Le QR Code fait partie du quotidien — menus, paiements, Wi-Fi, connexion. Et avec lui est venue la question naturelle : est-ce sûr de scanner ? Réponse courte : le QR lui-même n'est pas dangereux, mais il peut mener à des endroits dangereux. Il y a même un nom pour l'arnaque : quishing (phishing par QR Code).

Cet article explique le risque réel, comment reconnaître un QR malveillant, et comment scanner en sécurité — sans paranoïa, mais avec précaution.

Le QR n'est pas le danger — la destination l'est

Important à comprendre : un QR Code n'est qu'un lien encodé en image. Scanner n'installe rien, ne pirate pas votre téléphone, ne vole pas de données tout seul. Le risque est dans où le lien mène.

C'est exactement comme cliquer sur un lien reçu par message : le lien lui-même ne fait rien, mais il peut vous mener à un faux site qui tente de :

  • Voler votre mot de passe (fausse page de connexion)
  • Demander des données de carte (faux paiement)
  • Vous faire télécharger une app malveillante
  • Lancer une arnaque de paiement

Le QR n'est que « l'enveloppe ». Le contenu est ce qui compte.

Qu'est-ce que le quishing

Quishing = « QR » + « phishing ». L'arnaqueur crée un QR qui mène à un faux site, et vous incite à le scanner. Tactiques courantes :

🏷️ Faux autocollant par-dessus le vrai

Le classique. Dans un parking, horodateur, affiche de paiement, l'arnaqueur colle un autocollant avec son QR par-dessus le QR officiel. Vous scannez en croyant que c'est le paiement légitime, mais l'argent va sur son compte.

📧 QR dans un faux email/courrier

« Votre compte va être bloqué, scannez le QR pour vérifier. » Le QR mène à une fausse page de banque qui vole votre mot de passe.

🪧 QR altéré dans un lieu public

Une affiche « Wi-Fi gratuit » ou promo avec un QR qui mène à une page malveillante.

💸 Faux QR de paiement

Un faux QR de don ou de facture, avec le compte de l'arnaqueur. Vous payez en croyant que c'est pour un endroit, ça va à un autre.

Comment reconnaître un QR suspect

⚠️ Signaux d'alerte

  1. Un autocollant par-dessus un autre — si le QR semble collé par-dessus quelque chose, méfiez-vous. Surtout sur un horodateur, table de restaurant, affiche de paiement.

  2. Un domaine étrange dans le lien — après scan, le téléphone montre le lien avant d'ouvrir. Regardez : le domaine correspond-il à l'entreprise ? paiement-banque-securise.xyz n'est pas le site de votre banque.

  3. Un raccourcisseur suspect — des liens très courts (un bit.ly générique) cachent la vraie destination. Pas toujours une arnaque, mais ça demande de l'attention.

  4. Demande une connexion ou un paiement inattendu — si vous avez scanné un menu et qu'il demande soudain votre mot de passe bancaire, quelque chose ne va VRAIMENT pas.

  5. Urgence et menace — « Agissez maintenant ou votre compte sera bloqué » est une tactique classique d'arnaque.

  6. Fautes d'orthographe / design bâclé — une page de destination mal faite, avec des erreurs, est un drapeau rouge.

Comment scanner en sécurité (checklist)

✅ Avant de scanner

  • Le QR est-il dans un endroit officiel et de confiance ? (pas un autocollant suspect détaché)
  • Semble-t-il collé par-dessus un autre QR ? Ne scannez pas.

✅ Après le scan (avant de toucher le lien)

  • Lisez le lien qui apparaît à l'écran. iPhone et Android montrent l'adresse avant d'ouvrir.
  • Le domaine correspond-il à qui il devrait être ?
  • Est-ce HTTPS (cadenas) ? (ne garantit pas la sécurité, mais HTTP pur c'est pire)

✅ Ne faites jamais par QR

  • N'entrez pas votre mot de passe bancaire sur une page ouverte par un QR auquel vous ne faites pas confiance à 100%.
  • N'entrez pas vos données de carte dans un paiement arrivé par un QR non fiable.
  • Ne téléchargez pas d'app d'une source inconnue via QR.

✅ Pour un QR de paiement

  • Vérifiez le nom du destinataire avant de confirmer. L'app de paiement montre à qui vous payez — si ce n'est pas qui ça devrait être, arrêtez. Voir le guide du QR de paiement.

Pour les entreprises : comment protéger VOTRE QR

Si vous utilisez le QR dans votre business, protégez les clients :

  1. Matériau résistant à l'altération — un QR gravé/imprimé de façon à ne pas être facilement recouvert. Sur un horodateur/borne, utilisez une plaque fixe, pas un autocollant facile à couvrir.

  2. QR dynamique avec domaine propre — si le redirecteur utilise votre domaine (code2scan.com/q/...), le client voit un lien reconnaissable. Comprendre le QR dynamique.

  3. Surveillez les scans — un QR dynamique montre des schémas anormaux. Un pic étrange de scans peut indiquer une altération.

  4. Éduquez le client — « Vérifiez que le paiement est pour [VOTRE ENTREPRISE] avant de confirmer ».

  5. Testez vos QR régulièrement — scannez-les vous-même pour vous assurer qu'ils mènent au bon endroit. Erreurs courantes.

La vérité : peut-on utiliser le QR en toute tranquillité ?

Oui. Avec du bon sens, le QR Code est sûr au quotidien. Le risque du quishing est réel, mais évitable :

  • Scanné ? Regardez le lien avant de toucher.
  • Demandé un mot de passe/carte/paiement inattendu ? Arrêtez.
  • Le QR semble altéré (autocollant dessus) ? Ne l'utilisez pas.

C'est la même prudence que vous avez déjà (ou devriez avoir) avec les liens d'email et SMS. Le QR n'a pas créé un nouveau danger — c'est juste un canal de plus pour le même genre d'arnaque qui existe déjà.

Résumé

  1. Le QR n'est pas dangereux — sa destination peut l'être.
  2. Quishing = arnaque qui utilise le QR pour vous mener à un faux site.
  3. Lisez toujours le lien avant d'ouvrir (le téléphone le montre).
  4. Méfiez-vous d'un autocollant dessus, d'un domaine étrange, d'une demande de mot de passe/paiement inattendue.
  5. Pour les paiements, vérifiez le destinataire avant de confirmer.
  6. Entreprises : utilisez un QR dynamique avec domaine propre et un matériau anti-altération.

Créez des QR Codes sûrs et traçables — avec un domaine reconnaissable et un suivi.