facebook-pixel

QR Code Dangereux : Comment les Reconnaître (Guide 2026)

E
Equipe Securite Lunyb
··9 min read

Les QR codes sont partout : menus de restaurants, parkings, affiches publicitaires, bornes de recharge, factures... Et depuis quelques années, ils sont devenus l'un des outils préférés des cybercriminels. Le phénomène a même un nom : le quishing (contraction de QR et phishing). En 2024, les signalements liés aux QR codes malveillants ont explosé en France, et 2026 confirme la tendance.

Dans ce guide, tu vas apprendre à repérer un QR code dangereux, comprendre les arnaques les plus courantes, et adopter les bons réflexes pour scanner sans risque.

Qu'est-ce qu'un QR code dangereux ?

Un QR code dangereux est un code-barres 2D qui redirige vers un contenu malveillant : site de phishing, téléchargement de malware, page de paiement frauduleuse, ou encore formulaire qui vole tes données personnelles. Le problème principal ? Impossible de lire l'URL à l'œil nu avant de scanner.

Contrairement à un lien classique où tu peux survoler pour vérifier la destination, un QR code cache complètement sa cible. C'est cette opacité qui en fait un vecteur d'attaque redoutable, surtout auprès du grand public qui a pris l'habitude de scanner sans réfléchir depuis la période Covid.

Pourquoi les QR codes sont devenus une cible privilégiée

  • Confiance aveugle : la plupart des gens scannent sans vérifier
  • Facilité de production : n'importe qui peut générer un QR code en 10 secondes
  • Difficulté de contrôle : impossible de vérifier visuellement l'URL avant scan
  • Détournement physique : coller un autocollant frauduleux par-dessus un vrai code est trivial
  • Faible détection antivirus : les mobiles sont moins protégés que les PC

Les 6 arnaques QR code les plus courantes en 2026

1. Le quishing bancaire

Tu reçois un mail ou SMS soi-disant de ta banque, avec un QR code à scanner "pour vérifier ton identité". Le code mène vers une fausse page de connexion identique à celle de ta banque. Résultat : identifiants volés, compte vidé.

2. Les faux parcmètres et bornes de recharge

C'est l'arnaque en pleine explosion. Des escrocs collent leur propre QR code par-dessus celui du parcmètre officiel ou de la borne de recharge électrique. Tu scannes, tu paies... mais l'argent va directement sur leur compte, et ton stationnement n'est pas enregistré (bonjour l'amende).

3. Les faux menus de restaurant

Un QR code collé sur la table te redirige vers un site qui te demande de créer un compte avec ton email et parfois ta carte bancaire "pour bénéficier d'une réduction". Le restaurant n'a rien à voir avec ça.

4. Les affiches et flyers piégés

Fausses offres d'emploi, faux concours, fausses aides gouvernementales... Le QR code redirige vers un formulaire qui collecte massivement tes données personnelles pour les revendre ou les utiliser pour de l'usurpation d'identité.

5. Le téléchargement d'applications malveillantes

Le code te propose de télécharger une application (souvent en dehors des stores officiels). L'app est en réalité un logiciel espion capable de lire tes SMS, tes contacts, tes mots de passe. Pour approfondir, lis notre guide sur les applications qui espionnent ton téléphone.

6. Le faux colis / faux transporteur

Un avis de passage avec QR code dans ta boîte aux lettres t'invite à "reprogrammer la livraison" en scannant. La page demande des frais de 1,99 € "pour la nouvelle tentative" avec ta carte bancaire, qui est ensuite débitée de sommes bien plus importantes.

Comment reconnaître un QR code dangereux : les 10 signaux d'alerte

Signaux visuels sur le QR code lui-même

  1. Autocollant collé par-dessus un autre : un bord qui se décolle, une couleur différente, une superposition visible = alerte maximale
  2. Qualité d'impression douteuse : pixelisé, mal centré, imprimé sur un papier différent du support officiel
  3. Absence de contexte : un QR code seul sans logo, sans texte explicatif, sans URL de secours
  4. Emplacement suspect : collé sur un lampadaire, un abribus, dans un endroit sans lien avec une entreprise identifiable

Signaux au moment du scan (avant d'ouvrir le lien)

  1. URL raccourcie non fiable : bit.ly, tinyurl et autres masquent la destination réelle. Préfère des raccourcisseurs qui affichent un aperçu de sécurité comme Lunyb
  2. Nom de domaine bizarre : "banque-populaire-securite.info" au lieu de "banquepopulaire.fr", ou des fautes subtiles (rn au lieu de m, chiffre 0 au lieu de O)
  3. Extension exotique : .tk, .xyz, .top, .club pour un site soi-disant institutionnel = fuis
  4. Pas de HTTPS : un site officiel a toujours un cadenas et commence par https://

Signaux une fois sur la page

  1. Demande de données excessive : ta banque ne te demandera jamais ton code complet, ton numéro de carte + CVV + date, ou ta photo d'identité par QR code
  2. Urgence artificielle : "Votre compte sera bloqué dans 24h", "Dernière chance"... la peur est le carburant du phishing

Les bons réflexes avant de scanner

Adopter une routine simple avant chaque scan élimine 95 % des risques. Voici la checklist à intégrer.

Étape 1 : Observer le support physique

Avant même de sortir ton téléphone, regarde de près. Y a-t-il un autocollant par-dessus ? Le QR code fait-il partie intégrante de l'affiche ou semble-t-il ajouté ? Sur un parcmètre ou une borne, passe l'ongle sur le bord : s'il se soulève, c'est un faux collé par-dessus.

Étape 2 : Activer l'aperçu d'URL sur ton smartphone

La quasi-totalité des appareils affiche maintenant l'URL avant d'ouvrir le lien. Prends l'habitude de la lire en entier avant de cliquer sur "Ouvrir". Sur iPhone, l'app Appareil Photo native fait ça très bien. Sur Android, l'application Google Lens ou l'appareil photo de la plupart des marques affiche aussi l'aperçu.

Étape 3 : Vérifier le domaine mot par mot

Lis le domaine à voix basse. "paypa1.com" ? "amaz0n-securite.fr" ? "impots-gouv.net" (le vrai c'est impots.gouv.fr) ? Chaque caractère compte. Les cybercriminels misent sur la lecture rapide.

Étape 4 : Ne jamais saisir d'informations sensibles depuis un QR code

Règle d'or : si un QR code te mène vers une page demandant identifiants bancaires, mot de passe, ou pièce d'identité, ferme immédiatement. Va sur le site officiel de l'organisme concerné en tapant l'adresse manuellement dans ton navigateur.

Étape 5 : Utiliser un scanner QR avec analyse de sécurité

Certaines applications de scan analysent l'URL avant ouverture et te préviennent si elle figure dans une base de sites malveillants. Trend Micro QR Scanner, Kaspersky QR Scanner ou Sophos Intercept X sont des options gratuites reconnues.

Tableau comparatif : QR code légitime vs dangereux

CritèreQR code légitimeQR code dangereux
SupportIntégré à l'impression officielleAutocollant ajouté, bords décollés
URL affichéeDomaine officiel, HTTPSRaccourcisseur opaque, fautes, extension bizarre
ContexteLogo, nom de l'entreprise, texte explicatifQR code seul, sans indication
Données demandéesMinimum nécessaire au serviceCarte bancaire complète, mot de passe, pièce d'identité
Ton du messageNeutre et informatifUrgence, menace, promesse trop belle
Certificat SSLValide, entreprise identifiéeAbsent ou certificat auto-signé

Que faire si tu as scanné un QR code dangereux ?

Pas de panique, mais agis vite. Chaque minute compte pour limiter les dégâts.

Si tu as juste ouvert la page (sans rien saisir)

  1. Ferme immédiatement l'onglet
  2. Efface l'historique et les cookies du navigateur
  3. Redémarre ton téléphone par précaution
  4. Lance un scan antivirus mobile

Si tu as saisi des informations bancaires

  1. Appelle immédiatement ta banque pour faire opposition (numéro au dos de ta carte)
  2. Change tous les mots de passe utilisés
  3. Surveille tes comptes pendant plusieurs semaines
  4. Dépose plainte au commissariat
  5. Signale sur cybermalveillance.gouv.fr et signal-arnaques.com

Si tu as téléchargé une application

  1. Désinstalle l'application immédiatement
  2. Passe le téléphone en mode avion
  3. Fais une sauvegarde de tes données importantes
  4. Envisage une réinitialisation d'usine si l'appli avait des permissions étendues
  5. Change tes mots de passe depuis un autre appareil

Protéger sa vie privée au-delà des QR codes

Les QR codes ne sont qu'une porte d'entrée parmi d'autres. Une hygiène numérique globale reste ta meilleure défense. Quelques réflexes complémentaires :

Le rôle des entreprises et de la CNIL

La CNIL rappelle régulièrement que les entreprises qui utilisent des QR codes doivent respecter le RGPD : information claire sur les données collectées, base légale valide, minimisation. Un restaurant qui te force à créer un compte pour consulter le menu via QR code est en infraction.

Côté cybersécurité, l'ANSSI et cybermalveillance.gouv.fr publient régulièrement des alertes sur les campagnes de quishing en cours. S'abonner à leurs notifications permet d'anticiper les vagues d'arnaques (particulièrement fréquentes autour des impôts, des fêtes, ou des périodes de soldes).

FAQ : QR codes dangereux

Un QR code peut-il installer un virus sans que je clique ?

Non, un QR code seul ne peut pas installer de logiciel malveillant. Il ne fait que rediriger vers une URL. C'est l'action qui suit (télécharger un fichier, saisir des données, autoriser une installation) qui crée le risque. Tant que tu ne fais que scanner et lire l'URL sans l'ouvrir, tu ne risques rien.

Les QR codes des restaurants sont-ils sûrs ?

La plupart le sont, mais deux risques existent : un autocollant frauduleux collé par-dessus, ou un menu digital qui collecte trop de données personnelles. Vérifie toujours l'URL affichée et refuse de créer un compte juste pour lire un menu.

Comment vérifier une URL raccourcie avant de l'ouvrir ?

Utilise un service comme unshorten.it, checkshorturl.com ou l'aperçu intégré au raccourcisseur (Lunyb par exemple affiche des informations de sécurité). Copie l'URL raccourcie, colle-la dans l'outil, et vérifie la destination finale avant de cliquer.

Faut-il installer une application dédiée pour scanner les QR codes ?

Non, l'appareil photo natif de ton iPhone ou Android suffit et est même plus sûr que la plupart des applications tierces (dont certaines sont elles-mêmes malveillantes). Évite absolument les scanners QR gratuits téléchargés en dehors des stores officiels.

Que risque-t-on juridiquement si on scanne un faux QR code sur un parcmètre ?

Tu risques deux choses : perdre l'argent payé au fraudeur, et recevoir une amende pour stationnement impayé puisque le vrai parcmètre n'a rien enregistré. Conserve les preuves du paiement (email, capture d'écran, historique bancaire) et conteste l'amende auprès de l'ANTAI en joignant un dépôt de plainte.

Conclusion

Les QR codes ne sont ni bons ni mauvais en eux-mêmes : c'est leur usage qui compte. En intégrant les réflexes de vérification présentés dans ce guide (observer le support, lire l'URL, se méfier de l'urgence, ne jamais saisir de données sensibles), tu réduis massivement les risques.

Le quishing progresse parce que la vigilance baisse. Reprends le contrôle : 3 secondes d'attention avant chaque scan valent bien mieux que 3 semaines à essayer de récupérer un compte piraté ou de contester des débits frauduleux.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles