facebook-pixel
L
Lunyb

Arnaque au QR Code : Comment se Protéger (Guide 2026)

E
Equipe Securite Lunyb
··10 min read

Les QR codes sont partout : restaurants, parkings, factures, affiches publicitaires, bornes de recharge… Pratiques, oui. Mais aussi devenus l'arme préférée des cybercriminels. On parle aujourd'hui de quishing (contraction de QR et phishing), une arnaque qui explose depuis 2023 et qui a fait des milliers de victimes en France et en Belgique.

Dans ce guide, je t'explique comment fonctionnent ces arnaques, comment les repérer en 5 secondes, et surtout comment t'en protéger au quotidien.

Qu'est-ce qu'une arnaque au QR code ?

Une arnaque au QR code (ou quishing) est une technique d'hameçonnage où un cybercriminel utilise un QR code malveillant pour rediriger la victime vers un site frauduleux, lui voler ses identifiants, ses coordonnées bancaires, ou installer un logiciel malveillant sur son téléphone.

Le problème ? Un QR code, c'est juste un motif de carrés noirs et blancs. Impossible à l'œil nu de savoir s'il pointe vers un site légitime ou vers une copie pirate. Et contrairement à un lien web qu'on peut analyser avant de cliquer, on scanne souvent sans réfléchir.

Pourquoi cette arnaque cartonne en 2026

  • Démocratisation post-COVID : tout le monde scanne maintenant (menus, paiements, billetterie)
  • Confiance excessive : on associe le QR code à un usage "officiel"
  • Filtres anti-phishing inefficaces : les antivirus ne lisent pas les images
  • Petit écran : difficile de vérifier une URL sur smartphone
  • Coût quasi nul pour l'attaquant : imprimer un autocollant suffit

Les 7 arnaques au QR code les plus fréquentes

1. Le QR code de parking truqué

L'arnaque numéro 1 en France. Le pirate colle un autocollant avec son propre QR code par-dessus celui de l'horodateur officiel. Tu scannes, tu arrives sur une fausse page de paiement qui ressemble à celle de la ville, tu rentres ta carte bleue… et tu offres tes données bancaires.

2. Le faux QR code de restaurant

Les menus QR code sont devenus la norme. Un escroc remplace le QR du restaurant par le sien, qui redirige vers un site demandant de "créer un compte" avec email et mot de passe avant d'accéder au menu. Objectif : récupérer des identifiants réutilisés ailleurs.

3. L'amende ou contravention bidon

Un "avis de contravention" déposé sur ton pare-brise avec un QR code pour payer rapidement. Tout est faux : le papier, le QR, le site de paiement. Plusieurs commissariats ont alerté sur cette arnaque en 2024-2025.

4. Le QR code dans un email professionnel

Tu reçois un mail d'apparence pro : "Votre boîte mail Microsoft 365 va expirer, scannez ce QR pour vérifier votre compte." Le QR contourne les filtres anti-phishing de l'entreprise. Tu scannes avec ton perso, tu rentres ton mot de passe pro… et le pirate s'en empare.

5. Le faux colis ou livraison

Un avis de passage Chronopost/DHL/Colissimo dans ta boîte aux lettres avec un QR pour "reprogrammer la livraison". Toujours moyennant 1,99 € de frais. Sauf qu'à la place, tu autorises un prélèvement récurrent.

6. Les bornes de recharge électrique

Particulièrement vicieux : sur les stations de recharge pour voitures électriques, un faux QR redirige vers une page de paiement qui charge tout SAUF ta voiture. Le temps que tu comprennes, tu as perdu 30-50 €.

7. Le QR sur affiche publicitaire ou flyer

"Gagnez un iPhone, scannez ici !" Concours bidon, faux sites de crypto, fausses offres d'emploi… La rue est devenue un terrain de chasse.

Comment fonctionne techniquement une arnaque QR ?

Comprendre le mécanisme aide à mieux se protéger. Voici les étapes typiques d'une attaque :

  1. Création du faux site : le pirate clone un site légitime (banque, mairie, opérateur) avec un nom de domaine ressemblant (ex : paiement-stationnement-paris.com au lieu du vrai).
  2. Génération du QR code : il encode l'URL malveillante dans un QR, souvent via un raccourcisseur pour masquer la destination réelle.
  3. Diffusion physique ou numérique : autocollant collé par-dessus l'original, flyer, email, SMS, affiche.
  4. Capture des données : la victime scanne, saisit ses infos (CB, identifiants, code 3D Secure).
  5. Exploitation immédiate : les données sont utilisées dans les minutes qui suivent pour acheter en ligne, ou revendues sur le dark web.

Certaines variantes vont plus loin : le QR déclenche le téléchargement d'une application malveillante (sur Android principalement) qui prend le contrôle du téléphone, lit les SMS pour intercepter les codes 2FA, et vide les comptes bancaires.

10 réflexes pour éviter l'arnaque QR code

1. Vérifie l'URL avant d'ouvrir la page

La majorité des smartphones affichent un aperçu de l'URL juste après le scan, AVANT d'ouvrir le site. Prends 2 secondes pour la lire. Si l'URL te paraît bizarre, longue, pleine de tirets ou avec un domaine inconnu : annule.

2. Méfie-toi des autocollants suspects

Sur un horodateur, une borne de recharge, une affiche dans la rue : regarde si le QR code est collé par-dessus un autre. Un coin qui se décolle, un papier qui dépasse, un alignement bizarre = arnaque probable.

3. Privilégie l'application officielle

Pour payer ton parking, utilise l'app de ta ville (PayByPhone, Flowbird, etc.) plutôt que de scanner un QR. Pour les colis, va directement sur le site officiel du transporteur en tapant l'adresse.

4. Ne saisis JAMAIS ta carte bancaire après un QR scanné en rue

C'est la règle d'or. Aucun service public en France ne te demandera de scanner un QR dans la rue pour entrer ta CB. Si on te le demande : c'est une arnaque.

5. Utilise un raccourcisseur fiable côté émetteur

Si toi-même tu génères des QR codes pour ton entreprise ou tes flyers, utilise un service qui affiche clairement le domaine de destination, et qui te permet de modifier la cible si besoin. Un raccourcisseur comme Lunyb permet de créer des liens courts traçables avec un domaine reconnaissable, et de mettre à jour la destination en cas de changement, ce qui évite de réimprimer tous tes supports.

6. Active le scan sécurisé sur ton smartphone

iOS et Android prévisualisent l'URL avant ouverture. Vérifie que cette option est bien activée dans les paramètres de ton appareil photo ou de ton lecteur QR.

7. Méfie-toi des QR codes dans les emails

Un email pro qui te demande de scanner un QR avec ton téléphone perso est suspect par définition. Les vrais services IT n'utilisent pas cette méthode.

8. N'installe jamais d'app via un QR code

Les apps légitimes sont sur l'App Store ou Google Play. Si un QR te propose un fichier .apk ou un "profil de configuration", refuse immédiatement.

9. Garde ton système à jour

Les mises à jour iOS et Android corrigent des failles utilisées par certaines attaques QR. Active les MAJ automatiques.

10. Sensibilise ton entourage

Les seniors et les ados sont les cibles privilégiées. Parle-leur de ces arnaques. Une discussion de 5 minutes peut éviter une fraude de 2000 €.

Comment reconnaître un QR code dangereux : tableau comparatif

SignalQR légitimeQR suspect
Support physiqueImprimé sur le matériel, intégré au designAutocollant collé par-dessus, mal aligné
URL affichéeDomaine officiel reconnaissableDomaine inconnu, fautes de frappe, tirets multiples
Demande de paiementVia app officielle ou site sécurisé connuSaisie CB sur page inconnue, urgence
HTTPSPrésent, certificat valideAbsent, ou certificat suspect
Origine de l'emailExpéditeur vérifié, signature proDomaine bizarre, ton urgent
ContexteCohérent avec ton activité du momentInattendu, "gain", "amende", "compte bloqué"

Que faire si tu as scanné un QR code malveillant ?

Si tu n'as rien saisi

  1. Ferme immédiatement l'onglet.
  2. Vide le cache de ton navigateur — voir notre guide pour effacer ton historique de navigation.
  3. Vérifie qu'aucune app inconnue n'a été installée.
  4. Lance un scan antivirus sur ton téléphone.

Si tu as saisi tes identifiants

  1. Change immédiatement le mot de passe concerné, et tous les comptes qui utilisent le même.
  2. Active la double authentification (2FA) partout.
  3. Vérifie les connexions récentes sur tes comptes.

Si tu as saisi ta carte bancaire

  1. Appelle ta banque IMMÉDIATEMENT pour faire opposition (numéro au dos de la carte, ou via l'app).
  2. Surveille tes relevés pendant les 48 heures qui suivent.
  3. Dépose plainte au commissariat ou en ligne sur cybermalveillance.gouv.fr.
  4. Signale l'arnaque sur Pharos (signalement.gouv.fr).
  5. Si tes données personnelles sont impliquées, tu peux saisir la CNIL en France, ou consulter notre guide sur comment porter plainte à l'APD en Belgique.

Si une app a été installée

  1. Active le mode avion.
  2. Désinstalle l'app suspecte.
  3. En cas de doute persistant, fais une réinitialisation usine du téléphone.
  4. Change tous tes mots de passe depuis un autre appareil sain.

RGPD, données personnelles et arnaque QR

Une arnaque au QR code implique presque toujours une collecte illicite de données personnelles : nom, email, téléphone, coordonnées bancaires. C'est une violation grave du RGPD.

Si tu es victime, tu as le droit :

  • De demander l'effacement de tes données auprès du responsable (s'il est identifiable)
  • De porter plainte auprès de la CNIL (France) ou de l'APD (Belgique)
  • De demander réparation au civil si tu as subi un préjudice financier

Côté entreprise, si tu génères des QR codes professionnels, pense à utiliser un service conforme RGPD qui chiffre les données de tracking et permet le respect des droits des utilisateurs. Le chiffrement de bout en bout est une bonne pratique côté infrastructure.

Pour les pros : comment sécuriser tes QR codes

Si tu utilises des QR codes pour ton entreprise (menu, billetterie, paiement, campagne marketing), tu as une responsabilité.

Bonnes pratiques

  • Utilise un domaine reconnaissable dans tes liens (pas un raccourcisseur générique inconnu)
  • Plastifie ou scelle tes QR codes physiques pour empêcher le collage d'autocollants par-dessus
  • Vérifie régulièrement tes QR codes sur le terrain (au moins 1 fois par semaine en zone publique)
  • Trace les scans avec des paramètres UTM pour détecter rapidement une anomalie (chute soudaine de scans = QR sans doute remplacé)
  • Mets en place une page d'avertissement avant tout paiement, rappelant à l'utilisateur de vérifier l'URL
  • Active HTTPS partout et un certificat valide

FAQ — Arnaque au QR code

Est-ce qu'un QR code peut pirater mon téléphone juste en le scannant ?

Non, pas directement. Un QR code ne contient qu'une information textuelle (en général une URL). C'est ce qui se passe APRÈS le scan qui est dangereux : ouverture d'un site malveillant, téléchargement d'une app, saisie d'identifiants. Tant que tu ne fais rien sur la page qui s'ouvre, ton téléphone est en sécurité.

Les QR codes des restaurants sont-ils dangereux ?

Les vrais QR codes de menu ne le sont pas. Le risque vient des autocollants pirates posés par-dessus. Vérifie toujours que le QR fait partie intégrante du support (menu plastifié, set de table imprimé) et pas un sticker rajouté.

Comment vérifier la destination d'un QR code sans le scanner ?

Plusieurs apps de lecture QR proposent un mode "vérification" qui affiche l'URL sans l'ouvrir. Tu peux aussi utiliser un service en ligne d'inspection d'URL (urlvoid.com, virustotal.com) en y collant l'adresse révélée avant d'ouvrir le lien.

Mon téléphone Apple est-il protégé contre le quishing ?

iOS affiche systématiquement l'URL avant d'ouvrir un lien QR, ce qui aide. Mais si tu cliques quand même et que tu rentres tes infos, aucun système d'exploitation ne peut te sauver. La vigilance reste la meilleure protection, quel que soit ton appareil.

Que risque le créateur d'une arnaque QR code en France ?

L'escroquerie via QR code tombe sous le coup de l'article 313-1 du Code pénal : jusqu'à 5 ans de prison et 375 000 € d'amende. Si plusieurs victimes sont impliquées (bande organisée), les peines peuvent monter à 10 ans et 1 million d'euros. La collecte illicite de données ajoute des sanctions RGPD.

Conclusion

L'arnaque au QR code est devenue l'une des fraudes les plus simples à monter et les plus rentables pour les escrocs. La parade ? La vigilance, la vérification de l'URL avant ouverture, et le refus de saisir des données sensibles après un scan en rue. Trois réflexes qui prennent 5 secondes et qui peuvent t'éviter des semaines de cauchemar bancaire.

Le QR code reste un outil formidable quand il est utilisé correctement. À toi de l'aborder avec le même œil critique que tu poses sur les emails douteux : si quelque chose semble bizarre, c'est probablement le cas.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles

Chiffrement de Bout en Bout : Comment Ça Marche (Guide 2026)

Le chiffrement de bout en bout protège tes messages pour que personne d'autre que toi et ton destinataire ne puisse les lire. Découvre comment ça marche, ses limites concrètes et les meilleurs services à adopter en 2026.

10 min

Cybersécurité des Entreprises en Belgique 2026 : Guide Complet

Guide complet de la cybersécurité des entreprises en Belgique en 2026 : menaces actuelles, obligations NIS2 et RGPD, solutions techniques, budgets réalistes et plan d'action en cas d'incident. Tout ce qu'il faut pour protéger ton entreprise belge.

10 min

Sécurité des Mots de Passe : Le Guide Essentiel 2026

Guide complet 2026 sur la sécurité des mots de passe : créer des mots de passe robustes, choisir un gestionnaire, activer la 2FA et adopter les passkeys. Toutes les bonnes pratiques recommandées par la CNIL pour protéger tes comptes en ligne.

9 min

Comment Savoir si Ton Téléphone est Piraté : 10 Signes Qui Ne Trompent Pas

Batterie qui fond, data qui explose, apps inconnues... Découvre les 10 signes qui révèlent qu'un téléphone est piraté en 2026, et le plan d'action complet pour reprendre le contrôle. Guide testé et validé.

10 min