Arnaque au QR Code : Comment se Protéger du Quishing en 2026
Tu as sûrement remarqué : les QR codes sont partout. Sur les tables de restaurants, les affiches publicitaires, les bornes de parking, les colis, les factures... En quelques années, ce petit carré noir et blanc est devenu un réflexe. Mais ce succès attire aussi les arnaqueurs, qui exploitent cette confiance pour te piéger. C'est ce qu'on appelle le quishing (contraction de QR code et phishing), et selon la CNIL et plusieurs autorités européennes, les signalements ont explosé depuis 2023.
Dans ce guide complet, tu vas comprendre comment fonctionne l'arnaque au QR code, comment reconnaître les pièges, et surtout quels réflexes adopter pour ne jamais te faire avoir.
Qu'est-ce qu'une arnaque au QR code (quishing) ?
Une arnaque au QR code est une technique d'ingénierie sociale où un cybercriminel remplace ou crée un QR code malveillant pour rediriger la victime vers un site frauduleux, télécharger un logiciel espion, ou lui voler des données personnelles et bancaires. Le terme quishing (QR + phishing) désigne cette variante moderne de l'hameçonnage.
Contrairement à un lien classique dans un email suspect, un QR code est illisible à l'œil nu. Tu ne peux pas voir où il t'envoie avant de le scanner. Cette opacité est exactement ce qui fait le succès de l'arnaque : la victime scanne par confiance, sans savoir ce qui se cache derrière.
Pourquoi les QR codes sont-ils une cible parfaite ?
- Usage massif depuis le Covid : menus, paiements sans contact, billetterie...
- Impossible à vérifier visuellement : aucun humain ne peut lire un QR code brut.
- Confiance implicite : on suppose qu'un QR code sur une affiche officielle est légitime.
- Filtres anti-spam contournés : une image de QR code passe à travers les filtres email qui bloquent les liens malveillants.
- Scan sur mobile : les protections de sécurité y sont souvent plus faibles que sur ordinateur.
Les 7 arnaques au QR code les plus fréquentes en 2026
1. L'arnaque au parcmètre
C'est l'une des plus répandues en France. Des faux autocollants QR code sont collés sur les horodateurs, prétendant permettre le paiement du stationnement via une application. Tu scannes, tu entres tes coordonnées bancaires... et tu offres tes données à un escroc. La ville de Paris et plusieurs communes ont déjà alerté sur ce phénomène.
2. Le faux menu de restaurant
Un QR code frauduleux est posé sur la table d'un restaurant, par-dessus le vrai. Il redirige vers un menu factice qui demande une inscription (email, téléphone, parfois carte bancaire pour "réserver").
3. L'arnaque au colis (fausse livraison)
Un avis de passage laissé dans ta boîte aux lettres t'invite à scanner un QR code pour reprogrammer une livraison. Le site imite Chronopost, Colissimo ou DHL, et demande un paiement de "frais de douane" de quelques euros. En réalité, tu donnes ton numéro de carte à des criminels.
4. Le quishing par email
Un email prétendant venir de ta banque, des impôts ou de Microsoft contient un QR code à scanner "pour vérifier ton compte". Comme le QR code est une image, les filtres antispam ne détectent pas le lien malveillant caché derrière.
5. Les fausses bornes de recharge électrique
Avec l'essor des véhicules électriques, des stickers frauduleux apparaissent sur les bornes publiques. Le paiement redirige vers une plateforme pirate.
6. Le QR code dans la rue (affiches, flyers)
Fausses promotions, faux concours, fausses candidatures immobilières : le QR code est imprimé sur des supports crédibles distribués dans les boîtes aux lettres.
7. Le CryptoQR et arnaques à l'investissement
QR codes menant à des plateformes crypto frauduleuses promettant des rendements mirobolants. Une fois les fonds envoyés, ils sont irrécupérables.
Comment fonctionne techniquement une arnaque au QR code
Voici les étapes classiques d'une attaque de quishing :
- Création du site piégé : l'attaquant clone le site d'une banque, d'une administration ou d'un service connu.
- Génération du QR code malveillant : il crée un QR code pointant vers ce faux site, souvent via une URL raccourcie pour masquer le domaine réel.
- Diffusion : impression sur autocollants, envoi par email, insertion dans des courriers.
- Scan par la victime : le téléphone ouvre l'URL sans que l'utilisateur ait vraiment lu l'adresse.
- Collecte de données : identifiants, mots de passe, informations bancaires, ou installation d'un logiciel espion.
- Exploitation : achats frauduleux, prise de contrôle de comptes, revente des données à des courtiers en données.
Comment reconnaître un QR code frauduleux : 10 signaux d'alerte
| Signal d'alerte | Ce que ça signifie |
|---|---|
| Autocollant collé par-dessus un autre | Le vrai QR code a été recouvert |
| QR code dans un email non sollicité | Tentative de quishing classique |
| URL raccourcie non transparente après scan | Masque potentiellement une adresse suspecte |
| Domaine bizarre (ex : paiement-parking-fr.co) | Faux site imitant un service officiel |
| Demande immédiate de coordonnées bancaires | Aucun service légitime ne procède ainsi |
| Fautes d'orthographe sur la page d'atterrissage | Signe classique d'un site frauduleux |
| Absence de HTTPS (cadenas) | Le site n'est pas sécurisé |
| Urgence artificielle ("payez sous 24h") | Pression psychologique typique |
| Téléchargement d'application demandé | Risque de malware |
| Design amateur, logo pixelisé | Contrefaçon mal réalisée |
10 réflexes pour te protéger des arnaques au QR code
1. Vérifie l'URL avant d'ouvrir le lien
La plupart des smartphones affichent l'URL cible avant d'ouvrir la page. Prends 3 secondes pour la lire. Si le domaine te paraît étrange, n'y va pas.
2. Méfie-toi des QR codes en libre accès
Parcmètres, affiches, flyers, tables de restaurant : ce sont des cibles faciles pour poser un autocollant frauduleux. Cherche des signes d'altération (autocollant récent, bulles, superposition).
3. Utilise l'application officielle plutôt que le QR code
Pour payer ton stationnement, télécharge directement l'app officielle de ta ville depuis l'App Store ou Google Play. Pas besoin de scanner quoi que ce soit.
4. Active la vérification avant ouverture sur ton téléphone
iOS et Android proposent tous deux d'afficher l'URL avant d'ouvrir un lien scanné. Vérifie que cette option est bien activée dans les paramètres de l'appareil photo.
5. Privilégie les raccourcisseurs d'URL de confiance
Quand tu crées toi-même des QR codes pour ton entreprise, utilise un service transparent qui affiche un aperçu et propose des statistiques. Un outil comme Lunyb permet de générer des liens courts sécurisés et des QR codes avec suivi, tout en respectant le RGPD. Découvre aussi notre comparatif des meilleurs raccourcisseurs d'URL.
6. Ne saisis jamais tes coordonnées bancaires après un scan
Si un QR code te demande immédiatement ta carte bancaire, c'est un énorme drapeau rouge. Les services légitimes passent toujours par une authentification préalable.
7. Utilise l'authentification à deux facteurs (2FA)
Même si un escroc obtient ton mot de passe via un faux site, la 2FA (application authenticator, clé physique) l'empêche de se connecter. C'est une couche de sécurité indispensable.
8. Protège ta navigation avec un DNS sécurisé
Configurer un DNS chiffré comme Cloudflare (1.1.1.1) ou Quad9 sur ton téléphone bloque une partie des domaines malveillants avant même que la page ne se charge.
9. Ne scanne jamais un QR code reçu par email inattendu
Le quishing par email est en pleine explosion. Aucune banque, aucune administration, ne t'enverra jamais un QR code par mail pour "vérifier" ton compte.
10. Signale les arnaques
En France : plateforme Pharos (internet-signalement.gouv.fr), Cybermalveillance.gouv.fr, et signalement à la CNIL en cas de fuite de données. En Belgique : suspicious@safeonweb.be.
Que faire si tu as été victime d'une arnaque au QR code ?
- Bloque immédiatement ta carte bancaire auprès de ta banque (numéro d'opposition interbancaire : 0 892 705 705 en France).
- Change tes mots de passe, en priorité celui de l'email, de la banque, et des services concernés.
- Active la 2FA partout où c'est possible.
- Signale à la police ou gendarmerie et dépose plainte (une pré-plainte en ligne est possible).
- Signale sur Cybermalveillance.gouv.fr pour obtenir un accompagnement.
- Alerte la CNIL si des données personnelles ont fuité.
- Surveille tes relevés bancaires pendant plusieurs mois.
- Fais un scan antivirus complet si tu as téléchargé quelque chose.
Le cadre légal : que dit la loi française et le RGPD ?
Le quishing est considéré comme une escroquerie (article 313-1 du Code pénal), passible de 5 ans de prison et 375 000 € d'amende. Quand il inclut un accès frauduleux à un système informatique (article 323-1), les peines s'alourdissent.
Côté données personnelles, le RGPD impose aux entreprises victimes de fuites de notifier la CNIL sous 72 heures. Les commerçants qui affichent des QR codes ont également une responsabilité de vérification régulière de l'intégrité de leurs supports (particulièrement les mairies pour les parcmètres).
Pour aller plus loin sur la protection de tes données, consulte notre guide Comment protéger sa vie privée en ligne en 2026.
Les entreprises face au quishing : bonnes pratiques
Si tu gères une entreprise, un commerce ou une collectivité, tu as un rôle clé pour prévenir les arnaques :
- Utilise des QR codes plastifiés ou intégrés au support pour rendre difficile la superposition d'autocollants.
- Vérifie régulièrement l'état de tes QR codes physiques (parcmètres, affiches).
- Communique clairement le domaine officiel vers lequel ton QR code redirige (ex : "scanne pour aller sur monrestau.fr").
- Chiffre les données collectées (voir notre article sur le chiffrement de bout en bout).
- Forme tes équipes à reconnaître le quishing dans les emails professionnels.
- Utilise un service de raccourcissement fiable pour créer des QR codes traçables. Si tu veux centraliser tes liens (Instagram, site, boutique), notre guide sur créer une page link in bio peut aussi t'intéresser.
Tableau comparatif : scan sécurisé vs scan risqué
| Critère | Scan sécurisé | Scan risqué |
|---|---|---|
| Source du QR code | Support officiel intact | Autocollant douteux, email non sollicité |
| URL affichée | Domaine officiel connu, HTTPS | Domaine inconnu, HTTP, URL raccourcie opaque |
| Demande de données | Authentification classique | Carte bancaire immédiate |
| Design du site | Cohérent avec la marque | Fautes, logo pixelisé |
| Urgence | Aucune pression | Compte à rebours, menace |
FAQ : Arnaque au QR code
Un QR code peut-il installer un virus sur mon téléphone ?
Un QR code ne peut pas directement installer un virus : il ne fait qu'ouvrir une URL. En revanche, cette URL peut te rediriger vers un site qui te propose de télécharger une fausse application infectée. Si tu installes cette app en dehors du store officiel (surtout sur Android), le risque de malware est réel. Ne télécharge jamais d'appli en dehors de l'App Store ou Google Play.
Comment savoir si un QR code a été trafiqué ?
Regarde attentivement le support : superposition d'autocollants, bulles d'air, coins qui se décollent, différence de qualité d'impression, absence de logo officiel à proximité. En cas de doute (surtout sur un parcmètre), utilise plutôt l'application officielle de la ville.
Est-ce que scanner un QR code révèle ma localisation ?
Le scan en lui-même ne transmet pas ta localisation. En revanche, si le site vers lequel il te redirige demande l'accès à ta géolocalisation, il peut la récupérer si tu acceptes. Le site connaît également ton adresse IP, ce qui donne une localisation approximative.
Les QR codes des restaurants sont-ils dangereux ?
Ceux imprimés directement sur le menu ou sur un chevalet officiel sont généralement sûrs. Méfie-toi des autocollants collés à la va-vite ou des QR codes qui demandent une inscription complète avec coordonnées bancaires pour consulter un menu : un menu ne nécessite jamais de paiement en amont.
Que faire si j'ai déjà scanné un QR code suspect sans rien saisir ?
Si tu as juste ouvert la page sans entrer d'informations ni télécharger d'application, le risque est faible. Ferme l'onglet, vide le cache de ton navigateur, et surveille ton téléphone pour tout comportement inhabituel. Si tu as saisi des données, applique immédiatement les étapes de réaction listées plus haut.
Conclusion
Les arnaques au QR code exploitent une faiblesse humaine bien connue : la confiance envers un support physique ou numérique qui paraît légitime. En 2026, avec l'explosion du quishing, la vigilance devient obligatoire. Vérifie systématiquement l'URL avant de valider, méfie-toi des QR codes en libre accès, et n'entre jamais de données bancaires sur un site atteint via un scan non vérifié.
La sécurité numérique n'est pas une option : c'est un ensemble de petits réflexes quotidiens. Et comme souvent, prendre 5 secondes pour vérifier peut t'éviter des semaines de galère.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Chiffrement de Bout en Bout : Comment Ça Marche Vraiment ?
Le chiffrement de bout en bout garantit que seuls toi et ton destinataire pouvez lire vos messages. Découvre comment fonctionne cette technologie, quels algorithmes sont utilisés, et comment l'utiliser au quotidien pour protéger ta vie privée.
Comment Savoir si Votre Téléphone est Piraté : 10 Signes en 2026
Ton smartphone contient toute ta vie numérique et il est une cible privilégiée des pirates. Découvre les 10 signes qui trahissent un téléphone compromis et la procédure complète pour reprendre le contrôle en 2026.
Cybersécurité en Suisse 2026 : Le Guide Complet
Panorama complet de la cybersécurité en Suisse en 2026 : menaces, obligations nLPD et OFCS, bonnes pratiques pour particuliers et PME. Le guide de référence pour protéger tes données personnelles et professionnelles cette année.
Sécurité des Mots de Passe : Le Guide Essentiel 2026
Guide complet 2026 sur la sécurité des mots de passe : bonnes pratiques CNIL, gestionnaires, authentification à deux facteurs, passkeys et erreurs fatales à éviter. Tout ce qu'il faut savoir pour protéger tes comptes efficacement.