Le quishing (phishing par QR code) explose depuis 2023. Avant de scanner un QR dans un lieu public (parking, restaurant, borne, affiche), prenez 5 secondes pour vérifier qu'il est légitime.
1. Examinez le QR physiquement
- Autocollant collé par-dessus : grattez délicatement un coin. Un faux QR (sticker apposé sur un vrai) se décolle facilement.
- Cohérence visuelle : le QR fait-il partie du design original ?
- Logo de marque à proximité : un QR isolé est suspect.
2. Lisez l'URL avant d'ouvrir
Sur iPhone et Android, l'aperçu de l'URL s'affiche avant que vous ne touchiez le lien. Lisez-la en entier :
- Le domaine correspond-il à la marque attendue ? Ex :
indigo.frpour Indigo Parking, pasindigo-parking-pay.com. - Présence de HTTPS (cadenas).
- Méfiance avec les raccourcisseurs (bit.ly, tinyurl, t.co).
- Caractères étranges (lettres cyrilliques imitant des lettres latines) = arnaque.
3. Vérifiez l'URL sans l'ouvrir
- Google Safe Browsing — vérifie si l'URL est blacklistée.
- VirusTotal — scan multi-antivirus d'une URL.
- urlscan.io — capture d'écran et analyse de la page cible.
4. Signaux d'alerte
- Promesse trop belle : « Scannez et gagnez 100 € » → presque toujours du phishing.
- Urgence artificielle : « Votre colis va être détruit, payez sous 24h ».
- Demande de carte bancaire après un simple scan dans la rue.
- Téléchargement d'APK (Android) hors Google Play.
5. Cas particuliers
QR de parking
Toujours privilégier l'application officielle du parking téléchargée depuis l'App Store / Play Store plutôt que le QR sur la borne.
QR de paiement
Vérifiez le standard : un QR SEPA légitime contient IBAN et montant lisibles dans l'aperçu de l'app bancaire.
6. Que faire si vous avez scanné un QR malveillant ?
- Ne saisissez rien sur la page ouverte.
- Fermez l'onglet, videz le cache.
- Si vous avez saisi votre carte : opposition immédiate auprès de la banque.
- Signalez sur cybermalveillance.gouv.fr.