facebook-pixel

QR Code Dangereux : Comment les Reconnaître en 2026 (Guide Complet)

E
Equipe Securite Lunyb
··10 min read

Tu scannes un QR code au restaurant pour voir le menu, un autre sur une borne de recharge, un dernier sur une amende de stationnement. En 2026, on scanne en moyenne plusieurs QR codes par semaine sans même y penser. Le problème ? Les cybercriminels l'ont bien compris, et le quishing (phishing par QR code) explose littéralement.

Dans ce guide, on va voir concrètement comment reconnaître un QR code dangereux, les techniques utilisées par les arnaqueurs, et surtout comment te protéger sans devenir parano.

Qu'est-ce qu'un QR code dangereux ?

Un QR code dangereux est un code-barres 2D qui, une fois scanné, redirige vers un site malveillant, télécharge un logiciel espion, vole tes identifiants ou déclenche un paiement frauduleux. Contrairement à un lien classique, tu ne vois pas la destination avant de scanner — c'est exactement ce qui en fait une arme redoutable pour les pirates.

Le terme technique pour cette arnaque, c'est le quishing (contraction de "QR" et "phishing"). Selon les dernières alertes de la CNIL et de cybermalveillance.gouv.fr, ce type d'attaque a bondi de plus de 400% entre 2023 et 2025.

Pourquoi les QR codes sont une cible idéale pour les pirates

  • Opacité totale : impossible de lire l'URL à l'œil nu
  • Confiance aveugle : les gens scannent sans réfléchir
  • Faible coût : imprimer et coller un sticker coûte quelques centimes
  • Contournement des filtres : les antivirus classiques analysent rarement les images de QR codes
  • Écran mobile : les URLs de phishing sont plus difficiles à repérer sur smartphone

Les 7 types de QR codes dangereux les plus courants

1. Le QR code de faux parcmètre

C'est LE grand classique de 2025-2026. Les arnaqueurs collent un autocollant avec leur propre QR code par-dessus celui légitime du parcmètre. Tu scannes, tu arrives sur un faux site qui ressemble à celui de la ville, tu rentres ta carte bancaire… et bingo. Ce type d'arnaque a explosé à Paris, Lyon, Marseille et dans plusieurs villes suisses.

2. Le faux QR code de restaurant

Un pirate remplace le QR code du menu par le sien. Résultat : au lieu de voir la carte, tu télécharges un fichier APK malveillant ou tu es redirigé vers un formulaire volant tes données personnelles.

3. Les fausses amendes ou courriers officiels

Tu reçois une lettre "officielle" avec un QR code à scanner pour payer une amende, régulariser un impôt ou récupérer un colis. Le design imite parfaitement celui des impôts, de La Poste ou de la police. Sauf que tout est faux.

4. Le QR code sur borne de recharge

Un sticker malveillant sur une borne de recharge électrique redirige vers un site de paiement frauduleux qui capture ta carte bancaire pendant que tu penses payer ta recharge.

5. Le QR code dans les emails de phishing

Les pirates intègrent désormais des QR codes dans les emails plutôt que des liens cliquables, car les filtres anti-phishing détectent moins bien les images. Tu scannes avec ton téléphone… et tu quittes le réseau protégé de l'entreprise.

6. Le QR code publicitaire trafiqué

Sur les affiches publicitaires dans les gares, arrêts de bus ou centres commerciaux, les fraudeurs collent leurs propres codes par-dessus les campagnes officielles.

7. Le faux WiFi gratuit

"Scanne pour te connecter au WiFi gratuit !" Sauf que le réseau est contrôlé par un attaquant qui intercepte toutes tes données.

Comment reconnaître un QR code dangereux : les 10 signaux d'alerte

Voici les indices concrets qui doivent te faire tiquer avant de scanner :

  1. Le QR code est un autocollant collé par-dessus autre chose. Regarde les bords : si tu vois un sticker, méfiance maximale.
  2. Le contexte est bizarre. Un QR code seul, sans texte explicatif ni logo officiel, dans un lieu inattendu ? Suspect.
  3. Le QR code arrive par email ou SMS non sollicité. Aucune administration française ne t'envoie de QR code par SMS pour "payer une amende".
  4. Il y a une urgence artificielle : "Payez sous 24h ou majoration", "Colis en attente", "Compte suspendu".
  5. Le design semble légèrement décalé : logo un peu flou, faute d'orthographe, police différente.
  6. L'URL de destination est étrange : ton téléphone affiche normalement l'URL avant d'ouvrir. Si tu vois des caractères aléatoires, un domaine inconnu ou un raccourcisseur douteux, n'ouvre pas.
  7. Le site demande immédiatement des infos sensibles (carte bancaire, mot de passe, numéro de sécurité sociale).
  8. La page te propose de télécharger une application hors du Play Store ou App Store officiel.
  9. Le certificat HTTPS est absent ou invalide (cadenas barré dans le navigateur).
  10. La page imite un site connu mais l'URL diffère : "impots-gouv.net" au lieu de "impots.gouv.fr".

Tableau comparatif : QR code légitime vs dangereux

Critère QR code légitime QR code dangereux
Support Imprimé directement, intégré au design Autocollant collé par-dessus
URL affichée Domaine officiel connu (.fr, .gouv.fr) Domaine inconnu, raccourcisseur douteux
HTTPS Toujours présent avec certificat valide Absent ou certificat suspect
Demandes de données Progressives, justifiées Immédiates, sensibles, urgentes
Contexte visuel Logo, texte explicatif, design cohérent Isolé, sans contexte, fautes
Redirections Une seule vers destination finale Multiples redirections en cascade
Téléchargement Renvoie vers stores officiels Propose APK ou fichiers directs

Comment scanner un QR code en toute sécurité

Voici la procédure en 5 étapes que tu devrais adopter systématiquement :

  1. Inspecte physiquement le support. Y a-t-il un autocollant ? Le code semble-t-il rajouté ? Passe le doigt dessus.
  2. Utilise l'appareil photo natif de ton téléphone (iOS ou Android récent). Il prévisualise l'URL sans l'ouvrir.
  3. Lis l'URL AVANT d'appuyer. Domaine cohérent avec le contexte ? Extension normale ? Orthographe correcte ?
  4. En cas de doute, copie l'URL et colle-la dans un vérificateur de liens comme VirusTotal ou urlscan.io.
  5. Ne rentre JAMAIS de données bancaires sur un site atteint via un QR code sans avoir vérifié à 100% son authenticité.

Les applications à éviter

Beaucoup de gens téléchargent des "scanners QR sécurisés" sur le Play Store. Attention : la plupart sont truffés de publicités, certains sont eux-mêmes malveillants ou aspirent tes données. L'appareil photo intégré de ton smartphone fait très bien le travail depuis iOS 11 et Android 9.

Que faire si tu as scanné un QR code dangereux ?

Pas de panique, mais agis vite. Voici la marche à suivre :

  1. Ne rentre aucune information si le site s'ouvre. Ferme immédiatement l'onglet.
  2. Coupe la connexion internet du téléphone (mode avion) si tu penses qu'un téléchargement s'est lancé.
  3. Vérifie tes applications installées récemment et supprime tout ce qui est inconnu.
  4. Change les mots de passe des comptes potentiellement compromis, surtout si tu as tapé des identifiants.
  5. Contacte ta banque immédiatement si tu as saisi des données bancaires. Fais opposition sur ta carte.
  6. Signale l'arnaque sur cybermalveillance.gouv.fr et à la CNIL si des données personnelles ont fuité.
  7. Dépose plainte au commissariat ou en ligne sur la plateforme THESEE si tu as subi un préjudice financier.

Comment se protéger durablement contre le quishing

Sécurise ton smartphone

  • Active les mises à jour automatiques du système et des apps
  • Installe un antivirus mobile réputé (Bitdefender, Malwarebytes, ESET)
  • Active le filtre anti-phishing de ton navigateur (Safari, Chrome, Firefox)
  • Utilise l'authentification à deux facteurs sur tous tes comptes sensibles
  • Configure un DNS sécurisé comme Quad9 (9.9.9.9) ou Cloudflare (1.1.1.1) qui bloque les domaines malveillants au niveau réseau

Adopte les bons réflexes numériques

La sécurité, c'est avant tout une hygiène quotidienne. Pour aller plus loin, consulte notre guide complet pour protéger sa vie privée en ligne en 2026. Et si tu stockes des documents sensibles sur ton téléphone, jette un œil à notre article sur comment cacher des photos avec un coffre-fort chiffré.

Utilise un raccourcisseur d'URL de confiance

Quand tu crées toi-même des QR codes (pour ton business, ton événement, ta carte de visite), passe par un raccourcisseur fiable qui offre de la transparence sur les redirections. Lunyb permet par exemple de créer des liens courts avec suivi analytique, protection anti-abus et vérification des destinations — de quoi rassurer les gens qui scannent ton QR code. Ça évite aussi que ton lien soit assimilé à un raccourcisseur douteux par les navigateurs.

Cadre légal et RGPD : que dit la loi ?

Un QR code qui redirige vers un site collectant des données personnelles doit respecter le RGPD : consentement clair, information transparente sur l'utilisation des données, base légale valide. Un QR code sans mentions légales sur la page de destination est déjà un premier signal d'alarme.

En France, la CNIL peut sanctionner les collectes abusives, et les victimes de quishing peuvent porter plainte pour escroquerie (article 313-1 du Code pénal, jusqu'à 5 ans de prison et 375 000€ d'amende).

En Suisse, la nouvelle LPD couvre également ce type d'infractions. Pour comprendre les différences entre les deux régimes, consulte notre article LPD vs RGPD : Différences pour les Entreprises Suisses en 2026. Si tu es victime en Suisse, tu peux également déposer une plainte auprès du PFPDT.

Cas concrets récents de quishing en France

L'affaire des parcmètres parisiens (2024-2025)

Plusieurs arrondissements de Paris ont vu apparaître de faux QR codes sur les horodateurs. Bilan : plusieurs centaines de victimes, préjudice estimé à plus de 200 000€. La mairie a dû ajouter des mentions "Ne pas scanner de QR code sur cet horodateur" sur ses appareils.

Les faux courriers ANTAI

Des lettres imitant l'Agence nationale de traitement automatisé des infractions ont circulé partout en France, avec un QR code menant vers un faux site de paiement. Les vraies amendes se paient uniquement sur amendes.gouv.fr.

Le phishing bancaire par QR code

Des emails imitant la Société Générale, le Crédit Agricole ou BNP Paribas contenaient des QR codes à scanner "pour sécuriser son compte". Les données bancaires étaient siphonnées en quelques secondes.

FAQ : Questions fréquentes sur les QR codes dangereux

Peut-on être infecté juste en scannant un QR code ?

Non, pas directement. Un QR code ne fait que contenir des données (généralement une URL). Le danger vient de ce qui se passe APRÈS : ouverture d'un site malveillant, téléchargement, saisie de données. Tant que tu ne cliques pas et ne rentres rien, tu ne risques rien.

Comment vérifier une URL sans l'ouvrir ?

Utilise l'appareil photo natif de ton téléphone qui affiche l'URL en preview. Tu peux aussi copier le lien et le tester sur VirusTotal, urlscan.io ou Google Safe Browsing. Ces outils analysent le site sans que tu aies à le visiter.

Les QR codes des restaurants sont-ils sûrs ?

En général oui, mais vérifie toujours qu'il n'y a pas d'autocollant collé par-dessus le code d'origine. Si le menu te demande des infos personnelles ou bancaires avant même de voir la carte, c'est louche.

Faut-il installer une application spéciale pour scanner ?

Non, l'appareil photo natif de ton smartphone (iOS ou Android récent) fait le job parfaitement et affiche l'URL avant ouverture. Les apps tierces "scanner QR sécurisé" sont souvent inutiles voire malveillantes.

Que risque-t-on légalement à créer un faux QR code ?

C'est de l'escroquerie caractérisée, punie jusqu'à 5 ans de prison et 375 000€ d'amende en France. S'ajoutent les infractions liées à la collecte illégale de données personnelles (jusqu'à 300 000€ d'amende et 5 ans de prison) et les violations RGPD ou LPD selon les cas.

Les QR codes dynamiques sont-ils plus dangereux ?

Pas forcément. Un QR code dynamique redirige via un serveur intermédiaire, ce qui permet à son créateur de changer la destination après impression. C'est très pratique pour un usage légitime (mise à jour d'un menu par exemple), mais ça peut aussi permettre à un pirate qui aurait compromis le service intermédiaire de rediriger vers un site malveillant. Le risque dépend surtout de la fiabilité du service utilisé.

Conclusion : la vigilance avant tout

Les QR codes ne sont pas dangereux en soi. Ce qui l'est, c'est l'automatisme avec lequel on les scanne. En 2026, avec l'explosion du quishing, chaque scan mérite deux secondes de réflexion : le support est-il authentique ? L'URL affichée est-elle cohérente ? Le contexte est-il logique ?

Adopte les réflexes de ce guide, sensibilise ton entourage (surtout les personnes âgées, cibles privilégiées), et rappelle-toi qu'aucune administration ne t'enverra jamais un QR code par SMS pour "régulariser" quoi que ce soit. La cybersécurité en 2026, c'est autant une affaire de technologie que de bon sens numérique.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles