facebook-pixel
L
Lunyb

QR Code Dangereux : Comment les Reconnaître et S'en Protéger en 2026

E
Equipe Securite Lunyb
··9 min read

Les QR codes sont partout : restaurants, parkings, affiches publicitaires, factures, bornes de recharge. Mais cette explosion d'usage a aussi ouvert un boulevard aux cybercriminels. En 2026, le quishing (phishing par QR code) est devenu l'une des menaces les plus sournoises du web. Et pour cause : un simple scan suffit pour t'envoyer vers un site piégé, déclencher un téléchargement ou siphonner tes identifiants bancaires.

Dans ce guide, on te montre comment reconnaître un QR code dangereux, quels sont les pièges les plus courants, et surtout comment scanner sans risque.

Qu'est-ce qu'un QR code dangereux ?

Un QR code dangereux est un code-barres 2D conçu (ou détourné) pour rediriger l'utilisateur vers une ressource malveillante : site de phishing, téléchargement de malware, formulaire frauduleux ou paiement piégé. Visuellement, il est impossible de distinguer un QR code légitime d'un QR code malveillant à l'œil nu — c'est précisément ce qui le rend si efficace.

Contrairement à un lien classique où tu peux survoler l'URL avant de cliquer, le QR code cache totalement sa destination tant que tu ne l'as pas scanné. C'est ce "saut dans le vide" que les escrocs exploitent.

Les chiffres qui font peur

  • +587% d'attaques par quishing entre 2023 et 2025 selon plusieurs rapports cybersécurité
  • 1 utilisateur sur 3 scanne un QR code sans vérifier l'URL de destination
  • Les pertes liées au quishing dépassent désormais celles du phishing par SMS dans plusieurs pays européens

Les types d'attaques par QR code les plus courants

1. Le quishing (phishing par QR code)

Le QR code te redirige vers une fausse page de connexion (banque, La Poste, impôts, Microsoft 365, opérateur télécom). Tu rentres tes identifiants, et ils partent direct chez l'attaquant. C'est la forme la plus répandue.

2. Le sticker overlay (faux QR code collé)

Très populaire en France et en Suisse : l'escroc imprime un QR code malveillant sur un autocollant et le colle par-dessus un QR code légitime. On le retrouve sur :

  • Les horodateurs et bornes de stationnement
  • Les bornes de recharge électrique
  • Les menus de restaurant
  • Les affiches publicitaires
  • Les vélos en libre-service

3. Le téléchargement de malware

Le QR code déclenche le téléchargement automatique d'une APK Android malveillante ou d'un profil iOS frauduleux. Une fois installé, l'app peut lire tes SMS (et donc intercepter tes codes 2FA), tes contacts, ou même prendre le contrôle de ton appareil.

4. Le paiement détourné

Particulièrement vicieux sur les terrasses de café ou les marchés : tu scannes un QR code de "paiement", mais l'argent va sur le compte de l'escroc. Variante : tu reçois une facture impayée par mail avec un QR code de règlement piégé.

5. L'exfiltration Wi-Fi

Un QR code "Wi-Fi gratuit" te connecte à un réseau pirate qui intercepte tout ton trafic non chiffré.

Comment reconnaître un QR code dangereux : les 8 signaux d'alerte

Voici la checklist à appliquer avant chaque scan en 2026 :

  1. Sticker collé par-dessus un autre : si tu sens un relief ou que les bords se décollent, c'est suspect à 100%.
  2. Qualité d'impression incohérente avec le support (papier brillant collé sur un menu mat, par exemple).
  3. Contexte étrange : un QR code dans un email non sollicité, sur un courrier "officiel" inattendu, ou affiché dans la rue sans logo identifiable.
  4. Urgence ou peur dans le message associé : "Votre colis est bloqué", "Amende impayée", "Compte suspendu".
  5. URL raccourcie non identifiable après prévisualisation (bit.ly anonyme, domaines obscurs).
  6. Domaine légèrement modifié : amaz0n.com, laposte-fr.net, impots-gouv.co.
  7. Demande de téléchargement immédiate d'une application en dehors des stores officiels.
  8. Absence de HTTPS sur la page d'arrivée, ou certificat invalide.

Tableau comparatif : QR code légitime vs dangereux

Critère QR code légitime QR code dangereux
Support Imprimé directement, intégré au design Sticker rapporté, mal aligné
URL après scan Domaine officiel reconnaissable Domaine inconnu, faute, raccourci opaque
HTTPS Oui, certificat valide Souvent HTTP ou certificat suspect
Demande Information, menu, paiement clair Identifiants, téléchargement, urgence
Contexte Cohérent (resto, musée, packaging) Email douteux, sticker rue, courrier inattendu
Branding Logo intégré, couleurs de la marque Générique, noir et blanc anonyme

Comment scanner un QR code en toute sécurité

Étape 1 : Utilise l'appareil photo natif (pas une app tierce)

Sur iPhone et Android récents, l'appareil photo natif affiche l'URL avant d'ouvrir le navigateur. Évite les apps de scan QR gratuites du store : beaucoup sont elles-mêmes truffées de pubs malveillantes ou de trackers.

Étape 2 : Lis l'URL en entier

Vérifie le domaine principal (juste avant le premier /). https://service.laposte.fr/suivi = OK. https://laposte.suivi-colis.xyz = piège.

Étape 3 : Utilise un service de prévisualisation

Si l'URL est raccourcie (bit.ly, t.co, etc.), passe-la dans un service de prévisualisation comme checkshorturl.com ou unshorten.it. Tu verras la destination finale sans visiter le site.

Pour tes propres liens, privilégie un raccourcisseur transparent et respectueux de la vie privée. Lunyb par exemple permet de créer des liens courts et des QR codes sans tracking abusif — pratique quand tu veux que tes destinataires aient confiance dans ce qu'ils scannent. Pour aller plus loin, consulte notre comparatif des meilleurs raccourcisseurs.

Étape 4 : N'entre jamais d'identifiants directement après un scan

Si la page te demande de te connecter à ta banque, ton mail ou un service public, ferme la page et va sur le site officiel manuellement via ton navigateur ou ton app dédiée.

Étape 5 : Mets à jour ton OS et ton navigateur

Les versions récentes d'iOS, Android, Chrome et Safari intègrent des protections anti-phishing qui bloquent une partie des sites malveillants connus.

Que faire si tu as scanné un QR code dangereux ?

Pas de panique, mais agis vite :

  1. N'entre rien sur la page si tu as un doute, et ferme-la immédiatement.
  2. Si tu as saisi des identifiants : change immédiatement ton mot de passe sur le vrai site, et active la 2FA si ce n'est pas déjà fait.
  3. Si tu as saisi tes données bancaires : appelle ta banque pour faire opposition, surveille tes relevés, et signale la fraude.
  4. Si tu as téléchargé une app : désinstalle-la, lance un scan antivirus complet, et change les mots de passe des comptes potentiellement exposés.
  5. Signale le QR code : sur signal-spam.fr, internet-signalement.gouv.fr (Pharos) ou auprès de la CNIL si des données personnelles sont en jeu.
  6. Décolle le sticker si tu es en présence physique du QR code piégé, et préviens le commerçant ou la mairie.

Le cadre légal : RGPD, CNIL et signalement

Le quishing tombe sous plusieurs qualifications pénales en France : escroquerie (art. 313-1 du Code pénal), accès frauduleux à un système (art. 323-1) et collecte déloyale de données personnelles au sens du RGPD. La CNIL peut être saisie en cas d'exfiltration de données, et le service Pharos centralise les signalements.

En Suisse, c'est la nLPD qui s'applique, avec un cadre proche du RGPD. Pour aller plus loin sur la protection de tes données au quotidien, lis notre guide Vie privée en ligne.

Bonnes pratiques pour les pros qui génèrent des QR codes

Si tu utilises des QR codes pour ton business (menu, marketing, factures), tu peux rassurer tes clients et limiter les risques d'usurpation :

  • Imprime directement le QR code sur le support, pas en sticker amovible.
  • Utilise un domaine personnalisé (ex. menu.tonresto.fr) plutôt qu'un raccourcisseur générique.
  • Ajoute ton logo au centre du QR code : un faux sera plus facilement repérable.
  • Privilégie les QR codes dynamiques : tu peux modifier la destination en cas de compromission. Voir notre comparatif dynamique vs statique.
  • Suis les scans avec un outil de tracking respectueux : un pic anormal peut indiquer un détournement. Notre guide outils de suivi de liens détaille les meilleures options.
  • Vérifie régulièrement les supports physiques pour détecter d'éventuels stickers rapportés.

Pros et cons des QR codes en 2026

Avantages

  • Rapides et sans contact
  • Universels (tous les smartphones les lisent)
  • Permettent du suivi marketing fin (versions dynamiques)
  • Économiques à produire

Inconvénients

  • Destination invisible avant scan
  • Faciles à falsifier physiquement (stickers)
  • Vecteur croissant de phishing
  • Confiance excessive de la majorité des utilisateurs

FAQ : QR codes dangereux

Peut-on être piraté juste en scannant un QR code ?

Le scan seul n'installe rien sur ton téléphone. Le danger vient de ce qui se passe après : si tu visites le site, entres tes identifiants, ou télécharges une app. Tant que tu fermes la page sans interagir, tu ne risques quasiment rien — sauf vulnérabilité 0-day non patchée, ce qui reste très rare.

Les QR codes sur les menus de restaurant sont-ils sûrs ?

La plupart le sont, mais des cas de stickers frauduleux collés sur des menus ont été recensés en 2024-2025. Vérifie que le QR code est imprimé directement sur le menu (pas un sticker), et que l'URL après scan correspond bien au nom du resto ou à un domaine cohérent.

Comment savoir si un QR code est légitime sans le scanner ?

Tu ne peux pas le savoir avec certitude visuellement. Mais tu peux évaluer le contexte : support officiel, logo intégré, absence de sticker rapporté, source de confiance. Au moindre doute, tape l'URL manuellement plutôt que de scanner.

Les QR codes de paiement sont-ils dangereux ?

Pas par nature, mais ce sont des cibles privilégiées des escrocs. Vérifie toujours le bénéficiaire affiché dans ton app de paiement avant de valider, et ne paye jamais via un QR code reçu dans un email ou un courrier inattendu.

Quelle app utiliser pour scanner un QR code en sécurité ?

L'appareil photo natif de ton iPhone (iOS 11+) ou Android (8.0+) est la meilleure option : pas de pubs, pas de trackers, et prévisualisation de l'URL. Évite les apps tierces gratuites, souvent moins fiables et truffées de SDK publicitaires.

Conclusion

Les QR codes ne sont pas dangereux en eux-mêmes — c'est leur utilisation détournée qui pose problème. En 2026, avec l'explosion du quishing, le bon réflexe est simple : toujours vérifier l'URL avant d'agir, ne jamais entrer d'identifiants depuis une page atteinte par scan, et se méfier des stickers rapportés dans l'espace public.

Avec ces réflexes, tu peux continuer à profiter de la praticité des QR codes sans tomber dans les pièges. Et si tu génères toi-même des QR codes pour ton activité, mise sur la transparence : domaine personnalisé, logo intégré, et outil de suivi sérieux. Tes utilisateurs scanneront en confiance.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles

QR Code Dynamique vs Statique : Lequel Choisir en 2026 ?

QR code dynamique ou statique ? Découvre les vraies différences entre ces deux types, leurs avantages, inconvénients et cas d'usage. Comparatif complet pour choisir la solution adaptée à tes besoins en 2026.

9 min

Créer un QR Code Sécurisé avec Lunyb : Le Guide Complet 2025

Les QR codes sont partout, mais tous ne se valent pas en matière de sécurité. Découvre comment créer un QR code sécurisé avec Lunyb, protéger tes utilisateurs contre le phishing et suivre tes scans en toute conformité avec le RGPD.

9 min

QR Code Dynamique vs Statique : Lequel Choisir pour ton Business en 2024

Découvre les différences entre QR Codes dynamiques et statiques pour choisir la meilleure solution. Comparaison détaillée des fonctionnalités, coûts et cas d'usage.

9 min

Comment Créer un QR Code Sécurisé avec Lunyb : Guide Complet 2024

Créer un QR code sécurisé avec Lunyb combine praticité et protection avancée contre les menaces numériques. Cette solution innovante offre une alternative sûre aux QR codes traditionnels en intégrant des fonctionnalités de vérification automatique et de filtrage des contenus malveillants.

10 min