facebook-pixel
L
Lunyb

Arnaque au QR Code (Quishing) : Comment se Protéger en 2024

E
Equipe Securite Lunyb
··9 min read

Depuis 2022, les arnaques au QR code ont explosé partout en France. La CNIL et la police nationale alertent régulièrement sur ce phénomène appelé quishing (contraction de QR code et phishing). Faux parcmètres recouverts d'autocollants frauduleux, fausses amendes glissées sous l'essuie-glace, menus de restaurant piégés, e-mails contenant des QR codes malveillants… les pirates redoublent d'imagination pour te voler tes identifiants bancaires ou installer un malware sur ton téléphone.

Dans ce guide complet, tu vas découvrir comment fonctionnent ces arnaques, les principales techniques utilisées par les cybercriminels, et surtout 10 méthodes concrètes pour t'en protéger au quotidien.

Qu'est-ce qu'une arnaque au QR code (quishing) ?

Le quishing est une forme de phishing qui utilise un QR code à la place d'un lien cliquable classique. L'objectif des pirates est le même : t'amener sur un faux site web pour voler tes données personnelles, tes identifiants bancaires ou installer un logiciel malveillant sur ton appareil.

La technique est redoutable car elle exploite trois faiblesses :

  1. L'invisibilité du lien : contrairement à une URL classique, tu ne peux pas lire un QR code à l'œil nu pour vérifier sa destination.
  2. La confiance dans l'objet physique : un QR code collé sur un parcmètre officiel inspire confiance.
  3. La rapidité du geste : on scanne sans réfléchir, souvent pressés.

Selon le rapport 2023 de l'ANSSI, les attaques par quishing ont augmenté de plus de 400 % en un an en Europe.

Les 6 types d'arnaques au QR code les plus répandus en France

1. Faux QR codes sur les parcmètres

C'est l'arnaque la plus médiatisée en 2023-2024. Les escrocs collent un autocollant avec un QR code frauduleux par-dessus le vrai sur les horodateurs. Tu scannes, tu arrives sur un faux site PayByPhone ou Flowbird, tu rentres ta carte bancaire… et tes données partent directement aux pirates. Des cas ont été signalés à Paris, Lyon, Marseille, Bordeaux et Toulouse.

2. Fausses amendes ou contraventions

Une fausse amende glissée sous ton essuie-glace, avec un QR code pour "payer rapidement avec 30 % de réduction". Le site mimique parfaitement celui de l'ANTAI (Agence nationale de traitement automatisé des infractions).

3. QR codes dans les e-mails de phishing

Les pirates intègrent désormais des QR codes dans leurs e-mails de phishing pour contourner les filtres anti-spam qui analysent les URL. Tu reçois un faux e-mail de "ta banque" ou de "Microsoft" avec un QR code à scanner avec ton smartphone — l'attaque échappe ainsi aux protections de ton ordinateur.

4. Menus de restaurant piégés

Depuis le COVID, les menus QR code se sont généralisés. Certains pirates remplacent le QR code de l'établissement par le leur, redirigeant vers un faux site demandant tes informations "pour la fidélité".

5. Faux QR codes de livraison (La Poste, Chronopost, DPD)

Un faux avis de passage avec un QR code pour "reprogrammer la livraison" moyennant 1,99 €. Une fois ta carte saisie, les pirates effectuent des prélèvements récurrents.

6. QR codes de bornes de recharge électriques

Particulièrement insidieux : les pirates ciblent les conducteurs de véhicules électriques avec de faux QR codes sur les bornes de recharge publiques. Tu crois payer ta recharge, tu donnes ta CB aux pirates.

Comment fonctionne techniquement une attaque par QR code ?

Une attaque de quishing suit généralement ce schéma en 5 étapes :

  1. Création du faux site : les pirates clonent un site légitime (banque, service de stationnement, opérateur).
  2. Génération du QR code malveillant qui pointe vers ce faux site, souvent via un raccourcisseur d'URL pour masquer le domaine réel.
  3. Diffusion physique ou numérique : autocollants dans la rue, e-mails, faux courriers, affiches.
  4. Capture des données : la victime scanne, saisit ses informations qui sont transmises au serveur pirate.
  5. Exploitation : achats frauduleux, revente des données sur le dark web, ou installation d'un malware sur le smartphone.

Sur certains appareils Android non à jour, le simple fait de visiter le site malveillant peut suffire à installer un cheval de Troie sans aucune action supplémentaire de ta part. Si tu as des doutes, lis notre guide sur comment savoir si ton téléphone est piraté.

10 méthodes concrètes pour te protéger des arnaques au QR code

1. Vérifie toujours l'URL avant de cliquer

La majorité des smartphones modernes (iOS 11+, Android 8+) affichent l'aperçu de l'URL avant d'ouvrir le lien. Prends 3 secondes pour la lire. Méfie-toi des fautes d'orthographe (paypa1.com au lieu de paypal.com), des sous-domaines suspects, ou des extensions inhabituelles (.xyz, .top, .info).

2. Inspecte physiquement le QR code

Avant de scanner un QR code dans la rue, vérifie qu'il n'y a pas un autocollant collé par-dessus le code original. Passe l'ongle dessus : si ça décolle, c'est très suspect. Sur les parcmètres, le QR code est généralement gravé ou imprimé directement.

3. Utilise un scanner QR avec aperçu de sécurité

Plutôt que l'appareil photo natif, utilise une application qui vérifie la réputation de l'URL avant d'ouvrir : Trend Micro QR Scanner, Kaspersky QR Scanner, ou Norton Snap. Elles bloquent automatiquement les sites connus comme malveillants.

4. Méfie-toi des QR codes dans les e-mails

Aucune banque, aucun service public, aucun opérateur ne te demandera jamais de scanner un QR code dans un e-mail pour t'authentifier ou payer. Si tu reçois ce genre de message, supprime-le immédiatement.

5. Privilégie les applications officielles

Pour payer ton stationnement, utilise directement les apps PayByPhone, Flowbird ou EasyPark depuis ton store officiel. Pour suivre un colis, va sur le site de La Poste/Chronopost via ton navigateur, jamais via un QR code reçu par SMS ou e-mail.

6. Active la double authentification (2FA) partout

Même si un pirate récupère ton mot de passe via une arnaque QR code, la 2FA l'empêchera de se connecter à ton compte. Pour bien sécuriser tes comptes, consulte notre guide essentiel sur la sécurité des mots de passe.

7. Garde ton smartphone à jour

Les mises à jour iOS et Android corrigent régulièrement des failles de sécurité exploitées par les attaques drive-by (sans interaction). Active les mises à jour automatiques.

8. N'enregistre jamais ta carte bancaire sur des sites inconnus

Si un site demandé par un QR code te propose d'"enregistrer ta carte pour la prochaine fois", refuse systématiquement. Utilise plutôt Apple Pay, Google Pay ou des cartes virtuelles à usage unique (Revolut, N26, ma French Bank).

9. Utilise un raccourcisseur d'URL fiable pour tes propres QR codes

Si tu es commerçant ou créateur et que tu génères tes propres QR codes, utilise un service de raccourcisseur d'URL sécurisé et conforme RGPD comme Lunyb. Tu peux ainsi suivre les statistiques de scan, mettre à jour la destination si nécessaire, et offrir à tes clients un domaine reconnaissable et fiable. Pour comparer les options disponibles, consulte notre comparatif Lunyb vs Bitly.

10. Signale les QR codes suspects

Si tu repères une arnaque, signale-la sur cybermalveillance.gouv.fr ou sur Pharos. Préviens aussi le commerçant ou la mairie concernée pour qu'ils retirent l'autocollant frauduleux.

Que faire si tu as scanné un QR code malveillant ?

Si tu suspectes avoir été victime d'une arnaque au QR code, agis rapidement :

  1. Coupe immédiatement la connexion internet de ton téléphone (mode avion).
  2. Si tu as saisi ta carte bancaire : contacte ta banque pour faire opposition, et fais-toi rembourser via la procédure de rétrofacturation (chargeback).
  3. Si tu as saisi un mot de passe : change-le immédiatement, ainsi que sur tous les sites où tu utilisais le même.
  4. Lance un scan antivirus sur ton téléphone (Bitdefender, Malwarebytes, Avast).
  5. Dépose plainte au commissariat ou en ligne sur le site du ministère de l'Intérieur.
  6. Signale sur Phishing Initiative et cybermalveillance.gouv.fr.

Tableau comparatif : QR code légitime vs frauduleux

Critère QR code légitime QR code frauduleux
Support Imprimé ou gravé sur le support Souvent un autocollant collé par-dessus
URL de destination Domaine officiel de l'entreprise Domaine étrange, raccourci ou avec faute
Connexion HTTPS avec certificat valide HTTP, ou HTTPS avec certificat suspect
Demande d'infos Strictement nécessaire au service Carte bancaire + données perso excessives
Design du site Cohérent et professionnel Fautes, logos pixelisés, urgence artificielle
Pression temporelle Aucune "Payez dans les 24h", "offre limitée"

Le rôle du RGPD et de la CNIL face au quishing

Le RGPD impose aux entreprises de protéger les données personnelles de leurs utilisateurs. Lorsqu'une arnaque QR code se fait passer pour une entreprise légitime, celle-ci a l'obligation de communiquer rapidement pour prévenir ses clients. La CNIL recommande aussi aux commerçants utilisant des QR codes (menus, paiements, programmes de fidélité) de bien informer leurs clients sur l'utilisation des données collectées.

Si tu es entrepreneur, en particulier en Belgique ou en France, lis notre guide RGPD complet pour les PME qui détaille tes obligations et les bonnes pratiques.

Pour aller plus loin sur la sécurité des transactions, le chiffrement de bout en bout reste la meilleure protection pour tes communications sensibles.

FAQ : Tout savoir sur les arnaques au QR code

Est-ce que scanner un QR code peut suffire à pirater mon téléphone ?

En soi, scanner un QR code ouvre simplement l'URL qu'il contient. Le danger vient ensuite : si le site exploite une faille de ton navigateur (rare mais possible sur appareils non mis à jour), un malware peut s'installer. Dans la grande majorité des cas, le piratage nécessite une action de ta part : saisir tes identifiants, télécharger une app, autoriser une installation.

Comment reconnaître un faux QR code sur un parcmètre ?

Vérifie d'abord s'il s'agit d'un autocollant collé par-dessus (passe l'ongle). Vérifie ensuite que l'URL correspond bien au prestataire officiel de la ville (PayByPhone, Flowbird, EasyPark). En cas de doute, paie en pièces ou via l'application officielle téléchargée depuis l'App Store ou Google Play.

Les QR codes des restaurants sont-ils sûrs ?

Généralement oui, mais vérifie que le QR code est bien intégré au menu (imprimé, plastifié) et non un autocollant ajouté. Méfie-toi si le menu en ligne te demande de créer un compte avec ta carte bancaire pour consulter les plats : ce n'est jamais nécessaire pour un simple menu.

Quel est le meilleur scanner de QR code sécurisé ?

Plusieurs options gratuites existent : Trend Micro QR Scanner, Kaspersky QR Scanner, ou Norton Snap. L'application native iPhone (iOS 11+) et celle de Google Lens sur Android intègrent désormais aussi un aperçu de l'URL avant ouverture, ce qui constitue déjà une bonne protection.

Que faire si j'ai donné mes coordonnées bancaires sur un site frauduleux ?

Contacte immédiatement ta banque pour faire opposition. Tu as 13 mois pour contester une transaction non autorisée et obtenir un remboursement (article L133-24 du Code monétaire). Dépose plainte et conserve toutes les preuves (captures d'écran, e-mails, photos du QR code frauduleux). Change tous tes mots de passe par sécurité.

Conclusion

Les arnaques au QR code (quishing) explosent et touchent désormais tout le monde : automobilistes, clients de restaurants, e-commerçants, salariés. La bonne nouvelle, c'est que la prévention est simple : vérifier l'URL avant de cliquer, inspecter physiquement le QR code, utiliser des applications officielles, et activer la double authentification.

En adoptant ces réflexes, tu réduis drastiquement les risques d'être victime. Et si tu génères toi-même des QR codes pour ton activité, choisis un raccourcisseur d'URL transparent et conforme RGPD comme Lunyb pour offrir à tes utilisateurs une expérience à la fois pratique et sécurisée.

La cybersécurité commence par les petits gestes du quotidien. Reste vigilant, et partage ces conseils autour de toi : un proche averti vaut mieux qu'un compte vidé.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles

Chiffrement de Bout en Bout : Comment Ça Marche (Guide 2024)

Le chiffrement de bout en bout (E2EE) est devenu le standard de la communication sécurisée moderne. Mais comment fonctionne-t-il vraiment ? Plongée technique et pratique dans cette technologie qui protège tes messages, appels et données contre les regards indiscrets.

9 min

Comment Savoir si Votre Téléphone est Piraté : 10 Signes Qui Ne Trompent Pas

Ton téléphone se comporte bizarrement ? Batterie qui se vide, surchauffe, applications inconnues... Découvre les 10 signes incontournables qui prouvent que ton smartphone est piraté et la procédure complète pour reprendre le contrôle de ton appareil.

10 min

Sécurité des Mots de Passe : Le Guide Essentiel 2024

La majorité des piratages de comptes en ligne sont dus à des mots de passe faibles ou réutilisés. Ce guide essentiel te donne toutes les clés pour créer, gérer et protéger tes mots de passe en 2024. De la création de phrases de passe robustes aux gestionnaires modernes, en passant par l'authentification à deux facteurs, tu vas tout maîtriser.

9 min

Google Sait Tout sur Vous : Comment Vérifier et Protéger vos Données en 2024

Google collecte une quantité astronomique de données personnelles sur ses utilisateurs à travers ses multiples services. Découvre comment vérifier exactement ce que Google sait sur toi et comment protéger efficacement ta vie privée en 2024.

8 min