- 01m40s
3 min de lecture
Restaurants, stationnement, livraison... Comment repérer et déjouer les QR codes piégés ?
Les QR codes sont devenus incontournables dans notre quotidien. Mais leur utilisation n'est pas sans risque .
L'usage des QR codes s'est largement démocratisé depuis la pandémie (illustration)
Crédit : AFP
Je m'abonne à la newsletter « Infos »
Les QR codes se sont largement imposés dans le quotidien des consommateurs. Présents sur les menus de restaurants, les affiches, les colis, les horodateurs ou encore pour se connecter facilement à un réseau WiFi, ces petits carrés noirs à scanner sont devenus un outil courant pour accéder rapidement à des contenus numériques. Mais leur utilisation n’est pas sans risque.
Par nature, les QR codes sont opaques pour l’utilisateur. Il s’agit d’images codifiées, comparables à des codes-barres, capables de contenir jusqu’à 2 500 caractères. Dans la majorité des cas, ils redirigent vers des sites internet ou des applications légitimes. Mais ils peuvent également dissimuler des liens malveillants.
Contrairement à un lien classique, qu’un utilisateur peut lire ou analyser avant de cliquer, le QR code est généralement scanné directement avec la caméra d’un smartphone. Cette simplicité d’usage favorise des réflexes de confiance, souvent sans vérification préalable.
Avec leur généralisation, ces outils ont rapidement attiré l’attention des cybercriminels. Une forme d’escroquerie spécifique s’est ainsi développée : le "quishing", ou hameçonnage via QR code. Cette technique consiste à exploiter les habitudes numériques des utilisateurs pour les rediriger vers des sites frauduleux.
Un piège facile à déployer dans l'espace public
Concrètement, un QR code piégé peut être apposé sur un support du quotidien, comme un horodateur sur un parking. L’utilisateur, pensant accéder à un service officiel pour régler son stationnement, est redirigé vers une page imitant celle d’une collectivité ou d’un opérateur légitime. En saisissant ses coordonnées bancaires, il transmet en réalité ses données à des fraudeurs.
Ce type de manipulation est simple à mettre en œuvre. Il suffit de générer un QR code malveillant et de le diffuser, par exemple via un autocollant placé sur un menu, un document, un message de livraison ou même un courrier déposé dans une boîte aux lettres, comme l'ont constaté de nombreux usagers de l'Assurance maladie visés par une campagne de "quishing" à l'été 2025.
Les usages détournés se sont multipliés ces derniers mois, y compris dans des contextes professionnels, où des campagnes de fraude utilisent ainsi des QR codes intégrés à des e-mails imitant des notifications de connexion à des services courants, afin de récupérer des identifiants professionnels.
La parade : réfléchir avant de scanner et analyser l'adresse du site vers lequel renvoie le QR code
Face à ces risques, plusieurs précautions peuvent être adoptées. Il est recommandé de prendre le temps de vérifier le contexte avant de scanner un QR code, notamment lorsqu’il est apposé sous forme d’autocollant ou semble altéré. Dans les restaurants, privilégier les menus papier ou passer par un serveur pour le paiement peut limiter les risques.
Lorsque le scan est nécessaire, notamment pour des services comme le stationnement, il convient de vérifier attentivement l’adresse du site vers lequel l’utilisateur est redirigé. Des outils en ligne permettent également d’analyser les liens avant interaction, notamment le site Orange Cybersécurité.
Enfin, certaines solutions de sécurité intègrent désormais des fonctionnalités de vérification en temps réel des QR codes. L’éditeur McAfee propose depuis peu un service dédié, accessible via abonnement. Le dispositif, intégré à l'abonnement de l'éditeur facturé 45 euros par an, fonctionne à travers la caméra du smartphone et peut être ajouté aux raccourcis du centre de contrôle du smartphone.
Retrouvez "La règle d'or numérique" tous les samedi à 6h53 dans "RTL Matin Week-end" présenté par Stéphane Carpentier. Comment naviguer en toute sécurité sur Internet ? Quels sont les réglages à paramétrer pour protéger vos données personnelles ? Comment repérer les arnaques en ligne avant de tomber dans le panneau… Benjamin Hue, journaliste spécialiste des nouvelles technologies, répond ici aux questions que vous vous posez sur le numérique et votre quotidien en ligne.
- Explosion des deepfakes sexuels générés par IA : pourquoi il ne faut plus partager de photos de vos enfants sur les réseaux sociaux
- Interdiction des réseaux sociaux aux moins de 15 ans : tous les Français vont-ils devoir faire vérifier leur âge ?
- Leroy Merlin, France Travail, Urssaf, MédecinDirect... Face à la vague des fuites de données, comment résister à l'explosion des arnaques
- Comment se protéger des infostealers, ces logiciels espions qui volent vos informations sur vos ordinateurs
- Fuite de données à l'ANTS : 11,7 millions de Français concernés, que peuvent faire les pirates avec vos données volées ?
