Arnaque au QR Code : Comment se Protéger en 2026 (Guide Complet)
Les QR codes sont partout : sur les menus de restaurant, les bornes de stationnement, les colis, les affiches publicitaires et même les bornes de recharge électrique. Pratique pour toi… mais aussi pour les arnaqueurs. Depuis 2023, les escroqueries au QR code (aussi appelées quishing, contraction de QR et phishing) explosent en France et en Europe. La CNIL et Cybermalveillance.gouv.fr ont publié plusieurs alertes en 2024 et 2025 face à la multiplication des cas.
Dans ce guide, tu vas apprendre comment fonctionnent ces arnaques, comment les détecter avant qu'il soit trop tard, et surtout comment t'en protéger efficacement.
Qu'est-ce qu'une arnaque au QR code ?
Une arnaque au QR code est une escroquerie qui consiste à inciter une victime à scanner un code QR malveillant pour la rediriger vers un site frauduleux, télécharger un logiciel malveillant ou voler ses données personnelles et bancaires. Le terme technique est quishing.
Contrairement au phishing classique par email, le QR code contourne facilement les filtres anti-spam et les protections traditionnelles, puisque l'utilisateur scanne volontairement le code avec son smartphone. C'est cette confiance accordée au support physique (autocollant, affiche, papier) qui rend ces arnaques redoutables.
Pourquoi les QR codes sont devenus une cible privilégiée
- Adoption massive depuis le COVID-19 (menus sans contact, paiements mobiles).
- Impossibilité de lire l'URL à l'œil nu : tu ne peux pas savoir où mène le code avant de scanner.
- Confiance dans le support physique : un autocollant sur une borne paraît officiel.
- Smartphones moins protégés que les ordinateurs en matière d'antivirus.
Les types d'arnaques au QR code les plus fréquents
1. Le quishing sur les bornes de stationnement
C'est l'arnaque qui a explosé en France en 2024-2025. Des escrocs collent de faux QR codes par-dessus les vrais sur les horodateurs des villes comme Paris, Lyon, Marseille ou Bordeaux. Tu scannes, tu arrives sur un faux site qui imite parfaitement le service de paiement officiel, tu rentres ta carte bancaire… et tes coordonnées partent directement aux escrocs.
2. Les faux QR codes sur les colis
Tu reçois un colis non sollicité avec un QR code indiquant "Scannez pour identifier l'expéditeur". En réalité, tu télécharges une application malveillante ou tu donnes accès à tes comptes.
3. Le quishing par email ou courrier
Un faux courrier des impôts, de la Sécurité sociale ou d'une banque te demande de scanner un QR code pour "régulariser ta situation". Le code mène vers un faux site qui vole tes identifiants.
4. Les QR codes sur les bornes de recharge électrique
Particulièrement en vogue depuis 2024 : faux QR codes collés sur les bornes Tesla, Ionity ou réseaux publics. La victime croit payer sa recharge, elle paie en réalité les escrocs.
5. Le piège du Wi-Fi public
Dans les cafés ou aéroports, un QR code te propose une connexion Wi-Fi gratuite. En réalité, tu te connectes à un réseau contrôlé par un attaquant qui intercepte toutes tes données.
6. Les arnaques sur les menus de restaurant
Un autocollant collé sur le menu officiel redirige vers une fausse page de commande qui te demande ton numéro de carte bancaire "pour valider la réservation".
Comment fonctionne techniquement une arnaque au QR code
Voici les 5 étapes typiques d'une escroquerie au quishing :
- Création du faux QR code : l'escroc génère un code menant vers un site cloné (souvent une copie pixel-parfaite d'un site officiel).
- Placement physique : le code est imprimé sur autocollant et collé par-dessus l'original, ou envoyé par courrier/email.
- Scan par la victime : tu utilises l'appareil photo de ton smartphone, qui ouvre l'URL automatiquement.
- Redirection masquée : souvent, le lien passe par plusieurs redirections pour brouiller les pistes.
- Collecte des données : formulaire de paiement, demande d'identifiants, installation d'application malveillante.
Comment reconnaître un QR code frauduleux
Voici les signaux d'alerte à surveiller absolument :
| Signal d'alerte | Pourquoi c'est suspect |
|---|---|
| Autocollant collé par-dessus un autre | Indice quasi-certain de fraude sur horodateurs et bornes |
| QR code reçu par courrier non sollicité | Les administrations utilisent rarement des QR codes pour paiement |
| URL raccourcie suspecte après scan | Masque la destination réelle |
| Demande immédiate de carte bancaire | Un service officiel passe par des pages sécurisées identifiables |
| Fautes d'orthographe sur le site | Indicateur classique de site frauduleux |
| Absence de HTTPS ou certificat invalide | Site non sécurisé, à fuir absolument |
| Domaine légèrement différent (paris-stationnement.io au lieu de .fr) | Typosquatting fréquent |
10 conseils pour te protéger des arnaques au QR code
1. Vérifie le support physique avant de scanner
Sur une borne ou un horodateur, regarde si l'autocollant a été collé par-dessus un autre. Décolle légèrement un coin pour vérifier. Si tu vois un autre code en-dessous, ne scanne surtout pas.
2. Prévisualise toujours l'URL avant d'ouvrir
La plupart des smartphones modernes (iPhone depuis iOS 11, Android depuis 10) affichent l'URL avant d'ouvrir la page. Lis-la attentivement. Si le domaine ne correspond pas au service attendu, ferme immédiatement.
3. Utilise un service d'analyse de liens
Avant d'ouvrir un lien suspect, colle-le dans un outil d'analyse. Des services comme Lunyb permettent de créer et de tracer des liens raccourcis tout en offrant des fonctionnalités de sécurité, ce qui peut t'aider à comprendre où mènent réellement les redirections. Consulte aussi notre guide sur les meilleurs outils de suivi de liens pour analyser les destinations.
4. Privilégie les applications officielles
Pour payer ton stationnement, utilise directement l'application officielle de ta ville (PayByPhone, Flowbird, EasyPark) plutôt que de scanner un QR code. Pour les bornes de recharge, ouvre l'app Tesla, Chargemap ou Ionity directement.
5. Ne saisis jamais ta carte bancaire après un scan suspect
Si après avoir scanné, tu arrives sur un site qui te demande tes coordonnées bancaires, ferme immédiatement. Va sur le site officiel manuellement via ton navigateur.
6. Active l'authentification à deux facteurs partout
Même si tes identifiants sont volés, la 2FA bloque l'accès. C'est ta meilleure défense contre les conséquences d'un quishing réussi.
7. Mets à jour ton smartphone régulièrement
Les mises à jour iOS et Android corrigent des failles que les arnaqueurs exploitent. Un téléphone à jour est beaucoup moins vulnérable aux malwares installés via QR code.
8. Méfie-toi des QR codes reçus par courrier
Les impôts, la CAF, la Sécurité sociale et ta banque ne te demanderont JAMAIS de scanner un QR code pour payer ou régulariser ta situation. En cas de doute, appelle directement l'organisme via le numéro officiel.
9. Utilise un DNS sécurisé
Configure un DNS chiffré comme Cloudflare (1.1.1.1) ou Quad9 (9.9.9.9) sur ton smartphone. Ces services bloquent automatiquement de nombreux domaines malveillants connus.
10. Efface régulièrement ton historique et tes cookies
Limite l'exposition de tes données en nettoyant régulièrement ton navigateur. Notre guide complet pour effacer ton historique de navigation t'explique comment faire.
Que faire si tu as scanné un QR code malveillant ?
Si tu réalises trop tard que tu es tombé dans le piège, voici les étapes à suivre dans l'ordre :
- Déconnecte ton téléphone d'Internet (mode avion) pour stopper toute exfiltration de données en cours.
- Si tu as saisi ta carte bancaire : appelle immédiatement ta banque pour faire opposition. Le numéro 0 892 705 705 (Service Interbancaire) fonctionne 24/7.
- Change tous tes mots de passe, surtout si tu as saisi des identifiants. Commence par les emails et comptes bancaires.
- Vérifie les applications installées récemment et désinstalle celles que tu ne reconnais pas.
- Scanne ton téléphone avec un antivirus mobile fiable (Malwarebytes, Bitdefender Mobile Security).
- Signale l'arnaque sur Cybermalveillance.gouv.fr et sur la plateforme PHAROS.
- Porte plainte auprès de la police ou gendarmerie, surtout si tu as subi un préjudice financier. C'est indispensable pour ton dossier d'assurance ou de remboursement bancaire.
- Préviens ta banque par écrit dans les 13 mois pour pouvoir contester un débit non autorisé (article L133-24 du Code monétaire et financier).
Le cadre légal en France : RGPD et droits des victimes
En France, les arnaques au QR code sont qualifiées d'escroquerie (article 313-1 du Code pénal), passible de 5 ans de prison et 375 000 € d'amende. Si des données personnelles sont volées, le RGPD s'applique : tu peux signaler le vol à la CNIL via son service en ligne.
Concernant les remboursements bancaires, l'article L133-19 du Code monétaire impose à ta banque de te rembourser intégralement et immédiatement les opérations non autorisées, sauf en cas de négligence grave de ta part. Le quishing est de plus en plus reconnu par les tribunaux comme une fraude sophistiquée, ce qui joue en faveur des victimes.
Pour aller plus loin sur tes droits numériques, consulte notre guide sur la vie privée en ligne en Belgique et notre guide pour la Suisse qui détaillent les protections équivalentes.
Les arnaques au QR code en chiffres (2024-2025)
| Indicateur | Donnée |
|---|---|
| Augmentation des cas de quishing en France (2024 vs 2023) | +340 % |
| Montant moyen perdu par victime | environ 280 € |
| Pourcentage de victimes ayant scanné un QR code de stationnement | ~42 % |
| Délai moyen entre scan et débit frauduleux | moins de 24 heures |
| Taux de remboursement bancaire après plainte | environ 78 % |
Sources : Cybermalveillance.gouv.fr, rapports 2024-2025.
QR codes officiels vs frauduleux : comment faire la différence
Voici un tableau comparatif pour t'aider à distinguer rapidement :
| Critère | QR code officiel | QR code frauduleux |
|---|---|---|
| Support | Imprimé directement, plastifié | Autocollant collé, parfois mal aligné |
| URL de destination | Domaine officiel reconnaissable | Domaine bizarre, URL raccourcie inconnue |
| HTTPS | Présent, certificat valide | Souvent absent ou avec erreurs |
| Demande de paiement | Via Apple Pay, Google Pay, app officielle | Formulaire web direct demandant la carte |
| Langue et orthographe | Impeccables | Fautes, formulations étranges |
FAQ : Arnaque au QR Code
Est-ce qu'un QR code peut pirater mon téléphone ?
Pas directement. Un QR code n'est qu'un lien. Mais ce lien peut t'amener à télécharger une application malveillante, à saisir tes identifiants sur un faux site, ou à exploiter une faille de ton navigateur si ton système n'est pas à jour. Garde toujours ton iOS ou Android à jour pour minimiser les risques.
Comment vérifier un QR code sans le scanner ?
Plusieurs applications permettent d'analyser un QR code sans ouvrir le lien : Trend Micro QR Scanner, Kaspersky QR Scanner, ou simplement l'aperçu intégré à iOS et Android qui affiche l'URL avant de l'ouvrir. Si ton appareil photo ne montre pas l'URL en aperçu, désactive le scan automatique dans les réglages.
Les QR codes sur les horodateurs sont-ils toujours des arnaques ?
Non, mais ils sont devenus la cible préférée des escrocs. La Ville de Paris a même retiré officiellement les QR codes de ses horodateurs en 2024 face à l'ampleur des fraudes. Privilégie toujours l'application officielle de stationnement de ta ville plutôt que de scanner sur place.
Que faire si j'ai donné ma carte bancaire après un faux QR code ?
Appelle immédiatement ta banque pour faire opposition (numéro 0 892 705 705 disponible 24/7). Porte plainte rapidement à la police ou via la pré-plainte en ligne. Signale aussi sur Cybermalveillance.gouv.fr. Tu as 13 mois pour contester un débit frauduleux et obtenir un remboursement intégral selon le Code monétaire.
Les numéros de téléphone reçus après un QR code peuvent-ils être une arnaque ?
Oui, c'est fréquent. Après un faux QR code, les escrocs peuvent te rappeler en se faisant passer pour ta banque ou un service officiel. Consulte notre guide pour vérifier si un numéro est une arnaque avant de répondre ou rappeler un numéro inconnu.
Conclusion
Les arnaques au QR code sont devenues l'une des cybermenaces les plus redoutables de 2025-2026, précisément parce qu'elles exploitent un geste devenu banal : sortir son téléphone et scanner. La règle d'or à retenir : un QR code n'est qu'un lien déguisé. Traite-le avec la même méfiance qu'un lien envoyé par un inconnu dans un email.
En appliquant les 10 conseils de ce guide, en privilégiant les applications officielles et en restant vigilant face aux supports physiques suspects, tu réduiras drastiquement ton risque. Et si jamais tu te fais piéger : agis vite, ta banque et la loi sont de ton côté.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Cybersécurité en Suisse 2026 : Le Guide Complet
Guide complet de la cybersécurité en Suisse en 2026 : cadre légal nLPD, rôle de l'OFCS, principales menaces, obligations pour les entreprises et bonnes pratiques pour les particuliers. Tout ce qu'il faut savoir pour rester protégé en Suisse cette année.
Vol de Données : Comment Réagir Rapidement (Guide 2026)
Découvre comment réagir efficacement à un vol de données : les 7 actions urgentes, les démarches officielles (CNIL, plainte, banque), et les bonnes pratiques pour sécuriser durablement tes comptes. Un guide pratique conforme au RGPD pour reprendre le contrôle rapidement.
Google Sait Tout sur Vous : Comment Vérifier (Guide 2026)
Google collecte une quantité vertigineuse de données sur toi : localisation, recherches, vidéos, contacts. Découvre les 7 outils essentiels pour vérifier exactement ce que Google sait et reprendre le contrôle de ta vie privée en 2026.
Les Applications Qui Espionnent Votre Téléphone : Guide Complet 2026
Ton téléphone collecte beaucoup plus de données que tu ne le crois. Découvre comment identifier les applications qui espionnent ton mobile, supprimer les spywares et stalkerwares, et reprendre le contrôle de ta vie privée numérique en 2026.