Arnaques aux codes QR (quishing) : la menace cachée en plain sight
Les arnaques aux codes QR, appelées quishing, explosent en 2026. Découvrez comment les faux codes QR volent votre argent et vos données, où les escrocs les placent, et comment scanner en toute sécurité avant d'appuyer.
· Truvizy Research Team · 8 min read
TL;DR
Le quishing est le phishing par code QR : les escrocs remplacent les codes QR légitimes sur les menus de restaurants, les parcmètres, les étiquettes de colis et les affiches publiques par des codes qui redirigent vers des sites voleurs d'identifiants. Comme votre caméra de téléphone n'affiche qu'une petite URL avant de l'ouvrir, la plupart des gens ne remarquent jamais la substitution. Vérifiez toujours l'URL de destination avant d'ouvrir un lien de code QR, utilisez un scanner QR avec des vérifications de sécurité intégrées, et en cas de doute tapez manuellement l'adresse web officielle.
Vous arrivez dans un parking, scannez le code QR sur la borne de paiement et saisissez votre carte de crédit pour payer votre place. La transaction semble s'effectuer. Plus tard dans la soirée, votre banque vous appelle pour trois débits frauduleux à l'étranger. Vous n'avez remis votre carte à personne. Vous n'avez pas cliqué sur un e-mail suspect. Tout ce que vous avez fait, c'est scanner un code QR, et c'était suffisant. Bienvenue dans le quishing : l'arnaque à la croissance la plus rapide dont la plupart des gens n'ont jamais entendu parler.
Les codes QR ont été conçus pour la commodité, scannez et partez. Mais cette même expérience sans friction qui les rend attrayants pour les entreprises les rend aussi dangereux entre les mains des escrocs. Contrairement à un lien e-mail suspect que vous pouvez survoler pour un aperçu, un code QR ne révèle rien avant que vous n'ayez déjà pointé votre caméra dessus. Au moment où vous voyez l'URL de destination, de nombreuses victimes ont déjà appuyé sur « ouvrir ». C'est précisément cet infime intervalle de temps que le quishing exploite.
Qu'est-ce que le quishing ?
Le quishing, un mot-valise combinant « QR » et « phishing », est la pratique consistant à intégrer des URL malveillantes dans des codes QR pour rediriger les victimes vers des sites web frauduleux. L'arnaque peut prendre plusieurs formes : remplacer physiquement un code légitime par un faux autocollant dans des espaces publics, envoyer des codes QR par e-mail ou SMS qui contournent les filtres anti-spam traditionnels, ou créer de faux documents (factures, contraventions de stationnement, avis de colis) mettant en avant des codes frauduleux.
L'Internet Crime Complaint Center du FBI a identifié le quishing comme une menace prioritaire émergente en 2024, et les chiffres n'ont fait qu'empirer depuis. Les entreprises de cybersécurité ont documenté une augmentation de 587 % des attaques de phishing par code QR entre 2024 et 2025. La technique est devenue populaire auprès des réseaux de fraude organisés car elle est peu coûteuse à exécuter, difficile à détecter à grande échelle, et spécifiquement conçue pour contourner les outils de sécurité des e-mails qui ne peuvent pas lire les URL intégrées dans les images.
Le quishing s'inscrit dans un changement plus large des tactiques d'arnaque vers des attaques axées sur le mobile. Comme nous l'avons documenté dans notre analyse de comment l'IA accélère la sophistication des arnaques, les fraudeurs ciblent spécifiquement les outils et habitudes que les gens ont adoptés à l'ère du smartphone, et les codes QR sont l'une des habitudes mobiles les plus répandues de ces cinq dernières années.
Comment fonctionnent les arnaques aux codes QR
La mécanique d'une attaque de quishing est trompeusement simple. Un attaquant génère un code QR qui encode une URL malveillante, généralement une version clonée d'une page de connexion bancaire, d'un portail de paiement ou d'un service gouvernemental. La fausse page est conçue pour paraître identique à la légitime, capturant tout identifiant ou information de paiement que la victime saisit.
Dans les attaques physiques, l'escroc imprime le code frauduleux sur un autocollant et le place sur le code légitime d'un parcmètre, d'une table de restaurant ou d'un tableau d'affichage public. La substitution prend quelques secondes. L'attaquant peut ensuite quitter la zone et collecter les données volées à distance. Un seul autocollant bien placé sur un parcmètre fréquenté peut capturer des dizaines de victimes par jour.

Le quishing par e-mail suit un autre scénario. Les attaquants envoient des messages se faisant passer pour des banques, des services RH ou des transporteurs de colis, affirmant que le destinataire doit vérifier son compte ou suivre une livraison, et incluant un code QR à « scanner avec votre téléphone pour plus de sécurité ». Cette instruction est délibérée : déplacer l'interaction vers un appareil mobile éloigne la victime de l'ordinateur d'entreprise avec ses outils de sécurité pour la diriger vers un téléphone personnel avec moins de protections.
Sur la fausse page, la victime est confrontée à un formulaire soigné de collecte d'identifiants. Les attaques plus avancées utilisent des techniques de relais en temps réel : pendant que la victime saisit son nom d'utilisateur et son mot de passe, l'attaquant entre simultanément ces identifiants sur le vrai site web, puis relaie la demande d'authentification à deux facteurs à la victime, contournant complètement les protections 2FA.
Incertain d'un lien provenant d'un code QR ? Collez l'URL dans Truvizy pour vérifier les indicateurs de phishing avant de saisir des informations.
Où apparaissent les faux codes QR
Les parcmètres et bornes de paiement figurent parmi les emplacements les plus ciblés aux États-Unis. Le Texas Department of Transportation a documenté des dizaines d'autocollants de faux codes QR sur des parcmètres dans les grandes villes en 2024. Les victimes ont saisi leurs coordonnées bancaires complètes en pensant payer leur stationnement et ont en réalité remis leurs données financières directement aux escrocs. L'arnaque fonctionne particulièrement bien car le paiement du stationnement est stressant, les conducteurs sont souvent pressés et n'examinent pas attentivement l'interface de paiement.
Les présentoirs de table et menus de restaurant sont devenus un vecteur majeur avec la généralisation de la restauration sans contact après la pandémie. Un autocollant avec un code QR frauduleux placé sur ou à côté d'un code légitime peut rediriger les clients vers un faux menu ou une fausse page de paiement. Dans certains cas, la fausse page affiche même un menu convaincant avant de rediriger vers un formulaire de collecte d'identifiants affirmant que le restaurant est passé aux commandes en ligne.
Les étiquettes de retour de colis représentent une catégorie d'attaque en croissance rapide. Les victimes reçoivent des colis, parfois non sollicités, parfois dans le cadre d'une fausse campagne de loterie, contenant des étiquettes de retour avec des codes QR. Scanner le code est censé initier un retour mais mène en réalité à un faux portail de détaillant qui demande des informations de carte de crédit pour le « traitement du remboursement ».
Les transports en commun et arrêts de bus présentent des risques significatifs car la signalétique est gérée par des municipalités à capacité de surveillance limitée. Des codes frauduleux sur des plans de transit, des bornes d'achat de billets ou des écrans de paiement de tarifs peuvent passer inaperçus pendant des jours avant d'être retirés. Au Royaume-Uni, Transport for London a retiré des centaines de faux codes QR des gares en 2025.
Les attaques par e-mail et document ciblent autant les entreprises que les consommateurs. Les fausses factures contenant des codes QR pour un « paiement sécurisé », les fausses notifications RH exigeant des employés qu'ils scannent un code pour mettre à jour les informations de paie, et les faux avis de livraison de colis sont tous des vecteurs d'attaque courants en entreprise. Comme discuté dans notre guide sur la détection des e-mails de phishing, les attaques par e-mail deviennent de plus en plus sophistiquées dans leur utilisation d'éléments visuels pour contourner le filtrage automatisé.
Les faux flyers de charité et de collecte de fonds exploitent la générosité. Après des catastrophes naturelles ou des événements médiatiques majeurs, des flyers frauduleux avec des codes QR de dons apparaissent sur les tableaux d'affichage communautaires, dans les supermarchés et sur les réseaux sociaux. Les codes renvoient à de convaincantes fausses pages de paiement caritatif qui captent les dons et les coordonnées bancaires sans jamais effectuer un vrai don.
Pourquoi les arnaques QR sont si efficaces
L'efficacité du quishing provient d'un inadéquation fondamentale de confiance. Les codes QR sont associés à la commodité et à la modernité, ils sont placés par des entreprises légitimes sur des matériaux officiels. Les gens ont été conditionnés par des années d'utilisation à faire davantage confiance au contexte physique d'un code QR qu'à un lien e-mail aléatoire. Un code sur une table de restaurant ou un parcmètre porte une approbation implicite de l'emplacement lui-même.
Les applications de caméra offrent une friction minimale. La plupart des smartphones reconnaissent automatiquement les codes QR et affichent un petit aperçu de l'URL que les utilisateurs écartent instinctivement sans le lire. La fenêtre d'aperçu est petite, l'URL est souvent longue ou raccourcie, et la tendance naturelle du cerveau à reconnaître des modèles signifie que les utilisateurs voient fréquemment ce qu'ils attendent plutôt que ce qui est réellement là. Une URL comme « secure-payment-parkingzone.com » se lit comme « parking » pour un utilisateur distrait, même si elle signale un danger pour un utilisateur attentif.
Vous arrivez à un parcmètre et scannez le code QR. La caméra de votre téléphone affiche une URL d'aperçu : 'parking-pay-secure-city.com/pay'. Le parcmètre est dans une grande ville américaine. Que devez-vous faire ?
- Ouvrir le lien immédiatement, il mentionne la ville donc c'est forcément légitime
- Vérifier attentivement l'URL : correspond-elle au domaine officiel de votre ville ?
- Ignorer l'aperçu et continuer car les parcmètres sont toujours sûrs
- Appeler le numéro de service client indiqué sur le parcmètre
Answer: Les domaines à consonance générique comme 'parking-pay-secure-city.com' constituent un signal d'alarme majeur. Le système officiel de stationnement de votre ville aura un domaine spécifique et connu (par exemple paybyphone.com ou le site.gov officiel de votre ville). Vérifiez toujours que l'URL de destination correspond au domaine officiel attendu avant de saisir des informations de paiement, ou utilisez la fente pour carte physique si disponible.
Le contexte mobile supprime également bon nombre des outils de sécurité que les gens ont sur les ordinateurs de bureau. La protection des points de terminaison d'entreprise, les extensions de navigateur qui signalent les sites de phishing, et l'habitude de survoler les liens pour les prévisualiser ne se transposent pas au mobile. Sur un téléphone, l'utilisateur est largement livré à lui-même.
Comment repérer un faux code QR
Inspectez le code physiquement. Cherchez des autocollants placés sur des matériaux imprimés. Les faux autocollants ont souvent un papier légèrement différent, un léger désalignement avec les éléments de design environnants, ou des bords visibles là où l'autocollant chevauche le texte imprimé. Passez votre ongle le long de la surface, un autocollant superposé aura généralement un bord légèrement surélevé et subtil.
Lisez l'URL complète avant d'appuyer. Après que votre caméra scanne un code, une notification ou bannière d'aperçu apparaît. Arrêtez-vous avant d'appuyer et lisez l'URL complète. Cherchez : le nom de l'entreprise attendu dans le domaine (pas un suffixe ou préfixe), un domaine de premier niveau légitime (.com,.gov,.org, pas des extensions inhabituelles comme.xyz ou.top), et l'absence de mots supplémentaires comme « sécurisé », « connexion », « vérifier » ou « paiement » ajoutés à ce qui ressemble à un nom de marque.
Soyez sceptique face à l'urgence. Les codes accompagnés d'un langage comme « Scannez immédiatement », « Offre à durée limitée » ou « Requis pour l'accès » sont conçus pour vous faire agir avant de réfléchir. Les entreprises légitimes n'utilisent généralement pas un langage urgent et sous pression autour des codes QR de paiement.
Recoupez avec les canaux officiels. Avant de scanner un code QR provenant d'un e-mail ou d'un document prétendant être de votre banque, département RH ou transporteur, vérifiez si l'organisation a bien envoyé la communication en la contactant directement via son site officiel ou son application. N'utilisez jamais les coordonnées fournies dans le même message contenant le code QR. Pour évaluer les liens suspects et le contenu de sources inconnues, l'outil d'analyse de Truvizy peut vous aider à évaluer le risque avant de vous engager dans toute action.
Utilisez l'alternative quand elle est disponible. Si le code QR est la seule option de paiement à un parcmètre ou une borne, envisagez d'utiliser la fente physique pour carte, de payer via une application officielle dédiée téléchargée depuis une boutique d'applications vérifiée, ou de trouver une autre méthode. La commodité ne doit jamais l'emporter sur la sécurité lorsque des paiements ou des informations personnelles sont en jeu.

Que faire si vous avez été victime d'une arnaque
Si vous avez scanné un code, ouvert le lien et saisi des informations, agissez vite. Chaque minute de délai donne à l'attaquant plus de temps pour utiliser vos données.
Si vous avez saisi des coordonnées bancaires : Appelez immédiatement la ligne fraude de votre banque (utilisez le numéro au dos de votre carte, pas le numéro du site suspect). Demandez un blocage ou remplacement de la carte. Demandez à la banque de signaler tout débit à partir du moment où vous avez saisi les informations.
Si vous avez saisi des identifiants de connexion : Changez votre mot de passe immédiatement depuis un appareil séparé et de confiance. Activez l'authentification à deux facteurs si elle n'est pas déjà active. Vérifiez la présence d'appareils ou sessions inconnus connectés au compte et supprimez-les. Si vous utilisez le même mot de passe ailleurs, changez-les aussi.
Placez une alerte à la fraude sur votre dossier de crédit auprès de l'un des trois principaux bureaux (Equifax, Experian, TransUnion), cela notifie automatiquement les deux autres. Si vous pensez que votre identité a été compromise, envisagez un gel de crédit, qui est gratuit et empêche l'ouverture de nouveaux comptes en votre nom. Notre guide complet sur la prévention du vol d'identité couvre le processus de récupération complet en détail.
Protégez-vous des arnaques aux codes QR et autres menaces mobiles grâce à la détection de fraude par IA.
Se protéger à l'avenir
L'habitude la plus importante est de faire une pause avant d'appuyer. Toute la conception du quishing repose sur le fait que scanner un QR semble automatique et instantané. Briser cette réponse automatique, même deux secondes pour lire l'URL, perturbe l'attaque. Faites-en une règle : d'abord prévisualiser l'URL, ensuite ouvrir.
Utilisez une application scanner QR dédiée qui effectue des vérifications de sécurité en temps réel sur l'URL décodée avant de vous la présenter. Ces applications, disponibles gratuitement auprès des principaux fournisseurs de sécurité, fonctionnent comme un vérificateur d'URL intégré à votre flux de travail de numérisation. Elles sont l'équivalent mobile du survol d'un lien avant de cliquer.
Maintenez l'OS et le navigateur de votre téléphone à jour. Les correctifs de sécurité ferment fréquemment des vulnérabilités exploitées par les attaques de téléchargement automatique lors de la visite d'un site malveillant. Un téléphone non corrigé est considérablement plus vulnérable à la deuxième étape d'une attaque de quishing, même si vos identifiants restent sûrs.
Activez l'authentification à deux facteurs avec une application d'authentification, pas par SMS. Comme nous l'avons noté dans notre guide sur le smishing et les arnaques par SMS, le 2FA par SMS peut être intercepté. Une application d'authentification génère des codes localement sur votre appareil, rendant les attaques de relais en temps réel considérablement plus difficiles.
Signalez les codes suspects partout où vous les trouvez. Si vous repérez un autocollant qui semble suspect sur un code QR public, photographiez l'emplacement et signalez-le à l'entreprise ou aux autorités locales. Retirer un autocollant malveillant en quelques heures peut protéger des dizaines d'autres victimes potentielles.
Key Takeaways
- Lisez toujours l'URL de destination complète dans l'aperçu de votre caméra avant d'appuyer sur un lien de code QR, surtout aux parcmètres, restaurants et arrêts de transport.
- Les faux autocollants de codes QR peuvent apparaître sur des codes légitimes et sont presque impossibles à détecter sans inspection physique des bords qui se chevauchent.
- Les codes QR dans les e-mails contournent la plupart des filtres anti-phishing d'entreprise, traitez-les avec le même scepticisme que vous appliqueriez à n'importe quel lien e-mail.
- Si vous avez saisi des informations de paiement ou de connexion sur un site suspect, contactez immédiatement votre banque et changez les mots de passe affectés depuis un appareil séparé.
Les codes QR ne vont pas disparaître, et les escrocs qui les exploitent non plus. À mesure que les paiements sans contact, les menus numériques et les services axés sur le mobile s'intègrent davantage dans la vie quotidienne, le quishing deviendra plus sophistiqué et plus répandu. L'antidote, c'est la sensibilisation : savoir que tout code QR physique peut être remplacé, que tout code dans un e-mail peut pointer n'importe où, et que les deux secondes nécessaires pour lire une URL avant d'appuyer pourraient être les deux secondes qui vous éviteront une leçon très coûteuse.
Les plans de protection de Truvizy comprennent des outils pour analyser les URL et liens suspects, collez une URL décodée d'un code QR dans Truvizy avant de l'ouvrir et obtenez une évaluation instantanée par IA de sa légitimité. Dans un paysage de menaces où les escrocs cachent des liens malveillants dans des images, disposer d'un outil qui vérifie la véritable destination n'est plus optionnel, c'est essentiel.
Smishing : pourquoi ce SMS de votre banque est probablement une arnaque — Le phishing par SMS qui partage le même scénario psychologique que le quishing.
Détection des e-mails de phishing — Comment identifier les attaques par e-mail, notamment celles qui utilisent des codes QR pour contourner les filtres.
Attaques par ingénierie sociale — Les techniques de manipulation psychologique derrière le quishing et toutes les arnaques modernes.
FAQ
Qu'est-ce que le quishing ?
Le quishing est le phishing par code QR, une arnaque où les attaquants remplacent ou créent de faux codes QR qui redirigent les victimes vers des sites web malveillants conçus pour voler des identifiants de connexion, des informations de paiement ou installer des logiciels malveillants sur leur appareil.
Comment puis-je savoir si un code QR est faux avant de le scanner ?
Inspectez le code physiquement : cherchez des autocollants placés sur un code original, des dommages au matériel environnant, ou des codes qui semblent légèrement différents de ceux à proximité. Après le scan, vérifiez toujours l'URL de destination complète dans l'aperçu de votre application de caméra avant d'appuyer sur « ouvrir ». Si l'URL ne correspond pas exactement au domaine attendu de l'entreprise, ne continuez pas.
Scanner un code QR peut-il installer un logiciel malveillant sur mon téléphone ?
Scanner simplement un code QR avec votre caméra n'installe pas de logiciel malveillant, mais ouvrir le lien résultant peut le faire. Les sites malveillants peuvent tenter des téléchargements automatiques, du phishing d'identifiants ou vous inciter à installer une fausse application. Gardez votre OS de téléphone à jour, évitez d'autoriser les installations d'applications depuis des sources inconnues, et utilisez un scanner QR avec une vérification intégrée de la sécurité des URL.
Quels emplacements présentent le risque le plus élevé de faux codes QR ?
Les emplacements à haut risque comprennent les parcmètres, les tables et menus de restaurants, les arrêts de transport en commun, les étiquettes de retour de colis, les halls d'hôtels et les flyers affichés en public. Tout espace physique non surveillé où quelqu'un pourrait remplacer un code de nuit sans être détecté est une cible potentielle.
Que dois-je faire si j'ai déjà scanné et saisi des informations sur un site suspect ?
Agissez immédiatement : changez tous les mots de passe que vous avez saisis, contactez votre banque si vous avez fourni des informations de paiement, activez l'authentification à deux facteurs sur les comptes affectés et surveillez votre rapport de crédit. Signalez l'incident à la FTC sur reportfraud.ftc.gov et, s'il s'agissait d'une propriété commerciale, alertez l'entreprise afin qu'elle puisse remplacer le code compromis.