important pour les QR codes Wi-Fi, les vCards, les virements SEPA et les codes 2FA.
Et pour mes propres QR codes ?
Si vous distribuez un QR public (menu, packaging, affiche), pointez toujours vers un domaine que vous contrôlez, en HTTPS. Évitez les services de raccourcissement d'URL externes qui peuvent disparaître ou être détournés.