Le QR code est devenu un geste du quotidien. On le scanne pour consulter un menu, payer un stationnement, suivre un colis, se connecter à un service, accéder à un document ou ouvrir une page web en quelques secondes. C’est précisément ce côté rapide et pratique qui explique son succès massif ces dernières années. Mais c’est aussi ce qui en fait un support parfait pour les escrocs. En France, Cybermalveillance.gouv.fr consacre désormais un contenu spécifique au « quishing », c’est-à-dire l’hameçonnage par QR code, et rappelle que ces QR codes malveillants peuvent rediriger l’utilisateur vers un site frauduleux ou lui faire télécharger un virus.
Le problème est simple : contrairement à un lien écrit noir sur blanc dans un SMS ou un e-mail, un QR code masque sa destination réelle. L’utilisateur voit une image, pas une adresse web lisible. C’est exactement ce qui rend l’arnaque si efficace. Cybermalveillance.gouv.fr explique que la menace reste encore relativement mineure à l’échelle globale, mais bien réelle, précisément parce qu’elle joue sur la difficulté à identifier un lien frauduleux quand celui-ci est caché dans un QR code.
Et cette menace ne relève plus du simple scénario théorique. Le rapport d’activité 2023 de Cybermalveillance mentionne explicitement des faux avis de contravention, des faux avis de passage de La Poste, des QR codes frauduleux collés sur des parcmètres ou sur des bornes de recharge de véhicules électriques, ainsi que des faux QR codes de confirmation de connexion. En parallèle, la FTC américaine a publié en janvier 2025 une alerte sur des colis inattendus contenant un QR code, puis en avril 2026 une autre alerte sur de faux messages d’infraction routière utilisant eux aussi un QR code pour pousser la victime à agir vite.
Autrement dit, les arnaques aux QR codes ne concernent pas seulement quelques affiches dans la rue. Elles touchent désormais les SMS, les colis, le courrier papier, les faux avis administratifs, les supports imprimés et tout ce qui peut sembler officiel ou urgent. Pour un site comme geek-infos.com, c’est donc un excellent sujet : actuel, utile, très recherché, et parfaitement aligné avec les préoccupations réelles des utilisateurs sur mobile.
Dans cet article, nous allons voir ce qu’est le quishing, pourquoi il fonctionne si bien, à quels pièges il faut faire attention, comment reconnaître un faux QR code, quoi faire si vous l’avez scanné, et quels réflexes adopter sur iPhone et Android pour réduire fortement le risque.
Le quishing, c’est quoi exactement ?
Le mot quishing vient de la contraction de QR code et phishing. En clair, il s’agit d’une forme d’hameçonnage qui utilise un QR code au lieu d’un lien cliquable traditionnel. Cybermalveillance.gouv.fr rappelle que l’hameçonnage peut prendre de multiples formes — e-mail, SMS, messages instantanés, appels, faux liens sponsorisés, et aussi QR codes frauduleux — avec toujours le même objectif : pousser la victime à fournir des données sensibles ou à télécharger un programme malveillant.
Ce mécanisme fonctionne parce qu’un QR code paraît souvent plus “neutre” qu’un lien. Beaucoup de personnes n’auraient jamais cliqué sur une URL étrange dans un SMS, mais scannent plus facilement un carré noir et blanc si le contexte semble crédible. Or une fois le code scanné, il peut ouvrir un faux site de paiement, une fausse page de connexion, une interface imitant une banque, un opérateur, un service public, ou encore déclencher le téléchargement d’un contenu malveillant. La FTC explique très clairement qu’un QR code frauduleux peut mener vers un site qui vole identifiants et coordonnées bancaires, ou télécharger un malware sur le téléphone.
Pourquoi les QR codes sont si efficaces pour piéger les gens
L’efficacité du quishing repose sur trois leviers puissants : la rapidité, la confiance et l’urgence. D’abord, scanner un QR code est devenu un geste presque automatique. Ensuite, beaucoup de QR codes sont désormais utilisés dans des contextes légitimes du quotidien : restauration, livraison, transport, parking, recharge, documents, connexion. Enfin, les escrocs ajoutent presque toujours une couche d’urgence, avec un prétexte du type “paiement immédiat”, “amende à régler”, “colis bloqué”, “compte à vérifier” ou “validation requise”. Cybermalveillance résume parfaitement cette logique : l’hameçonnage vise à créer, sous une apparence légitime et crédible, un sentiment d’urgence ou d’intérêt afin d’inciter la victime à agir.
La FTC observe exactement le même mécanisme dans ses alertes récentes. Dans l’arnaque au faux colis, le QR code sert à “découvrir l’expéditeur” ou à “retourner” un paquet inattendu. Dans la fausse infraction routière, il permet soi-disant d’éviter le tribunal ou de payer une amende rapidement. Dans les deux cas, le message joue sur le réflexe : scanner d’abord, réfléchir ensuite.
Les scénarios les plus fréquents aujourd’hui
Les arnaques aux QR codes suivent souvent des schémas très reconnaissables. Le premier grand scénario est celui des faux avis officiels : amende, infraction routière, convocation, régularisation. Cybermalveillance a relevé des faux avis de contravention laissés sur des pare-brises ou reçus à domicile, et la FTC a signalé une hausse récente de faux SMS de violation routière contenant un QR code.
Le deuxième scénario est celui de la livraison. On retrouve ici les faux avis de passage, les messages de colis bloqué ou les paquets inattendus contenant un QR code. Cybermalveillance mentionne explicitement les faux avis de passage de La Poste, tandis que la FTC décrit un colis surprise accompagné d’un QR code prétendant révéler l’expéditeur.
Le troisième scénario concerne les supports physiques altérés : QR codes collés par-dessus un vrai code sur un parcmètre, une borne de recharge, une affiche ou un support commercial. Ce point est particulièrement important, car il montre que le quishing ne passe pas uniquement par des messages numériques : il peut aussi reposer sur une simple substitution de code dans l’espace public. Cybermalveillance cite très clairement les parcmètres et les bornes de recharge comme exemples concrets déjà observés.
Comment reconnaître un QR code suspect
Le premier réflexe est de se méfier du contexte, pas seulement du code lui-même. Un QR code n’est pas “fiable” parce qu’il a l’air propre ou professionnel. Ce qui compte, c’est l’endroit où il apparaît, la raison pour laquelle on vous demande de le scanner, et la pression exercée autour. Un QR code collé de travers sur un support existant, un autocollant recouvrant un autre code, un message urgent reçu par SMS, ou un courrier inattendu vous demandant de payer immédiatement sont déjà des signaux d’alerte. Cybermalveillance recommande d’en vérifier la vraisemblance avant toute ouverture et de s’abstenir au moindre doute.
Le deuxième réflexe est d’observer la destination proposée par le téléphone avant de l’ouvrir. Beaucoup d’appareils affichent l’adresse détectée ou permettent au moins d’apercevoir le domaine avant validation. Si l’URL paraît étrange, trop longue, mal orthographiée, ou ne correspond pas clairement au service attendu, il faut arrêter là. Le grand piège du QR code, c’est justement de cacher le lien. Il faut donc reprendre volontairement ce contrôle avant d’ouvrir la page.
Le troisième réflexe consiste à se demander : “pourquoi me demande-t-on de scanner ce code plutôt que de passer par le site ou l’application officielle ?” Si une banque, une administration, une ville, un transporteur ou un service de paiement vous réclame une action sensible, vous devez toujours pouvoir retrouver la démarche depuis le canal officiel habituel. Si ce n’est pas le cas, le doute doit l’emporter. La FTC insiste d’ailleurs sur ce point pour les faux messages d’infraction : si le message semble éventuellement plausible, il faut vérifier sur le site officiel du tribunal ou appeler un numéro connu, jamais utiliser les informations du message.
Pourquoi les SMS avec QR code sont particulièrement dangereux
Le SMS combine deux faiblesses : l’immédiateté et le manque de recul. Quand un message arrive sur le téléphone, on le lit souvent debout, dans la rue, au travail, entre deux tâches. On n’est pas dans une posture d’analyse. Or les escrocs le savent. Service-Public rappelle que l’hameçonnage peut passer par SMS, et qu’en cas de phishing par SMS ou appel téléphonique, il est possible de signaler le message au 33 700, y compris via un formulaire utilisant une capture d’écran de QR code.
C’est un point très utile pour ton article : le quishing n’est pas seulement une “arnaque à l’affiche”. Il peut arriver directement par smishing, c’est-à-dire phishing par SMS. Et dans ce cas, l’utilisateur est encore plus vulnérable, parce que le téléphone est précisément l’outil qui va scanner le code et ouvrir le lien dans la foulée. C’est pour cela qu’il faut apprendre à ralentir volontairement face à tout SMS qui pousse à scanner un QR code pour régler un problème urgent.
Que faire si vous avez déjà scanné le QR code
Tout dépend de ce que vous avez fait ensuite. Si vous avez seulement scanné le code, vu une page douteuse puis fermé sans rien saisir, il faut surtout éviter d’y retourner, supprimer le message ou le support concerné, et surveiller votre appareil. Si en revanche vous avez entré un mot de passe, des coordonnées bancaires ou toute information sensible, il faut agir immédiatement.
La FTC recommande de changer le mot de passe tout de suite si des identifiants ont été saisis sur un site frauduleux, de choisir un mot de passe fort, d’activer l’authentification à deux facteurs et de vérifier les relevés bancaires et de carte. Elle recommande aussi, en cas de doute sur l’identité, de surveiller les comptes et de prendre des mesures de protection supplémentaires.
En France, si le problème relève d’un SMS ou d’un appel frauduleux, le signalement au 33 700 est le bon réflexe, et pour un site de phishing identifié, Service-Public renvoie aussi vers Phishing Initiative, qui peut contribuer au blocage du site dans certains navigateurs.
Et si vous avez payé ?
Si vous avez payé après avoir scanné un faux QR code, le risque est double : la somme versée peut être perdue, et vos informations de paiement peuvent maintenant circuler. Il faut alors contacter très vite votre banque, surveiller les opérations en cours, et envisager une opposition ou d’autres mesures selon la nature des données communiquées. Service-Public détaille par ailleurs les démarches en cas de fraude à la carte bancaire, avec opposition et signalement si des paiements non autorisés apparaissent.
Le plus important est de ne pas attendre “pour voir”. Un faux paiement de livraison, de stationnement ou d’amende peut sembler mineur, mais c’est souvent la porte d’entrée vers une fraude plus large.
Comment se protéger sur Android
Android intègre aujourd’hui plusieurs outils utiles contre les arnaques et les liens dangereux. Google rappelle que Chrome affiche par défaut des avertissements pour les sites de phishing ou malveillants, et recommande de ne pas poursuivre quand un avertissement rouge “Dangerous site” s’affiche. Google rappelle également que Google Play Protect est activé par défaut et aide à bloquer ou désinstaller des applications potentiellement dangereuses, tandis que l’Advanced Protection d’Android peut ajouter des avertissements contre des liens dangereux dans Google Messages.
Google a aussi indiqué en février 2026 que ses défenses anti-arnaques sur Android s’appuient sur l’IA pour aider à protéger les utilisateurs face à un volume massif de communications suspectes. Même si cela ne supprime pas le risque, cela montre que le smartphone peut aujourd’hui offrir de vraies couches de défense… à condition de ne pas les contourner soi-même en scannant à l’aveugle.
Comment se protéger sur iPhone
Sur iPhone, la logique doit être plus comportementale, car la meilleure défense reste la prudence avant ouverture. Il faut vérifier les URL affichées, éviter les scans dans les contextes douteux, et toujours préférer l’application ou le site officiel quand il s’agit d’une démarche sensible : banque, administration, paiement, livraison, opérateur. Si Safari ou un autre navigateur affiche un avertissement de sécurité, il faut s’y arrêter immédiatement.
Le vrai réflexe à développer sur iPhone comme sur Android est donc simple : ne pas laisser le QR code décider du chemin à votre place. Si le sujet est sensible, c’est à vous d’ouvrir le site officiel, pas au QR code de vous y emmener.
Les erreurs les plus fréquentes
La première erreur est de penser qu’un QR code imprimé est forcément légitime. La deuxième est de scanner un code collé sur un support public sans vérifier qu’il n’a pas été ajouté par-dessus un vrai code. La troisième est de croire qu’un message urgent justifie une action immédiate. La quatrième est d’entrer des données bancaires ou des identifiants après un scan, sans repasser par un canal officiel. La cinquième est d’ignorer les outils de signalement alors qu’ils permettent de limiter la propagation de l’arnaque. Cybermalveillance, Service-Public et la FTC convergent tous sur le même message : au moindre doute, il faut s’abstenir d’ouvrir, vérifier autrement, et signaler si nécessaire.
Conclusion
Les arnaques aux QR codes sont efficaces parce qu’elles exploitent un geste devenu banal. On scanne vite, on fait confiance au contexte, et on se retrouve parfois dirigé vers un faux site de paiement, une fausse interface de connexion ou un téléchargement malveillant. Le quishing n’est pas encore la menace la plus massive de tout l’écosystème numérique, mais il est suffisamment réel et crédible pour mériter une vraie vigilance, surtout sur smartphone.
Le bon réflexe tient en une phrase : ne scannez jamais dans la précipitation. Vérifiez le contexte, regardez où le code veut vous emmener, et si le sujet touche à l’argent, à un compte ou à une identité, passez toujours par le site ou l’application officielle. En cas de doute, mieux vaut perdre une minute à vérifier que plusieurs heures à gérer une fraude. Et si vous êtes déjà tombé dans le piège, réagissez vite : changez les mots de passe, contactez la banque si besoin, signalez le message ou le site, et ne laissez pas le fraudeur garder une longueur d’avance.
