Sécurité des QR codes : reconnaître le phishing, le quishing et les liens frauduleux avant de scanner

Sécurité des QR codes : reconnaître le phishing, le quishing et protéger vos données

Les QR codes sont devenus si ordinaires que nous les scannons souvent par réflexe : au restaurant, sur une affiche, dans une application bancaire, sur un reçu, dans un service de livraison ou au moment de payer. Cette banalité rend la technologie très pratique, mais elle ouvre aussi un terrain idéal aux abus. Un fraudeur n’a pas toujours besoin de pirater votre téléphone s’il peut vous convaincre d’ouvrir vous-même une fausse page, de saisir un mot de passe ou de valider un paiement.

Beaucoup d’utilisateurs voient encore le QR code comme une image neutre : on pointe l’appareil photo, un lien apparaît, puis on ouvre la page. Or sa particularité la plus importante est justement que son contenu réel reste invisible avant le scan. Le même petit carré peut mener vers le menu officiel d’un café, mais aussi vers un clone de site bancaire, un faux formulaire de paiement ou une page conçue pour collecter des données personnelles.

La bonne question n’est donc pas les QR codes sont-ils sûrs de manière générale, mais dans quel contexte ils sont utilisés : qui a créé le code, où il est affiché, si l’adresse peut être vérifiée et si la page vous pousse à agir dans l’urgence sans raison valable.

Dans ce guide, nous verrons étape par étape quels risques peuvent cacher les QR codes, comment fonctionne le quishing, quels signaux permettent de repérer une falsification, comment scanner plus prudemment au quotidien et en entreprise, ainsi que quoi faire après un scan suspect. L’objectif n’est pas de vous détourner des QR codes. Au contraire : lorsqu’on comprend leur logique, ils restent un excellent outil d’accès rapide, de paiement, d’authentification et de communication.

Ce contenu s’adresse autant aux particuliers qui veulent éviter les attaques de phishing qu’aux organisations qui placent des QR codes sur des supports physiques, dans la publicité, sur les emballages, dans les établissements ou dans les emails. Le but est d’adopter une approche consciente et sécurisée d’une technologie qui n’est plus depuis longtemps un simple outil d’appoint.

Infographie sur les QR codes : accès rapide et sans contact, mais aussi risques de phishing, de liens remplacés et de fraude. — Les QR codes combinent confort et risque : ils accélèrent l’accès aux services, mais peuvent aussi dissimuler des liens falsifiés, des pages de phishing ou des scénarios frauduleux.

Où se situent les risques des QR codes

À première vue, un QR code paraît simple et inoffensif : vous scannez une image, vous voyez un lien et vous arrivez sur la page attendue. Le problème est que l’utilisateur fait souvent confiance au contexte autour du code plutôt qu’au lien lui-même. Si le code est imprimé sur un menu, placé sur un automate ou associé au logo d’une marque connue, nous avons tendance à le considérer comme officiel.

Les attaques par QR code exploitent précisément ce réflexe. Le fraudeur n’a pas forcément besoin de compromettre un site ou une application. Il suffit parfois de remplacer physiquement un code, de l’envoyer dans un message ou de créer une page très proche de l’originale. L’utilisateur scanne, reconnaît une interface familière et saisit ses données sans remarquer qu’il n’est pas au bon endroit.

Phishing par QR code : qu’est-ce que le quishing ?

Le phishing, ou hameçonnage, consiste à tromper une personne pour l’amener à transmettre elle-même des informations sensibles : identifiant, mot de passe, code de confirmation, données de carte bancaire ou autre information privée. Lorsqu’un QR code sert de point d’entrée, on parle de quishing, ou QR phishing.

Par exemple, un fraudeur crée un QR code qui mène vers un faux site de banque, de livraison ou de service populaire. Il l’imprime ensuite et le colle par-dessus le vrai code sur une affiche, une table de café, un horodateur, un flyer ou même un reçu. L’utilisateur scanne, arrive sur une page crédible, saisit ses informations et les transmet directement aux escrocs.

Le danger du quishing tient au fait que le QR code retire du champ de vision une partie des vérifications que nous faisons habituellement dans un navigateur. Dans un email ou une messagerie, un lien suspect peut parfois se repérer avant le clic ; avec un QR code, l’adresse reste cachée jusqu’au scan. Il faut donc éviter d’ouvrir trop vite une page, même lorsque le code se trouve dans un environnement familier.

Ce qu’un QR code peut contenir

Un QR code ne contient pas seulement un lien classique vers un site web. Il peut ouvrir une page avec redirection, lancer un formulaire de paiement, préremplir un numéro de téléphone, créer un brouillon de SMS, mener vers un fichier à télécharger ou vers une page qui imite une marque connue. En général, le QR code ne “pirate” pas l’appareil à lui seul, mais il peut pousser l’utilisateur vers une action risquée : saisir un mot de passe, installer une application douteuse, confirmer un paiement ou transmettre des données personnelles.

Dans la plupart des cas, le risque ne vient pas d’une attaque technique sophistiquée, mais de la combinaison d’un lien masqué, de la confiance accordée au lieu et de la précipitation. C’est de l’ingénierie sociale classique : l’escroc ne force pas le système à se tromper, il pousse la personne à prendre la mauvaise décision.

💡 Pour les débutants : un QR code ressemble à un lien dans un email, avec une différence essentielle : avant de scanner, vous ne voyez pas précisément où il mène. Vérifier l’adresse après le scan n’est donc pas une précaution excessive, mais une règle de base d’hygiène numérique.

Remplacement physique d’un QR code dans l’espace public

L’une des tactiques les plus simples et les plus dangereuses consiste à remplacer physiquement un QR code légitime. Il suffit de coller un code frauduleux par-dessus le code officiel sur un menu, une affiche, un panneau, un emballage, une boîte de dons, un reçu ou un terminal de paiement. Pour une personne pressée, la substitution peut passer presque inaperçue.

C’est pourquoi il faut regarder non seulement la page ouverte après le scan, mais aussi le support lui-même. Un autocollant posé de travers, un QR code plus neuf que la surface, un style différent du reste de la mise en page ou un élément imprimé recouvert doivent éveiller le doute. Dans ce cas, mieux vaut chercher le lien officiel à la main ou demander confirmation au personnel lorsqu’il s’agit d’un établissement ou d’un service.

Exemples d’attaques par QR code

Une menace théorique reste abstraite tant qu’on ne voit pas comment elle se manifeste dans la vie réelle. La plupart des attaques par QR code s’inscrivent dans des situations ordinaires : menu de café, paiement de stationnement, message de livraison, affiche d’événement ou demande de don. C’est justement ce caractère quotidien qui baisse la vigilance.

QR code remplacé sur un menu de café ou de restaurant

Dans un établissement, un menu avec QR code est posé sur la table. Un fraudeur colle son propre code par-dessus, vers un site qui ressemble à la page du menu. Au premier regard, tout paraît normal : logo, photos de plats, couleurs familières. Puis la page propose de “réserver une table”, de “confirmer la commande” ou “d’associer une carte pour payer plus vite”. Si l’utilisateur saisit ses données bancaires, elles n’arrivent pas au restaurant, mais aux fraudeurs.

QR code sur une affiche, un poster ou un panneau publicitaire

Autre scénario fréquent : une publicité pour un événement affiche un QR code destiné à l’achat de billets. L’attaquant colle son code par-dessus l’original et l’utilisateur arrive sur un site clone. Le design peut reprendre l’univers de l’événement, et le formulaire de paiement sembler parfaitement crédible. Résultat : la personne paie un “billet”, sans recevoir de confirmation valable ni pouvoir accéder à l’événement.

QR code dans un faux email, SMS ou message

Le quishing est souvent combiné au phishing classique. Par exemple, l’utilisateur reçoit un message : “Votre colis est bloqué. Confirmez la livraison via le QR code”. Le code mène vers une page qui imite un service postal et demande des informations personnelles ou le paiement d’un petit “droit de douane”. Le montant semble insignifiant, mais il peut suffire à exposer les données de la carte.

QR codes pour le “paiement”, le “don” ou l’“aide”

Les QR codes sont souvent utilisés pour les collectes, les pourboires, les dons ou les virements rapides. C’est pratique, mais cela crée aussi un risque de substitution du bénéficiaire... (ancien texte) ...Pour réduire ce risque, les organisations et les bénévoles devraient éviter les simples liens vers des cartes, et créer plutôt des factures officielles via le générateur de QR codes pour virements bancaires selon la norme SEPA. Ces codes contiennent des coordonnées IBAN explicites, que l’application bancaire vérifie avant chaque paiement, ce qui rend la substitution discrète du compte beaucoup plus difficile.

QR code sur un horodateur, un distributeur ou un terminal de paiement

Les lieux où le QR code touche à l’argent ou à l’accès à un compte méritent une attention particulière. Sur un horodateur ou un terminal, des fraudeurs peuvent placer un code qui ne mène pas vers la page officielle de paiement, mais vers un site imitant l’interface d’une banque ou d’un service de paiement. La personne saisit son identifiant, son mot de passe, un code de confirmation ou les données de sa carte, et risque de perdre l’accès à son compte.

💡 Conseil : si un QR code semble suspect, collé de travers, usé, posé sur un autre élément ou au contraire “trop neuf” sur une surface ancienne, ne le scannez pas dans la précipitation. Cherchez plutôt le site officiel vous-même ou demandez confirmation à un représentant du service.

Tous ces exemples ont un point commun : le QR code devient un pont vers une ressource à laquelle l’utilisateur accorde sa confiance avant de l’avoir vérifiée. C’est pourquoi un scan sûr commence moins par un antivirus que par l’attention portée au contexte.

Comment reconnaître un QR code frauduleux ou falsifié

Les QR codes se ressemblent tous : des blocs carrés difficiles à interpréter visuellement. Cela ne veut pas dire que l’utilisateur est sans défense. Le danger se repère le plus souvent non dans le motif lui-même, mais dans le contexte, l’adresse affichée après le scan et le comportement de la page ouverte.

Le QR code est placé dans un lieu peu fiable ou non contrôlé

Un code sur un poteau, dans un ascenseur, sur une clôture, près d’un distributeur ou par-dessus un autre autocollant doit inciter à la prudence. Dans l’espace public, les QR codes sont faciles à remplacer, surtout lorsqu’ils sont imprimés sur des stickers séparés. Si le code conduit à un paiement, à une connexion ou à la saisie de données personnelles, mieux vaut ne pas s’appuyer uniquement sur lui.

Le lien paraît étrange, raccourci ou incohérent avec la marque

Beaucoup d’attaques utilisent des URL raccourcies ou des domaines qui ressemblent à l’original. L’adresse peut contenir des mots en trop, des tirets, une extension inhabituelle ou une petite faute dans le nom de la marque. Si, après le scan, vous voyez quelque chose comme secure-pay-pal.com au lieu de paypal.com, ukrposhta.info au lieu du domaine officiel, ou un lien court sans destination claire, mieux vaut ne pas ouvrir la page.

La présence de https:// est importante, mais ne garantit pas la légitimité du site. Une connexion sécurisée signifie que les données circulent de manière chiffrée entre vous et le site, pas que le site est authentique. Les pages de phishing peuvent aussi posséder un certificat SSL ; le domaine et le contexte doivent donc être vérifiés ensemble.

La page exige une action immédiate

Des formulations comme “confirmez maintenant”, “payez dans les 10 minutes”, “votre compte sera bloqué” ou “le colis ne sera pas livré” sont des leviers typiques d’ingénierie sociale. Le but est de créer une urgence artificielle pour empêcher l’utilisateur de vérifier l’adresse, de chercher le site officiel ou de demander un avis.

Le QR code semble collé par-dessus un autre élément

Si le code se trouve sur un distributeur, un menu, une affiche, un reçu ou un support publicitaire, observez son état physique. Des bords irréguliers, des bulles, une couleur différente, un autre type de papier ou un placement inhabituel peuvent indiquer qu’il a été ajouté après coup. La prudence doit être maximale lorsque le scan doit mener à un paiement.

Le site paraît presque authentique, mais demande trop d’informations

Les pages de phishing recopient souvent les logos, couleurs, boutons et structures des services connus. Mais elles peuvent demander immédiatement un mot de passe, un code CVV, un code SMS à usage unique, des données de passeport ou d’autres informations qu’il ne faut saisir qu’en cas de certitude sur la source. Si la page s’ouvre depuis un QR code trouvé au hasard et réclame d’emblée des données sensibles, c’est un signal fort pour s’arrêter.

💡 Conseil : évitez de scanner sous pression : dans une file d’attente, en marchant, dans une foule ou après un message émotionnel sur un “paiement urgent”. Dix secondes de vérification peuvent vous éviter des heures de récupération de comptes.

Comment utiliser les QR codes en sécurité

Les QR codes ne sont pas dangereux par nature. Le risque apparaît lorsque nous les scannons sans vérification, sans regarder l’adresse, en ignorant le contexte ou en saisissant des données sur une page que nous n’avons pas eu le temps d’évaluer. La bonne nouvelle, c’est que la plupart des scénarios dangereux peuvent être stoppés par de simples habitudes.

Le principe de base d’un scan sûr est très simple : évaluez d’abord l’origine du QR code, vérifiez ensuite le lien, puis seulement passez à l’action. Cette méthode fonctionne aussi bien pour les menus, les paiements, l’authentification, le téléchargement d’applications que les supports publicitaires.

📱 Pour les utilisateurs

Vérifiez le lien avant d’ouvrir la page

La plupart des smartphones récents sous iOS et Android affichent l’URL avant l’ouverture. Ne validez pas automatiquement. Si l’appareil photo de votre téléphone n’affiche pas l’adresse complète ou ouvre directement le site, utilisez un scanner de QR code sécurisé dans le navigateur afin d’examiner le domaine final et de vous protéger contre les redirections masquées.

Ne scannez pas les codes provenant de sources aléatoires

Un QR code dans le métro, sur un mur, dans un ascenseur ou sur un autocollant isolé ne doit pas être considéré comme une information officielle. Même si un logo connu est visible à côté, cela ne prouve pas l’authenticité du code. Les fraudeurs placent justement leurs codes là où les gens scannent sans réfléchir : transports, cafés, centres commerciaux, abords de distributeurs ou annonces de rue.

Ne saisissez pas de données personnelles sur des pages douteuses

Si, juste après le scan, on vous demande un email, un mot de passe, un CVV, un code SMS à usage unique ou les données d’un document, arrêtez-vous. Les services fiables permettent généralement de vérifier leur adresse, de passer par l’application officielle ou de retrouver l’action dans l’espace client. Une page ouverte depuis un QR code trouvé au hasard ne devrait pas être le premier endroit où vous saisissez des informations sensibles.

Utilisez les applications officielles dès que possible

Pour les opérations bancaires, les paiements, les services publics, la livraison ou l’authentification, mieux vaut passer par les applications officielles. L’appareil photo du smartphone est pratique pour scanner vite, mais une application spécialisée contrôle mieux le scénario : elle peut par exemple ouvrir le paiement seulement dans l’environnement bancaire ou signaler un lien suspect.

Soyez prudent avec les téléchargements après scan

Si un QR code mène vers un fichier, une application APK, une archive ou une page qui vous demande de “mettre à jour l’application”, méfiez-vous. Téléchargez les programmes uniquement depuis les boutiques officielles ou depuis le site du développeur dont vous avez vérifié l’adresse manuellement. Un QR code ne doit jamais être la seule preuve qu’un fichier est sûr.

💡 Conseil : en cas de doute, ne scannez pas “à la volée”. Faites une pause, vérifiez l’adresse ou revenez au code plus tard, lorsque vous pourrez l’évaluer sans pression.

🏢 Pour les entreprises et organisations

QR code de marque dans un restaurant avec une explication claire de son usage, pour aider l’utilisateur à vérifier la confiance avant le scan. — Un QR code de marque accompagné d’un libellé clair réduit l’incertitude : l’utilisateur comprend son usage et repère plus facilement une éventuelle substitution.

Contrôlez l’emplacement physique des QR codes

Les QR codes accessibles au public — sur les tables, vitrines, supports POS, caisses, horodateurs ou présentoirs publicitaires — doivent être vérifiés régulièrement. Si un autre autocollant peut être posé facilement par-dessus, le risque de substitution augmente. Mieux vaut intégrer le QR code au design, l’imprimer directement sur le support, le protéger par un film transparent ou le placer de manière à rendre toute intervention visible.

Utilisez des libellés clairs et une présentation de marque

L’utilisateur doit comprendre ce qui se passera après le scan. Des indications comme “Scannez pour consulter le menu”, “Paiement via le service officiel” ou “Accédez au guide de configuration” réduisent l’incertitude. Le logo, les couleurs de marque et une cohérence visuelle ne rendent pas le code invulnérable, mais aident l’utilisateur à remarquer une falsification qui ne colle pas au contexte.

Ajoutez un chemin alternatif à côté du QR code

Si l’utilisateur ne veut pas scanner ou doute de l’authenticité du code, il doit disposer d’un autre moyen d’accéder à l’action attendue. Un lien court et lisible à côté du QR code, par exemple example.com/pay ou example.com/menu, améliore la transparence. La personne peut saisir l’adresse manuellement et vérifier qu’elle arrive bien sur votre domaine.

Testez régulièrement les codes après impression ou changement du site

Même si le QR code est statique, il doit être vérifié après l’impression, la refonte des supports, un changement de domaine, une mise à jour de page ou une migration vers un nouveau CMS. Testez-le sur plusieurs appareils, dans différentes conditions de lumière, avec une connexion faible et avec plusieurs caméras. Si la page concerne un paiement ou une connexion, la vérification doit être encore plus rigoureuse.

Surveillez les anomalies si vous utilisez des QR codes dynamiques

Les QR codes dynamiques sont très utiles pour un usage commercial : ils permettent de modifier la destination sans réimprimer les supports et d’analyser les scans. Avec un générateur de QR codes pour site web professionnel, vous pouvez protéger votre marque, activer une authentification à deux niveaux pour l’accès au tableau de bord et réagir rapidement si un lien est compromis.

📌 À retenir pour les entreprises : un QR code fait partie du parcours utilisateur, ce n’est pas une simple étiquette technique. Sa sécurité dépend du design, de son emplacement physique, d’une explication transparente et d’un contrôle régulier.

Que faire si vous avez scanné un QR code de phishing

Si vous avez scanné un QR code suspect, l’essentiel est de ne pas paniquer, mais de ne pas ignorer la situation. Le niveau de risque dépend de ce qui s’est passé après le scan : vous avez seulement ouvert une page, saisi un mot de passe, transmis des données de carte, téléchargé un fichier ou confirmé une action dans une application. Plus vite vous identifiez le scénario, plus il est simple de limiter les conséquences.

Si vous avez seulement ouvert une page suspecte

Si une page étrange s’est ouverte après le scan, mais que vous n’avez rien saisi, rien téléchargé et n’avez cliqué sur aucun bouton, le risque est généralement plus faible. Fermez l’onglet, n’ouvrez pas les liens internes, refusez les notifications et n’autorisez aucun téléchargement. Vous pouvez ensuite vider l’historique et le cache du navigateur, surtout si la page continue de s’ouvrir ou d’afficher des messages intrusifs.

Si vous avez saisi un identifiant ou un mot de passe

Si vous avez entré un mot de passe sur une page potentiellement frauduleuse, changez-le immédiatement. Commencez par le service dont les données ont pu être compromises, puis vérifiez les autres comptes où le même mot de passe, ou un mot de passe proche, a pu être utilisé. Accordez une attention particulière à votre email principal, aux espaces bancaires, aux réseaux sociaux et aux services qui permettent de récupérer l’accès à d’autres comptes.

Après le changement de mot de passe, activez l’authentification à deux facteurs si ce n’est pas déjà fait. Vérifiez aussi les sessions actives dans les paramètres du compte et fermez celles qui vous semblent inconnues. De nombreux services permettent de consulter l’historique de connexion, les appareils utilisés et les derniers lieux d’accès.

Si vous avez saisi les données d’une carte bancaire

Si vous avez entré un numéro de carte, une date d’expiration, un CVV ou un code de confirmation à usage unique sur une page suspecte, agissez vite. Bloquez la carte ou désactivez temporairement les opérations en ligne depuis l’application bancaire. Contactez ensuite le support de votre banque et expliquez que des données ont peut-être été saisies sur un site de phishing.

Même si aucun débit n’est encore visible, les données peuvent être utilisées plus tard. Il vaut mieux prévenir la banque immédiatement que d’attendre une transaction suspecte. Dans certains cas, l’établissement financier peut bloquer une opération, réémettre la carte ou recommander des mesures supplémentaires pour protéger le compte.

Si vous avez téléchargé un fichier ou installé une application

Si quelque chose s’est téléchargé automatiquement après le scan, ou si vous avez installé une application hors boutique officielle, vérifiez l’appareil. Sur Android, consultez les derniers téléchargements, la liste des applications installées, leurs autorisations et supprimez tout élément inconnu. Sur iOS, le risque est plus faible, mais il reste utile de vérifier les profils, les réglages Safari, l’historique du navigateur et les autorisations accordées aux sites.

Si l’appareil ralentit, affiche de nouvelles icônes, des publicités, des redirections dans le navigateur ou des notifications inhabituelles, utilisez un antivirus fiable ou les outils de sécurité intégrés. Dans les cas complexes, mieux vaut consulter un spécialiste, surtout si l’appareil contient des applications bancaires ou des données professionnelles.

Prévenez l’entreprise dont l’identité a été usurpée

Si le faux site imite une banque, un service de livraison, une marketplace, un service public ou une autre organisation, signalez-le au canal officiel d’assistance. Ces signalements aident à bloquer plus vite le domaine, à prévenir d’autres utilisateurs et à limiter la propagation de l’attaque. Les entreprises disposent généralement d’un email ou d’un formulaire dédié aux signalements de phishing et de fraude.

Signalez la page de phishing via le navigateur ou la plateforme

Les navigateurs et les grandes plateformes en ligne disposent de mécanismes de signalement des sites dangereux. Si vous découvrez un site clone ou une page qui collecte des données, un signalement via “Report unsafe site” ou une fonction équivalente peut aider à la bloquer pour d’autres utilisateurs. Cela ne remplace pas le contact avec la banque ou le service concerné, mais complète la protection.

❗ Principe clé : n’ignorez pas l’incident sous prétexte que “rien ne s’est passé tout de suite”. Des données de phishing peuvent être exploitées plus tard ; mieux vaut agir dans les premières minutes : fermer la page, changer les mots de passe, bloquer la carte ou prévenir le service.

Conclusion : l’usage conscient est la base de la sécurité des QR codes

Les QR codes ne sont pas seulement un moyen pratique d’ouvrir rapidement une page. Ils font partie de nos habitudes numériques : nous les utilisons pour lire des menus, payer des factures, confirmer des actions, ouvrir des notices, nous connecter à des services et interagir avec des marques. Mais leur utilité a aussi créé un nouveau vecteur d’attaque, fondé moins sur la complexité technique que sur l’inattention, la confiance accordée à un environnement familier et la précipitation.

La question “les QR codes sont-ils sûrs” n’a pas de réponse universelle. Ils peuvent l’être lorsqu’ils proviennent d’une source fiable, sont placés dans un environnement contrôlé, mènent vers un domaine vérifié et ne poussent pas l’utilisateur à saisir des données dans l’urgence. Mais le même format peut devenir un outil de phishing si le code est remplacé, si l’adresse réelle est masquée ou si la page imite un service connu.

La meilleure protection n’est pas de renoncer aux QR codes, mais de prendre l’habitude de vérifier. Un réflexe simple — pause, vérification de l’adresse, puis action — permet d’éviter la majorité des risques. Avant de saisir un mot de passe, des données de carte ou de confirmer un paiement, assurez-vous d’être vraiment sur le bon site.

Pour les entreprises, les QR codes restent un outil de communication efficace s’ils sont déployés avec transparence : explication claire, design reconnaissable, lien alternatif, tests réguliers et contrôle de l’emplacement physique. La confiance de l’utilisateur ne commence pas avec le code lui-même, mais avec la clarté et la sécurité de tout le parcours après le scan.

Gardez ce guide comme mémo avant de placer des QR codes dans votre activité ou d’en scanner dans des lieux publics. Et si vous avez déjà rencontré un code suspect, revenez à la section que faire après un scan QR de phishing et suivez les étapes.

🔐 Un QR code n’est qu’un pont. L’essentiel est de comprendre où il mène, qui l’a placé et si vous devez vraiment continuer.