Phishing par QR code (Quishing) — Comment reperer les faux QR codes et se proteger
Scanner un QR code peut voler vos donnees personnelles en quelques secondes. Decouvrez ce qu'est le quishing, comment identifier les faux QR codes et comment vous proteger contre ces arnaques.
Phishing par QR code (Quishing) — L'arnaque qui se cache sous vos yeux
Vous scannez un QR code au restaurant pour consulter le menu. Vous en scannez un au parcmetre pour payer. Vous scannez le code d'une notification de livraison pour suivre votre colis. Tout semble anodin. Mais et si ce QR code etait un piege ?
Les attaques de phishing par QR code ont bondi de 270% par mois entre 2025 et 2026, et 12% de toutes les attaques de phishing contiennent desormais des QR codes. Au Royaume-Uni, 784 cas de quishing ont ete signales avec des pertes de 3,5 millions de livres. Il est temps de traiter les QR codes avec la meme prudence qu'un lien suspect.
Qu'est-ce que le Quishing ?
Quishing = QR + Phishing
Le phishing classique vous envoie un faux lien par WhatsApp ou e-mail. Le quishing utilise un faux QR code pour vous rediriger vers un site malveillant. La difference cle : impossible de lire un QR code a l'oeil nu, ce qui le rend encore plus dangereux qu'un lien textuel.
Arnaques reelles au QR code en France
1. Faux QR codes sur les horodateurs
L'escroc colle un autocollant par-dessus le QR code legitime
→ Vous scannez et atterrissez sur une fausse page de paiement
→ Donnees bancaires saisies → volees instantanement
Dans les villes francaises, de faux autocollants QR ont ete decouverts sur des horodateurs, des bornes Velib' et des bornes de recharge electrique.
2. Faux menus de restaurant
Les escrocs placent un faux QR code par-dessus le vrai code du restaurant. Au lieu du menu, vous etes dirige vers une page demandant des informations personnelles ou bancaires, surtout dans les etablissements qui necessitent une precommande.
3. QR codes dans des e-mails de phishing
« Votre compte necessite une verification de securite — scannez le QR code »
→ Fausse page de connexion
→ Identifiants professionnels voles
L'IA et les outils LLM sont desormais utilises pour creer des e-mails de phishing plus convaincants avec des QR codes integres. Ils contournent les filtres classiques car l'URL malveillante est cachee dans l'image.
4. Fausses notifications de livraison avec QR
« Livraison reportee — scannez ce QR code pour reprogrammer »
→ Faux site de La Poste ou Chronopost
→ Nom, adresse et coordonnees bancaires recuperes
Les messages WhatsApp et les e-mails se faisant passer pour La Poste, Chronopost ou Colissimo avec des QR codes sont devenus l'une des arnaques a la croissance la plus rapide.
5 signes d'un faux QR code
| # | Signal d'alerte | Ce qu'il faut verifier |
|---|---|---|
| 1 | Autocollant colle par-dessus l'original | Touchez la surface — si un autocollant est superpose, c'est probablement un faux |
| 2 | L'URL ne correspond pas au domaine attendu | L'URL scannee doit correspondre a l'entreprise (ex : parking-ville.fr, pas p4rking-paiement.net) |
| 3 | Demande immediatement des infos personnelles ou un paiement | Les QR codes legitimes demandent rarement des coordonnees bancaires immediatement |
| 4 | Pas de HTTPS | Si l'URL commence par http:// au lieu de https://, la connexion n'est pas securisee |
| 5 | Redirection via des URL raccourcies | Des redirections multiples masquant la destination finale sont un signal d'alarme |
Comment scanner les QR codes en toute securite
Etape 1 : Utilisez l'appareil photo integre de votre telephone
L'appareil photo de votre iPhone ou Android affiche un apercu de l'URL avant d'ouvrir le lien. N'utilisez pas d'applications tierces qui ouvrent les liens automatiquement.
Etape 2 : Verifiez l'URL avant de l'ouvrir
Lisez l'URL attentivement. Ca devrait etre laposte.fr ? Si vous voyez la-p0ste-livraison.com, ne l'ouvrez pas.
Etape 3 : Ne saisissez jamais de donnees bancaires sur une page ouverte via QR
Si un QR code mene a une page de paiement, fermez-la. Rendez-vous directement sur l'application officielle ou le site web pour effectuer votre paiement.
Etape 4 : Utilisez un scanner QR avec verification d'URL
Les scanners QR axes sur la securite peuvent signaler les URL malveillantes connues avant que vous ne les ouvriez.
Etape 5 : Inspectez physiquement le QR code
Dans les lieux publics, verifiez si le QR code est un autocollant colle par-dessus un autre. S'il est souleve, decolle ou mal aligne, ne le scannez pas.
QR codes surs vs QR codes dangereux
Utilisations legitimes
- Partage WiFi : Cafes et hotels fournissant les identifiants WiFi par QR
- Menus officiels : QR codes integres au systeme de commande du restaurant
- Paiements fiables : QR codes generes dans les applications bancaires officielles
- Partage de liens LOCK.PUB : QR codes protege par mot de passe avec le domaine de confiance
lock.pub
Signaux de danger
- QR codes dans des e-mails non sollicites
- Autocollants dans les lieux publics de source inconnue
- QR codes sur des prospectus, affiches ou cartes de visite douteux
- QR codes recus par WhatsApp d'expediteurs inconnus
Que faire si vous avez scanne un QR code suspect
Pas de panique. Suivez immediatement ces etapes :
- Fermez le navigateur — si vous n'avez saisi aucune information, vous etes probablement en securite
- Si vous avez saisi vos identifiants, changez votre mot de passe immediatement
- Si vous avez saisi des coordonnees bancaires, contactez votre banque pour bloquer la carte
- Verifiez si des applications inconnues ont ete installees et supprimez-les
- Signalez sur la plateforme Pharos ou aupres de votre gendarmerie/commissariat
Comment LOCK.PUB utilise les QR codes en toute securite
LOCK.PUB vous permet de partager des liens via QR codes, avec des fonctionnalites de securite integrees :
- Protection par mot de passe : meme apres avoir scanne le QR code, un mot de passe est necessaire pour acceder au contenu
- Domaine de confiance : redirige toujours vers
lock.pub— facile a verifier - Expiration : les liens se desactivent automatiquement apres la periode definie
- Suivi des acces : voyez exactement qui a ouvert votre lien et quand
Le probleme ne vient pas des QR codes eux-memes, mais des QR codes de sources inconnues. Ne scannez que des codes de sources fiables et verifiez toujours l'URL avant de cliquer.
Conclusion
Les QR codes sont partout car ils sont pratiques. Mais cette praticite est precisement ce que les escrocs exploitent. Un seul scan peut livrer vos coordonnees bancaires, vos identifiants ou l'acces a votre reseau professionnel.
Avant de scanner un QR code, prenez 3 secondes pour le verifier. Ces 3 secondes peuvent proteger votre identite, votre argent et votre tranquillite d'esprit.
Mots-clés
À lire aussi
Comment securiser vos QR codes avec un mot de passe pour le hors-ligne
Les QR codes n'ont aucune securite integree. Decouvrez comment combiner QR codes et liens proteges par mot de passe pour controler l'acces a vos contenus hors-ligne.
Chiffrer un lien : Comment chiffrer n'importe quelle URL gratuitement
Apprenez à chiffrer n'importe quel lien gratuitement. Créez des URLs chiffrées avec protection par mot de passe, date d'expiration et accès unique. Guide complet du chiffrement de liens.
Comment partager un dossier médical et des informations de santé en toute sécurité
Découvrez 5 méthodes sûres pour envoyer résultats d'analyses, ordonnances, documents d'assurance et autres informations médicales sensibles à vos proches, médecins et aidants.
Créez votre lien protégé par mot de passe maintenant
Créez gratuitement des liens protégés, des notes secrètes et des chats chiffrés.
Commencer Gratuitement