Vous êtes au restaurant, sur un parcmètre, ou devant une borne de recharge électrique. Un petit carré noir et blanc. Deux secondes de scan. Et c’est parti. Ce geste, nous le faisons des dizaines de fois par semaine sans y penser, et c’est précisément là que le problème commence. Le quishing s’est glissé dans nos habitudes les plus anodines, au moment exact où notre attention est ailleurs. Pas besoin d’être naïf, ni peu technophile. Il suffit d’être pressé. En France, les autorités ont recensé plus de 800 procédures pénales liées à des arnaques aux faux QR codes dès le début 2024. Voici ce que vous devez savoir, avant que le prochain QR code soit le vôtre.
Le quishing, c’est quoi exactement ?
Le terme est une contraction de QR code et de phishing, ce que l’on appelle en français l’hameçonnage. Le principe : un escroc génère un QR code contenant une URL malveillante, le place dans un endroit stratégique, et attend que vous le scanniez. Une fois le code lu par votre smartphone, vous êtes redirigé vers un faux site, souvent une copie quasi parfaite d’un service officiel, qui vous invite à saisir vos identifiants, vos coordonnées bancaires, ou d’autres données sensibles.
Ce qui distingue le quishing du phishing classique, c’est une particularité technique redoutable. Avec un lien dans un email, vous pouvez passer la souris dessus pour voir l’URL de destination avant de cliquer. Avec un QR code, cette vérification est impossible à l’œil nu. Le code se présente comme une image opaque, neutre, inoffensive. Les filtres anti-spam et anti-phishing ne voient eux aussi qu’une image, pas un lien suspect. Le piège passe donc en dessous de tous les radars.
Pourquoi le QR code est devenu l’outil idéal des escrocs
La réponse tient en un mot : la pandémie. Le Covid-19 a propulsé les QR codes au cœur de notre quotidien. Menus de restaurant dématérialisés, vérification du pass sanitaire, affiches publicitaires, billetterie en ligne, paiement sans contact. En quelques mois, scanner est devenu un réflexe, presque un automatisme. Et avec ce réflexe est venue une confiance aveugle, celle que l’on accorde à quelque chose que l’on fait mille fois sans conséquence.
Les cybercriminels ont flairé cette aubaine. La part des QR codes dans les emails de phishing est passée de 0,8 % en 2021 à 12,4 % en 2023, et se maintient à 10,8 % en 2024. Aujourd’hui, 26 % de tous les liens malveillants circulent via des QR codes. En France, le phishing représente 38 % des demandes d’assistance cyber sur Cybermalveillance.gouv.fr, et le quishing en est une composante croissante. La technique a en outre un avantage logistique décisif pour les fraudeurs : elle contourne presque systématiquement les protections informatiques des entreprises, car l’employé scanne souvent avec son téléphone personnel, hors du périmètre sécurisé de l’organisation.
Les scénarios d’arnaque les plus courants en France
Les modes opératoires sont variés, mais tous partagent le même mécanisme psychologique : créer une situation familière, urgente, et faire agir vite. Voici les scénarios que l’on retrouve régulièrement en France :
- L’autocollant frauduleux sur horodateur ou borne de recharge : un QR code piégé est collé par-dessus le code officiel. À Lorris, dans le Loiret, des conducteurs ont cru payer leur recharge électrique, alors que leurs coordonnées bancaires étaient aspirées vers un faux site. La recharge ne démarrait jamais, mais un débit était immédiatement effectué.
- La fausse contravention sur le pare-brise : un document imprimé, avec ton officiel, mentions légales et logo de l’administration. Un QR code pour « régler rapidement ». À Melun, plusieurs automobilistes en ont été victimes en 2025, convaincus de régulariser une infraction.
- Le faux avis de passage de La Poste : glissé en boîte aux lettres, il invite à scanner pour reprogrammer une livraison, avec en réalité un formulaire piégé réclamant vos données personnelles.
- Le QR code dans un email professionnel : intégré dans un message semblant provenir d’un collègue ou d’une administration, il passe les filtres anti-spam car les logiciels ne lisent pas le contenu du code, seulement l’image.
- L’affiche en lieu public : jeu-concours, offre promotionnelle, invitation à télécharger une application. Une victime de Haute-Garonne a ainsi saisi ses coordonnées bancaires après avoir scanné une affiche proposant de « gagner un voyage » dans son immeuble.
- La fausse carte bancaire reçue par courrier : cette arnaque, identifiée début 2026, consiste à envoyer une enveloppe avec logo bancaire officiel, contenant une carte sans nom ni numéro, avec un QR code pour « l’activer ». Le lien renvoie vers un faux site bancaire qui récolte vos identifiants.
Dans chaque cas, la mécanique est identique : jouer sur un contexte de paiement habituel, instiller une pression temporelle, et compter sur le fait que vous ne vérifiez pas.
Qui sont vraiment les victimes du quishing ?
On imagine volontiers que les victimes sont des personnes âgées ou peu à l’aise avec la technologie. C’est une erreur de jugement confortable. Les données montrent que les cadres dirigeants sont 42 fois plus ciblés que les employés ordinaires par des attaques de quishing, précisément parce qu’ils disposent d’accès étendus aux systèmes d’entreprise. Un compte compromis au niveau direction peut ouvrir des portes autrement inaccessibles pour un cybercriminel.
Mais au fond, les vrais facteurs de vulnérabilité ne sont ni l’âge ni le niveau technique. Ce sont l’urgence et le contexte familier. L’automobiliste pressé devant une borne de recharge. L’employé en déplacement qui scanne un QR code dans un email professionnel. Le voyageur dans un hôtel qui accède à la carte des services via le code affiché dans la chambre. Chaque fois, le piège fonctionne parce que la situation paraît normale et que le temps manque pour la remettre en question. En 2023, près d’un utilisateur de smartphone sur cinq avait scanné un code QR malveillant sans le savoir.
Comment reconnaître un QR code piégé avant de scanner
Soyons honnêtes : aucune technologie ne permet aujourd’hui de détecter à coup sûr un QR code frauduleux avant de l’avoir scanné. La meilleure défense reste l’oeil humain, quelques secondes d’attention, et des réflexes bien ancrés. Plusieurs indices doivent vous alerter :
- Un autocollant mal positionné, qui recouvre visiblement un autre QR code ou dont les bords sont décollés
- Une URL suspecte affichée après le scan : domaine inhabituel, faute d’orthographe dans le nom de domaine, raccourcisseur d’URL masquant la destination réelle
- Un contexte inhabituel : QR code reçu dans un email non sollicité, accompagné d’un message d’urgence
- L’absence de certificat HTTPS sur la page d’accueil après redirection
- Un design légèrement différent du site officiel, des logos flous, une mise en page approximative
Une astuce simple, souvent ignorée : la plupart des smartphones affichent un aperçu de l’URL avant d’ouvrir le lien. Prenez deux secondes pour la lire. Si l’adresse ne correspond pas exactement au service attendu, ne continuez pas. Pour les parkings et bornes de recharge, préférez systématiquement l’application officielle de l’opérateur plutôt que le QR code affiché sur la borne.
J’ai scanné un QR code suspect : que faire dans les premières heures ?
Vous venez de réaliser que vous avez peut-être scanné quelque chose de frauduleux. Pas de panique, mais agissez vite. Chaque minute compte, surtout si des données bancaires ont été saisies. Voici les étapes à suivre dans l’ordre :
- Fermer immédiatement la page sans rien saisir, si ce n’est pas déjà fait
- Faire opposition sur votre carte bancaire via le numéro interbancaire disponible 24h/24 et 7j/7 au 0 892 705 705, ou directement auprès de votre banque
- Changer vos mots de passe sur tous les services concernés, notamment si vous avez utilisé les mêmes identifiants
- Signaler sur Cybermalveillance.gouv.fr ou via la plateforme 17Cyber pour obtenir une assistance adaptée
- Déposer plainte au commissariat, en gendarmerie, ou en ligne via la plateforme THESEE du ministère de l’Intérieur
- Signaler le site frauduleux sur Phishing Initiative ou sur PHAROS (internet-signalement.gouv.fr)
Sur la question du remboursement bancaire : certains établissements exigent la copie du dépôt de plainte pour instruire votre demande. Ne l’oubliez pas. Et gardez toutes les preuves disponibles, captures d’écran, messages reçus, relevés de compte, avant de supprimer quoi que ce soit.
Les entreprises face au quishing : une menace sous-estimée
Le monde professionnel est une cible de choix, et les chiffres le confirment. Dans les secteurs de l’énergie, de l’industrie et du commerce de détail, près de 29 % des emails de phishing contenaient un QR code malveillant en 2024. La raison est structurelle : en entreprise, les employés scannent souvent avec leur téléphone personnel, qui se trouve hors du périmètre sécurisé géré par les équipes informatiques. Les protections installées sur les postes de travail ne s’appliquent pas au smartphone du collaborateur. C’est une faille béante.
La bonne nouvelle, c’est que des mesures simples réduisent considérablement l’exposition. Sensibiliser les équipes aux réflexes de vérification, définir une politique claire sur l’usage des QR codes dans les processus internes, et former les collaborateurs à identifier les signaux d’alerte dans les emails professionnels. La Gendarmerie nationale a d’ailleurs lancé une campagne de prévention dédiée au quishing, signe que la menace est prise au sérieux au niveau institutionnel.
Quishing et intelligence artificielle : la prochaine vague
Si le quishing est déjà redoutable dans sa forme actuelle, l’intelligence artificielle est en train d’en décupler la sophistication. Des outils IA permettent aujourd’hui de générer en quelques secondes des pages de phishing quasi indétectables, personnalisées en fonction de la cible, avec des visuels, des logos et des formulations adaptés à chaque secteur d’activité. Le faux site bancaire qui ressemble trait pour trait à votre banque habituelle n’est plus le fruit de longues heures de travail, c’est une affaire de minutes.
La tendance qui monte concerne la combinaison du quishing avec des techniques de deepfake vocal ou vidéo. Un email contenant un QR code peut désormais être accompagné d’un message audio ou vidéo imitant la voix d’un dirigeant, d’un conseiller bancaire, ou d’un collègue. La superposition de plusieurs couches de crédibilité rend la détection humaine de plus en plus difficile. En 2023, les incidents de quishing ont augmenté de 587 % par rapport à l’année précédente. Ce n’est pas une anomalie, c’est une trajectoire.
Dans un monde où scanner est devenu aussi instinctif que respirer, la vigilance n’est plus une option : c’est la seule ligne de défense qui ne peut pas être contournée par un algorithme.
