Alerte « Quishing » : ne scannez pas n’importe quoi !

L’usage des QR codes s’est fortement développé dans notre vie quotidienne : paiement du stationnement, menus de restaurants, bornes de recharge, démarches administratives ou commerciales. On les voit partout et ils sont devenus familiers, voire indispensables.

Si cet outil très pratique offre un gain de temps et de simplicité, il est également de plus en plus souvent détourné par des fraudeurs.

Ces pratiques exposent les consommateurs à des risques financiers et à des atteintes à leurs données personnelles. L’arnaque repose sur un principe simple : rediriger l’utilisateur vers un site frauduleux à l’aide d’un QR code falsifié ou trompeur.

Qu’est-ce que le « quishing » ?

Contrairement à un lien classique contenu dans un courriel ou un message, un QR code est illisible pour l’œil humain. Il ne permet pas d’identifier immédiatement l’adresse du site vers lequel il redirige.

Les escrocs exploitent cette opacité pour masquer des adresses web malveillantes derrière ces petits carrés noirs et blancs.

Une fois scanné, le QR code peut conduire vers :

• Un site imitant celui d’une entreprise, d’une collectivité ou d'un service public,

• Un formulaire destiné à collecter des données personnelles,

• Une page demandant un paiement indu,

• Ou un site malveillant susceptible de compromettre le téléphone de l’utilisateur.

Comment repérer le piège avant qu’il ne soit trop tard ?

Plusieurs signes doivent vous alerter :

• L’aspect « surcollé » : si le QR code semble être une étiquette ajoutée sur une affiche, un menu ou une borne de paiement, la prudence s’impose. Il s’agit de l’une des techniques les plus couramment utilisées par les fraudeurs.

• Le message évoque l’urgence et cherche à vous faire peur : messages tels que « payez votre amende sous 24 h » ou « votre compte va être bloqué ». La création d’un stress est un levier classique de manipulation.

• QR codes reçus par e-mail ou SMS : un code envoyé par message pour un colis en attente, une amende impayée ou une mise à jour de compte doit systématiquement éveiller la méfiance, surtout s’il est non sollicité.

• Une URL suspecte : lors du scan, le téléphone affiche généralement un aperçu du lien. Si l’adresse est très longue, incohérente ou ne correspond pas au site officiel (par exemple paiement-amende-france.net au lieu d’un domaine institutionnel), il ne faut pas cliquer.

Quels sont les risques pour les consommateurs ?

Les conséquences de ces pratiques frauduleuses peuvent être importantes :

• Prélèvements bancaires frauduleux,

• Vol de données bancaires,

• Usurpation d’identité,

• Permettre l’accès non autorisé à des comptes personnels ou professionnels (si l’utilisateur saisit ses identifiants sur un faux site ou télécharge un logiciel malveillant).

Les bons réflexes pour rester protégé

• Utiliser l’appareil photo du téléphone : évitez d’installer des applications dédiées au scan de QR codes. Les smartphones récents (iOS et Android) intègrent cette fonction de manière plus sécurisée. Vérifiez toujours l’aperçu de l’URL qui s’affiche avant d’ouvrir le lien.

• Ne jamais communiquer de codes secrets : un QR code peut mener à une page de paiement, mais il ne doit jamais demander le code confidentiel (PIN) de la carte bancaire ni les identifiants bancaires principaux. Aucun site légitime ne demandera votre code PIN.

• Passer par les canaux officiels en cas de doute : plutôt que de scanner un QR code sur un parcmètre ou une affiche, privilégiez l’application officielle du service concerné ou saisissez l’adresse du site directement dans votre navigateur.

Que faire en cas de fraude ou de suspicion de fraude?

En cas de doute ou d’arnaque avérée, il faut :

• Interrompre immédiatement la procédure,

• Contacter sa banque sans délai si des données bancaires ont été transmises,

• Conserver les éléments utiles (photos, URL, captures d’écran),

• Signaler les faits sur les plateformes dédiées : SignalConso, Cybermalveillance.gouv.fr ou Pharos,

• Déposer plainte auprès de la police ou de la gendarmerie en cas de préjudice financier ou de vol de données.

À retenir

Un QR code n’est jamais anodin. Scanner un QR code revient à cliquer sur un lien : les mêmes règles de prudence doivent s’appliquer. En cas de doute, il est toujours préférable de s’abstenir et de passer par un canal officiel.

En conclusion

Face à la multiplication des usages des QR codes, les consommateurs doivent rester vigilants, refuser toute urgence artificielle et privilégier les canaux officiels.
Le signalement des pratiques frauduleuses contribue également à renforcer la protection de tous.