Le phishing via QR codes : comment reconnaître un code frauduleux et se protéger lors du scan

Les QR codes sont-ils sûrs ? Comment éviter la fraude et le phishing

Les QR codes sont devenus un outil courant dans les interactions quotidiennes — des menus de restaurant à l'authentification dans les applications bancaires. Cependant, l’augmentation de leur popularité a entraîné une autre tendance : les cybercriminels utilisent de plus en plus les QR codes comme canal pour le phishing, le vol de données et la fraude financière.

La plupart des utilisateurs considèrent le QR code comme une technologie « neutre », sans se douter qu’un simple scan peut mener vers un site frauduleux ou le téléchargement d’un logiciel malveillant. D’où la question : les QR codes sont-ils vraiment sûrs ? Et que peut-on faire pour éviter les risques ?

Dans cet article, nous allons examiner en détail :

  • les menaces potentielles des QR codes ;
  • les scénarios typiques de fraude ;
  • les signes d’un danger potentiel ;
  • comment vérifier un QR code avant de le scanner ;
  • et que faire si vous êtes victime d’une attaque.

Cet article s’adresse autant aux utilisateurs ordinaires qu’aux entreprises qui utilisent régulièrement des QR codes dans leurs processus. L’objectif n’est pas de créer la panique, mais d’encourager une approche consciente et sécurisée de cette technologie, qui est loin d’être un simple « outil d’appoint ».

QR codes : infographie montrant avantages et risques — accès rapide contre phishing et fraude via des QR codes falsifiés.
QR codes : praticité contre risques. D’un côté — accès rapide et sans contact, de l’autre — possibilité de phishing et de manipulation de données.

Où réside le danger des QR codes

En apparence, un QR code semble être un outil pratique et neutre : il suffit de scanner l’image pour accéder à la page souhaitée. Mais la principale vulnérabilité, c’est que le contenu d’un QR code reste invisible pour l’utilisateur jusqu’au moment du scan. Cela offre un espace de manipulation — surtout lorsque l’action de scanner devient automatique.

Phishing via QR : comment ça fonctionne

Le phishing, ou hameçonnage, est une forme d’arnaque où l’on incite la victime à transmettre elle-même ses données : identifiant, mot de passe, coordonnées bancaires, etc. Avec les QR codes, cela prend la forme du quishing (QR phishing).

Exemple : un escroc imprime un QR code menant à un faux site bancaire ou à une fausse page d’un service populaire. Il le colle par-dessus un vrai QR code — sur un distributeur, une affiche, un mur de café, voire sur un reçu. L’utilisateur scanne sans suspicion, saisit ses données — et les transmet ainsi directement aux fraudeurs.

Que peut faire un QR code ?

Un QR code peut contenir n’importe quel lien, y compris des liens qui :

  • mènent à des sites malveillants ou frauduleux collectant des données personnelles ;
  • déclenchent le téléchargement automatique d’un fichier (par exemple, une application infectée) ;
  • utilisent une redirection pour masquer l’URL réelle ;
  • trompent l’utilisateur avec de faux logos ou une imitation de marques populaires.

Ces actions ne « piratent » pas directement l’appareil, mais elles déclenchent des scénarios dangereux, misant sur l’inattention ou la confiance de l’utilisateur. C’est la base de l’ingénierie sociale.

💡 À savoir pour les débutants : comme pour les emails suspects, vous pouvez vous retrouver sur une fausse page via un QR code. Mais contrairement à un email, un QR code parait toujours identique — quel que soit le site auquel il renvoie.

Important : remplacement physique d’un QR code authentique

L’une des tactiques les plus dangereuses est le remplacement d’un QR code dans un lieu public. Les fraudeurs collent simplement leur propre code malveillant sur le vrai. Cela peut se produire sur :

  • les menus de restaurants ou de cafés ;
  • les annonces, affiches, panneaux publicitaires ;
  • les supports imprimés : brochures, emballages de produits ;
  • même sur les boîtes à dons ou les reçus.

Pour l’utilisateur ordinaire, la différence entre un code « original » et « remplacé » est imperceptible. D’où l’importance d’apprendre à déterminer — où et comment on peut accorder sa confiance à un QR code, et quand il vaut mieux éviter de le scanner.

Exemples d’attaques via QR codes

La menace théorique, c’est une chose. Mais pour vraiment éveiller la vigilance, il est important de voir à quoi ressemblent concrètement les attaques de phishing ou de fraude via QR codes dans la vie réelle.

1. Remplacement d’un QR code sur une surface publique

Dans un café, un menu avec QR code est posé sur la table. Un fraudeur arrive plus tôt et colle son propre code par-dessus, menant vers un faux site au design similaire, mais avec un champ pour saisir une carte bancaire pour “réserver une table”. Les données sont renseignées — et envoyées directement aux fraudeurs.

2. QR code sur une affiche ou un panneau publicitaire

Au centre-ville, une bannière fait la promotion d’un événement avec un QR code pour acheter des billets. Un escroc appose dessus son propre code, qui mène à un site-clone collectant des données de cartes bancaires. L’utilisateur paie son “billet”… mais n’accède jamais à l’événement.

3. QR code dans un faux email ou SMS

La victime reçoit un SMS : “Votre colis est en attente. Merci de confirmer la livraison via ce lien”, accompagné d’un QR code. Celui-ci pointe vers un site demandant des informations personnelles ou le paiement d’une “taxe”. Tout semble crédible à première vue.

4. QR codes pour “paiement” ou “don”

Des boîtes affichant des appels aux dons, avec un QR code, apparaissent dans la rue. Mais le code renvoie au compte personnel du fraudeur, sans aucun lien avec la cause annoncée.

5. QR code sur un horodateur ou terminal de paiement

Des fraudeurs collent leur propre QR code sur un terminal de paiement, qui mène non pas à la vraie page de paiement, mais à un site imitant une interface bancaire. La personne saisit son identifiant et mot de passe — et perd l’accès à son compte.

💡 Conseil : Si un QR code vous paraît suspect — mal collé, endommagé, ou trop neuf par rapport au support — il vaut mieux s’abstenir de le scanner.

Tous ces exemples ont un point commun : le QR code agit comme un pont vers une ressource à laquelle vous n’avez pas encore décidé de confier vos données, mais c’est pourtant déjà fait.

Comment reconnaître un QR code frauduleux ou falsifié

Même si tous les QR codes se ressemblent — des blocs carrés en pixel — leur contenu peut être radicalement différent. Le danger ne se voit pas à l’œil nu, mais il existe plusieurs signes qui doivent alerter.

1. QR code placé dans un environnement peu fiable

Si vous voyez un QR code sur un poteau, dans un ascenseur ou collé par-dessus un autre — voilà déjà une raison d’être prudent. Les codes dans les lieux publics sont faciles à remplacer — ne leur faites pas confiance sans vérification.

2. Le code mène vers un site avec une URL étrange ou raccourcie

Beaucoup d’attaques utilisent des raccourcisseurs d’URL (bit.ly, t.ly, qr.link) pour masquer le vrai site. Si votre navigateur ou appareil photo n’affiche qu’une adresse raccourcie — ne l’ouvrez pas immédiatement, mais utilisez des services de prévisualisation externes.

3. Le QR code exige une action immédiate

“Confirmez maintenant”, “Payez immédiatement”, “Votre colis n’a pas été livré” — sont des signes classiques d’ingénierie sociale. Les fraudeurs jouent sur l’urgence, pour que vous n’ayez pas le temps de vérifier l’authenticité de la ressource.

4. Le code semble fraîchement collé ou plus neuf que son support

Si un QR code est collé sur un distributeur, une affiche ou un menu — regardez si son aspect n’est pas plus neuf que la surface. Souvent, les fraudeurs collent simplement leur code par-dessus le vrai. Bords irréguliers, bulles ou style différent — voilà des raisons de se méfier.

5. Le QR code ouvre un site qui paraît “presque authentique”

Si, après scan, vous arrivez sur un site ressemblant à celui d’une banque, d’un service de livraison ou d’un site connu — vérifiez bien :

  • si le nom de domaine est correct (exemple : ukrposhta.info au lieu de ukrposhta.ua) ;
  • si la connexion est bien sécurisée (l’adresse commence par https://) ;
  • et qu’on ne vous demande pas immédiatement d’entrer un mot de passe ou des données bancaires sans vérifier l’authenticité du site.
💡 Conseil : Ne scannez pas de QR code sous pression (file d’attente, précipitation, foule). Mieux vaut prendre 10 secondes pour vérifier, que passer ensuite du temps à récupérer l’accès à vos comptes.

Comment utiliser les QR codes en toute sécurité

Les QR codes en eux-mêmes ne sont pas dangereux — le risque apparaît lorsque nous interagissons avec eux sans vérifier. Si vous apprenez à évaluer le contexte, d'où vient le code et où il mène, le risque de fraude diminue considérablement.

📱 Pour les utilisateurs ordinaires

1. Vérifiez toujours le lien avant de l’ouvrir

La plupart des smartphones (iOS et Android) affichent l’URL à laquelle mène le QR code avant de l’ouvrir. Si l’adresse semble inconnue, contient des caractères étranges ou ne correspond pas à la marque (par exemple, secure-pay-pal.com au lieu de paypal.com) — ne l’ouvrez pas.

2. Ne scannez pas de codes provenant de sources aléatoires

Si un QR code est placé dans le métro, sur un mur ou une clôture — il ne s’agit pas toujours d’une information officielle. Les fraudeurs placent sciemment leurs codes dans des endroits où les gens les scannent sans réfléchir : dans les ascenseurs, les cafés, les transports.

3. Évitez de saisir des données personnelles sur des pages douteuses

Si après le scan on vous demande immédiatement votre email, mot de passe ou données de carte bancaire — arrêtez-vous. Les services fiables ne demandent pas d’informations sensibles sans confirmation explicite de votre part.

4. Utilisez des applications de confiance

Par exemple, scannez les codes bancaires via l’application officielle de la banque. L’appareil photo du smartphone est pratique mais pas toujours sécurisé. Certaines applications peuvent alerter sur le phishing ou vérifier la réputation de l’URL.

💡 Conseil : en cas de doute, il vaut mieux prendre une photo du code et le vérifier plus tard avec une application sécurisée, plutôt que de le scanner “à la volée”.

🏢 Pour les entreprises et les organisations

QR code de marque sur une table de restaurant avec explication de l’utilisation.
Exemple d’un QR code de marque accompagné d’une légende pour les utilisateurs : un élément pour renforcer la confiance et réduire les risques de substitution.

1. Contrôlez l’emplacement physique des QR codes

Les QR codes placés en accès libre (sur les tables, vitrines, supports POS) peuvent être remplacés. Il est important de les fixer de façon à empêcher le collage par-dessus (film de protection, gravure, intégration au design).

2. Mettez en œuvre des QR codes dynamiques avec analytique

Un code dynamique permet de :

  • suivre le nombre de scans ;
  • analyser la géolocalisation et les appareils des utilisateurs ;
  • changer le lien cible si l’ancien a été compromis ;
  • détecter des pics anormaux de scans — signe d’une possible attaque.

3. Ajoutez un logo et une explication sous le code

Un simple texte comme “Scannez pour voir le menu” ou “Paiement via LiqPay” inspire confiance et réduit le risque de remplacement. Un logo de la marque dans le code lui-même (avec un design contrasté) le rend unique et plus difficile à falsifier.

4. Offrez une alternative : un lien abrégé

Si l’utilisateur doute — il doit avoir un autre moyen d’accès. Ajoutez à côté example.com/pay — cela améliore la transparence et la fidélité à la marque.

5. Testez régulièrement vos QR codes

Même les codes statiques doivent être vérifiés après impression, surtout si vous avez modifié le design ou le contenu du site. Testez-les sur différents appareils (Android, iOS), avec une connexion faible, dans un environnement sombre.

📌 Conclusion : Les QR codes sont un puissant outil de communication, mais comme tout canal d’interaction, ils doivent être utilisés judicieusement. La sécurité, ce n’est pas la complexité, mais l’attention aux détails.

Que faire si vous avez scanné un QR code de phishing

La réaction dans les premières minutes après l’incident est la plus importante. Même si vous n’êtes pas sûr que le code était dangereux, il vaut mieux vérifier et prendre des mesures de base. La plupart des attaques de phishing réussissent parce que les utilisateurs sous-estiment la situation ou agissent trop tard.

1. Fermez l’onglet et effacez l’historique du navigateur

Si, après avoir scanné, vous êtes simplement arrivé sur une page suspecte, mais sans interagir avec — le risque est minime. Cependant, il est conseillé de fermer la page immédiatement, sans cliquer sur des liens ou boutons. Videz le cache du navigateur pour éviter toute réouverture ou scripts enregistrés automatiquement.

2. Si vous avez saisi un mot de passe — changez-le immédiatement

En cas de saisie d’un mot de passe sur un faux site, les escrocs peuvent l’utiliser pour :

  • accéder à votre email ou espace bancaire ;
  • vérifier si ce mot de passe est utilisé sur d’autres services (l’utilisation de mots de passe identiques est une erreur courante) ;
  • prendre le contrôle de votre compte avant même que vous n’en ayez conscience.

Changez vos mots de passe sur tous les services associés, en commençant par l’email principal et les comptes financiers. N’attendez pas : les bots de phishing agissent souvent automatiquement.

3. Si vous avez saisi les données de la carte bancaire — bloquez-la

Même si aucun débit n’a encore eu lieu, les fraudeurs peuvent conserver les données et les utiliser plus tard. La solution la plus sûre est de bloquer la carte ou suspendre les opérations internet via l’application bancaire.

Ensuite, contactez le service client. Dans certains cas, la banque peut bloquer la transaction si elle n’a pas encore été confirmée.

4. Informez l’entreprise usurpée par le site

Si le site frauduleux imite une marque connue (banque, service postal, boutique en ligne), ce n’est pas seulement votre problème. Plus vite l’entreprise est informée du doublon phishing, plus vite il sera bloqué au niveau du domaine ou de l’hébergement.

Presque tous les services disposent d’un formulaire ou d’un email pour ce type d’incidents : “report phishing” ou “sécurité”.

5. Analysez votre appareil pour détecter des logiciels malveillants

Si, après l’ouverture du site, quelque chose a été téléchargé ou que votre appareil fonctionne différemment (ralentissements, nouvelles icônes, publicités), analysez le système avec un antivirus.

  • Pour Android — vérifiez la liste des derniers téléchargements, ouvrez la rubrique “Applications”, recherchez les éléments inconnus.
  • Pour iOS — le risque est moindre, mais il est utile de vérifier Safari, l’historique et de désactiver le remplissage automatique.

6. Signalez l’escroquerie sur la plateforme ou via le navigateur

Si vous détectez une activité de phishing ou un site-clone, vous pouvez le signaler via le formulaire correspondant de votre navigateur (par exemple “Signaler un site dangereux” sous Chrome ou Firefox), ou sur la plateforme usurpée (service client de la banque ou de la marketplace).

Cela aidera à bloquer le site à l’échelle mondiale et à réduire le risque pour les autres utilisateurs.

Principe clé : n’ignorez pas l’incident, même si vous pensez que “rien ne s’est passé”. Les données ont pu être interceptées et seront peut-être utilisées plus tard. Mieux vaut agir tout de suite.

Conclusion : une utilisation responsable est la clé de la sécurité

Les QR codes ne sont pas juste un outil de commodité. Ils sont devenus partie intégrante du comportement numérique des utilisateurs modernes, canal de communication, de paiement, d’authentification, de marketing. Mais ils ont aussi ouvert un nouveau vecteur d’attaques, qui repose non pas sur la complexité technologique, mais sur la psychologie de la négligence.

La question “les QR codes sont-ils sûrs ?” n’a pas de réponse universelle. Ils peuvent être totalement sûrs — ou non. Tout dépend du contexte : où est placé le code, qui l’a créé, si l’on voit où il mène, et comment l’utilisateur interagit avec lui.

C’est pourquoi la meilleure protection n’est pas l’interdiction, mais l’information et l’habitude de vérifier. Un simple algorithme “pause → vérification → action” réduit sensiblement les risques, même dans des situations complexes.

Pour l’entreprise, les QR codes restent un outil efficace — à condition d’être utilisés avec transparence, en tenant compte de l’UX, du design, de la sécurité et de la confiance de l’utilisateur.

🔐 Le QR code n’est qu’un pont. L’important, c’est où il mène et si vous êtes prêt à y aller.