Rachel s'est garée dans un parking du centre-ville en octobre dernier et s'est dirigée vers la borne de paiement. Il y avait un autocollant avec un code QR sur la machine avec une étiquette qui disait « Payez ici — Scannez pour payer le parking ». Elle l'a scanné, et cela a ouvert ce qui ressemblait à une page de paiement normale. Elle a saisi son numéro de carte bancaire, appuyé sur envoyer et s'est rendue à son rendez-vous. Deux jours plus tard, sa banque l'a appelée. Quelqu'un avait débité 1 400 dollars de sa carte dans un magasin d'électronique à 500 kilomètres de là. Le code QR qu'elle avait scanné ne venait pas du parking. Quelqu'un avait imprimé un autocollant et l'avait placé directement par-dessus le vrai.
L'histoire de Rachel n'est pas un cas isolé. Alors que les codes QR font désormais partie du quotidien — sur les tables de restaurant, les parcmètres, les billets d'événements et les emballages produits — les criminels ont trouvé des moyens d'exploiter la confiance que les gens accordent à ces petits carrés. L'attaque porte même un nom : le quishing. Et elle se développe rapidement.
Qu'est-ce que le quishing (hameçonnage par code QR) ?
Le quishing est de l'hameçonnage transmis par un code QR au lieu d'un lien dans un e-mail. Le concept est identique à l'hameçonnage traditionnel : un escroc crée une fausse page web qui ressemble à un service légitime, puis vous incite à saisir des informations sensibles comme des mots de passe, numéros de carte bancaire ou identifiants de connexion. La différence réside dans le moyen de transmission. Au lieu de cliquer sur un lien suspect, vous scannez un code QR qui vous emmène vers la fausse page.
Ce qui rend le quishing particulièrement efficace, c'est que les codes QR sont opaques. Quand vous voyez un lien dans un e-mail, vous pouvez survoler et vérifier l'URL avant de cliquer. Mais quand vous scannez un code QR, vous ne voyez souvent pas où il mène avant que votre téléphone ait déjà ouvert la page. Ce moment de confiance aveugle est exactement ce que les escrocs exploitent.
Comment fonctionnent les codes QR frauduleux en pratique
Les escrocs déploient de faux codes QR de plusieurs façons, et comprendre les tactiques courantes les rend beaucoup plus faciles à repérer.
- Autocollants superposés : l'attaque physique la plus courante. Un escroc imprime un autocollant avec son code QR malveillant et le place directement par-dessus un code QR légitime sur un parcmètre, une table de restaurant ou un panneau public. Pour un observateur non averti, cela ressemble au code d'origine.
- Faux flyers et affiches : les escrocs affichent des flyers d'apparence officielle dans les lieux publics — « WiFi gratuit », « Gagnez une carte cadeau », « Réduction spéciale » — avec un code QR qui mène vers un site d'hameçonnage ou télécharge un logiciel malveillant.
- Quishing par e-mail et courrier : au lieu d'inclure un lien cliquable dans un e-mail d'hameçonnage, les escrocs intègrent une image de code QR. Cela contourne de nombreux filtres de sécurité e-mail qui analysent les liens mais n'examinent pas les images de codes QR.
- Reçus et tickets falsifiés : de faux codes QR imprimés sur des PV de stationnement contrefaits, des reçus ou des amendes laissés sur les pare-brise des voitures. Le code mène vers une page de paiement qui capture vos informations bancaires.
Comment repérer un faux code QR
Vous n'avez pas besoin d'être un expert en sécurité pour vous protéger. Quelques secondes d'attention avant de scanner peuvent prévenir la plupart des attaques.
- Vérifiez les autocollants superposés : avant de scanner un code QR dans un lieu public, regardez attentivement si le code est imprimé directement sur la surface ou collé par-dessus. Passez votre doigt sur le bord. Si vous sentez un autocollant superposé à un autre code, ne le scannez pas.
- Prévisualisez l'URL avant de l'ouvrir : la plupart des téléphones modernes affichent un aperçu de l'URL quand vous scannez un code QR. Lisez-la avant de cliquer. Un service de stationnement légitime aura un domaine reconnaissable, pas quelque chose comme « parkng-pay-now.xyz ». Cherchez les fautes d'orthographe, les extensions de domaine inhabituelles et les URL excessivement longues.
- Vérifiez le HTTPS : les pages de paiement et de connexion légitimes utilisent HTTPS. Si l'URL commence par un simple HTTP, méfiez-vous. Cependant, gardez à l'esprit que le HTTPS seul ne garantit pas la légitimité — les escrocs peuvent aussi obtenir des certificats SSL.
- Méfiez-vous de l'urgence : si un code QR mène vers une page qui vous presse d'agir immédiatement — « Votre compte sera bloqué ! » ou « Réclamez votre prix maintenant ! » — prenez du recul. Les services légitimes ne créent pas de panique pour vous faire saisir des informations personnelles.
- Vérifiez auprès de la source : si vous scannez un code QR dans un restaurant et que la page semble étrange, demandez au personnel. Si un code QR apparaît sur un parcmètre et que le design semble différent des autres parcmètres de la même rue, payez à l'intérieur ou utilisez l'application officielle.
Sur iPhone, l'application appareil photo affiche l'URL avant de l'ouvrir. Sur Android, Google Lens fait de même. Lisez toujours l'aperçu de l'URL avant de cliquer. Si quelque chose semble suspect, ne poursuivez pas.
Conseils de sécurité pour les consommateurs
En tant que personne qui scanne des codes QR au quotidien, vous pouvez vous protéger avec quelques habitudes simples.
Utilisez le scanner intégré de votre téléphone
L'application appareil photo par défaut sur iPhone et Android fournit un aperçu de l'URL avant de naviguer. Évitez de télécharger des applications de scan QR tierces, car certaines d'entre elles sont elles-mêmes des logiciels malveillants déguisés en outils utiles.
Ne saisissez jamais d'informations sensibles impulsivement
Si un code QR vous mène vers une page demandant votre carte bancaire, votre numéro de sécurité sociale ou vos identifiants de connexion, faites une pause. Demandez-vous : est-ce que je m'y attendais ? Cet organisme demanderait-il normalement ces informations de cette façon ?
Gardez votre téléphone à jour
Les mises à jour du système d'exploitation incluent des correctifs de sécurité qui protègent contre les nouvelles menaces. Un téléphone à jour est mieux équipé pour vous avertir des sites web malveillants et empêcher les téléchargements non autorisés.
Signalez les codes QR suspects
Si vous trouvez un autocollant de code QR qui semble recouvrir un code légitime, signalez-le au commerce ou au propriétaire des lieux. Décollez le faux autocollant si vous pouvez le faire en toute sécurité. Vous pourriez sauver la prochaine personne d'une arnaque.
Conseils de sécurité pour les entreprises
Si votre entreprise utilise des codes QR — sur des tables, de la signalétique, des emballages ou des supports marketing — vous avez la responsabilité de rendre vos codes fiables et résistants à la falsification.
- Imprimez les codes QR directement sur les supports : dans la mesure du possible, imprimez les codes QR directement sur les menus, la signalétique ou les emballages au lieu d'utiliser des autocollants qui peuvent être recouverts par l'autocollant d'un escroc. Les codes imprimés sont beaucoup plus difficiles à falsifier.
- Inspectez vos codes QR régulièrement : faites-en une partie de votre routine d'ouverture. Parcourez l'espace et vérifiez que vos codes QR n'ont pas été recouverts ou remplacés. Pour les emplacements extérieurs comme les parcmètres ou la signalétique événementielle, vérifiez plus fréquemment.
- Utilisez une page de destination reconnaissable : quand les clients scannent votre code QR, ils doivent arriver sur une page avec votre branding, votre nom de domaine et une explication claire de ce qu'ils regardent. Une page de destination brandée renforce la confiance et facilite l'identification des faux.
- Utilisez votre propre domaine : évitez les raccourcisseurs d'URL génériques qui masquent la destination. Un code qui mène vers « votreentreprise.com/menu » est bien plus digne de confiance qu'un code qui mène vers « bit.ly/3xK9z2 ». Les clients ont appris à se méfier des URL raccourcies.
- Formez votre personnel : assurez-vous que vos employés savent à quoi doivent ressembler vos codes QR et où ils sont placés. Si un membre de l'équipe remarque un code qui semble différent ou un autocollant qui n'était pas là hier, il doit le signaler immédiatement.
Que faire si vous avez scanné un code QR suspect
Si vous avez scanné un code QR et que quelque chose ne va pas — la page semblait suspecte, vous avez saisi des informations que vous regrettez maintenant, ou votre téléphone a commencé à se comporter étrangement — agissez immédiatement.
- Fermez la page et effacez l'historique et le cache de votre navigateur.
- Si vous avez saisi un mot de passe, changez-le immédiatement sur le site légitime. Si vous utilisez ce mot de passe ailleurs, changez-le là aussi.
- Si vous avez saisi des informations de carte bancaire, appelez votre banque ou l'émetteur de votre carte immédiatement. Ils peuvent bloquer la carte et annuler les débits frauduleux.
- Lancez une analyse de sécurité sur votre téléphone. iOS et Android disposent de fonctionnalités de sécurité intégrées, et des applications antivirus reconnues peuvent vérifier la présence de logiciels malveillants.
- Surveillez vos comptes pendant les prochaines semaines. Activez les alertes de transaction sur vos comptes bancaires et cartes de crédit pour être averti de toute activité inhabituelle.
Vue d'ensemble : les codes QR restent sûrs quand on les utilise intelligemment
Rien de tout cela ne signifie que vous devriez arrêter de scanner des codes QR. La technologie elle-même n'est pas dangereuse — le risque vient de l'endroit où le code vous envoie, comme n'importe quel lien sur internet. Un code QR est simplement un moyen d'encoder une URL. La même prudence que vous appliquez en cliquant sur des liens dans des e-mails devrait s'appliquer au scan de codes dans le monde réel.
L'écrasante majorité des codes QR que vous rencontrez sont légitimes. Menus de restaurant, mots de passe WiFi, billets d'événements, cartes de visite — ce sont toutes des applications sûres et utiles. L'essentiel est la vigilance. Prenez deux secondes pour vérifier l'URL avant de cliquer, cherchez des signes de falsification sur les codes physiques et faites confiance à votre instinct. Si quelque chose semble anormal, c'est probablement le cas.