Aller au contenu principal
Retour aux blog
Arnaques par QR Code (Quishing) : la nouvelle menace invisible
BlogDanger moyen

Arnaques par QR Code (Quishing) : la nouvelle menace invisible

Les QR codes frauduleux se multiplient en France : faux PV, bornes de recharge, restaurants. Comment les détecter avant de scanner.

Partager

Le quishing : le phishing sort de l'écran

Le "quishing" (QR code + phishing) est la nouvelle arme des cybercriminels. Un simple carré noir et blanc collé sur un parcmètre, une table de restaurant ou glissé dans votre boîte aux lettres peut vider votre compte bancaire.

Pourquoi les QR codes sont dangereux

Contrairement à un lien dans un email, un QR code masque totalement sa destination. Impossible de "survoler" un QR code pour voir où il mène.

| Lien classique | QR Code | |----------------|---------| | URL visible avant le clic | Destination invisible | | Filtre anti-phishing actif | Aucun filtre sur mobile | | Copier-coller possible | Scan direct = ouverture immédiate | | Contexte email analysable | Contexte physique = confiance |

Les 5 arnaques QR code les plus répandues en France

1. Faux PV de stationnement

Des faux avis de contravention sont déposés sur les pare-brise avec un QR code pour "payer l'amende en ligne". Le QR code redirige vers un faux site qui imite le site officiel amendes.gouv.fr.

Les vrais PV ne contiennent jamais de QR code pour le paiement. Le paiement se fait uniquement sur amendes.gouv.fr en saisissant le numéro de télépaiement.

2. Bornes de recharge électrique

Des autocollants avec de faux QR codes sont collés par-dessus les vrais sur les bornes de recharge. Vous pensez payer votre recharge, vous donnez vos coordonnées bancaires aux arnaqueurs.

3. Faux menus de restaurant

Des QR codes frauduleux remplacent les vrais menus dans certains restaurants. Au lieu d'afficher la carte, ils redirigent vers un site qui installe un malware ou demande vos informations bancaires.

4. Faux colis et livraisons

Un avis de passage avec QR code dans votre boîte aux lettres vous invite à "reprogrammer votre livraison". Le QR code mène à un site de phishing imitant La Poste, Colissimo ou Chronopost.

5. Faux emails avec QR code intégré

Dernière tendance : les emails de phishing remplacent les liens cliquables par des QR codes intégrés dans l'image. Cette technique contourne les filtres anti-spam qui ne savent pas analyser les QR codes dans les images.

Si un email vous demande de scanner un QR code au lieu de cliquer sur un lien, c'est probablement une arnaque. Les entreprises légitimes fournissent des liens cliquables.

Comment se protéger

Avant de scanner

  1. Vérifiez le support physique : le QR code est-il collé par-dessus un autre ? Le papier semble-t-il officiel ?
  2. Questionnez le contexte : un QR code sur un parcmètre, une table de restaurant ou dans un email inattendu doit éveiller vos soupçons
  3. Utilisez un scanner sécurisé : certaines apps de scan montrent l'URL avant d'ouvrir le navigateur

Après le scan

  1. Lisez l'URL dans la barre d'adresse : vérifiez que le domaine correspond bien au service attendu
  2. Ne saisissez jamais vos données bancaires si vous avez le moindre doute
  3. Fermez immédiatement si le site demande des informations personnelles de manière inattendue

Les bons réflexes

  • Tapez toujours les adresses officielles vous-même (amendes.gouv.fr, laposte.fr)
  • Ne payez jamais via un QR code trouvé dans l'espace public sans vérification
  • Signalez les QR codes suspects sur signal-spam.fr ou au 33700
Statistiques clés

Que faire si vous êtes victime

  1. Contactez votre banque immédiatement pour faire opposition si vous avez communiqué vos données bancaires
  2. Changez vos mots de passe si vous avez saisi des identifiants
  3. Déposez plainte sur pre-plainte-en-ligne.gouv.fr
  4. Signalez l'arnaque sur cybermalveillance.gouv.fr

En résumé

Le quishing exploite notre confiance dans les QR codes devenus omniprésents depuis le COVID. La règle d'or : ne scannez jamais un QR code sans vérifier sa source et l'URL de destination. En cas de doute, tapez l'adresse du site officiel directement dans votre navigateur.

Articles similaires

Arnaque Booking.com : faux hotels et messages pieges

Les arnaques sur Booking.com explosent. Faux hotels, messages de phishing dans la messagerie, comptes pirates : comment se proteger.

Lire

Comment vérifier une URL avant de cliquer : guide technique illustré

Apprenez à analyser et vérifier une URL suspecte avant de cliquer : structure, pièges courants, outils de vérification. Guide technique complet.

Lire

Phishing sur les réseaux sociaux : Instagram, Facebook et TikTok

Faux concours, faux badges vérifiés, usurpation de profils : découvrez les techniques de phishing sur Instagram, Facebook et TikTok et comment s'en protéger.

Lire