Le quishing est une variante du phishing classique — mais il utilise des QR Codes à la place de faux liens dans les e-mails. L'escroc imprime ou colle un QR Code malveillant par-dessus l'original et attend que vous le scanniez sans réfléchir. La victime est redirigée vers une fausse page de paiement, de connexion ou d'installation d'application.
Pourquoi a-t-il autant progressé ? Parce que le QR Code est devenu une habitude : menu de restaurant, parking, reçu bancaire, arrêt de bus. Cette habitude était le terrain fertile dont les escrocs avaient besoin. Selon les rapports de 2024 et 2025, les attaques de quishing ont augmenté de plus de 300 % en deux ans — et la plupart des gens ne savent toujours pas que cette arnaque existe.
🔍 Comment fonctionne l'arnaque
Le quishing comporte trois étapes simples :
- Remplacement du QR Code. Le criminel imprime un autocollant avec un faux QR et le colle par-dessus l'original — sur le parcomètre, le menu en papier, le reçu imprimé ou même sur des affiches de campagne.
- Redirection invisible. Vous scannez, votre téléphone ouvre une URL. La page semble identique à la banque, au parking ou au service original.
- Vol de données ou d'argent. Vous saisissez votre numéro d'identité, votre mot de passe, ou effectuez un paiement en croyant payer le bon service. L'argent va sur le compte de l'escroc.
Où les attaques se produisent le plus
- Parcomètres et places de stationnement
- Tables de restaurant (QR du menu/paiement)
- Reçus physiques avec QR imprimé par des tiers
- Bornes de recharge pour véhicules électriques
- Affiches "Téléchargez notre appli" dans des lieux physiques
Le détail cruel : le téléphone affiche une URL très petite et beaucoup de gens ne la lisent pas avant de cliquer sur "Continuer".
🛡️ Comment se protéger
Suivez ces bonnes pratiques avant de scanner n'importe quel QR Code :
Vérifiez l'URL avant d'agir
Après avoir scanné, lisez l'adresse complète avant de l'ouvrir. Des domaines comme banque-securisee.app ou paiement-pix.link ne sont pas des sites officiels. Vérifiez toujours que le domaine correspond à l'adresse officielle connue de l'entreprise.
Méfiez-vous des paiements par QR Code d'origine douteuse
- Ne payez jamais via un QR Code imprimé sur une feuille volante reçue par WhatsApp ou e-mail.
- Si le QR provient d'un parking, vérifiez que l'autocollant est intact — sans bulles, rayures ou superposition.
- Préférez générer votre propre QR de paiement depuis l'application de votre banque.
Ne téléchargez pas d'applications via un QR Code inconnu
Les affiches "Téléchargez notre app, scannez ici" sont des vecteurs d'attaque parfaits. Préférez chercher l'application directement dans le Google Play Store ou l'App Store en tapant le nom de l'entreprise.
Vérifiez physiquement l'autocollant
Sur les parcomètres et les tables de restaurant, essayez de soulever le coin de l'autocollant. Un QR Code légitime est généralement imprimé directement sur l'équipement ou sur un support officiel. Autocollant sur autocollant est un signal d'alarme.
Utilisez la prévisualisation du lien
La plupart des applications de caméra Android et iOS affichent l'URL avant de l'ouvrir. Ne sautez jamais cet écran — c'est votre première ligne de défense.
Lire aussi : Le QR Code est-il sûr ? Ce que vous devez savoir pour comprendre les risques généraux liés à l'utilisation des QR Codes au quotidien.
🏢 Pour les entreprises
Si vous utilisez des QR Codes dans vos points de vente physiques, la responsabilité de protéger vos clients vous incombe également.
Utilisez des QR Codes dynamiques
Les QR Codes dynamiques vous permettent de modifier la destination sans réimprimer le code. Cela signifie que si quelqu'un colle un faux QR par-dessus le vôtre, vous pouvez immédiatement désactiver ou rediriger l'original — et tracer les accès.
Avec le générateur de QR Code dynamique Code2Scan, vous contrôlez l'URL de destination, surveillez les scans par date, heure et localisation, et détectez des pics d'accès anormaux qui peuvent indiquer que votre QR a été cloné.
Surveillez les scans
Un QR Code de restaurant légitime a un schéma d'utilisation : déjeuner et dîner, jours de semaine et week-ends. Si vous remarquez des scans à 3 heures du matin ou depuis des villes différentes, quelque chose ne va pas. Utilisez le tableau de bord analytics pour détecter les anomalies.
Voyez comment configurer la redirection conditionnelle pour bloquer les accès en dehors des heures d'ouverture.
Protégez par mot de passe si nécessaire
Pour les QR Codes à accès restreint — documents internes, formulaires RH, liens intranet — utilisez un QR Code protégé par mot de passe. Ainsi, même si quelqu'un le scanne, il ne peut pas accéder au contenu sans identifiant.
Utilisez des supports originaux et scellés
- Imprimez les QR Codes sur du papier résistant ou plastifié.
- Utilisez des supports avec bords fixés ou vissés — plus difficiles à recouvrir.
- Inspectez physiquement les QR Codes de vos points de vente chaque semaine.
- Envisagez d'inclure le logo de votre entreprise au centre du QR — toute substitution devient visuellement perceptible.
❌ Erreurs courantes qui facilitent l'arnaque
- Scanner sans lire l'URL — l'erreur la plus fréquente. La prévisualisation existe, utilisez-la.
- Faire confiance à l'apparence de la page — les fausses pages sont des copies presque parfaites.
- Penser que "ça n'arrivera pas ici" — les attaques de quishing se développent à l'échelle mondiale.
- Ne pas mettre à jour l'application de caméra — les versions anciennes peuvent ouvrir l'URL directement, sans prévisualisation.
- Partager des photos de QR Code par WhatsApp — le destinataire ne sait pas d'où provient l'original.
- Les entreprises qui ne surveillent pas leurs propres QRs — sans analytics, vous ne savez pas si votre code a été compromis.
Évitez aussi les erreurs courantes dans l'utilisation des QR Codes qui compromettent l'expérience et la sécurité de vos clients.
📋 Résumé
- Quishing = phishing via un faux QR Code collé par-dessus l'original.
- L'arnaque se produit dans les parkings, restaurants, sur les reçus et les affiches.
- Avant d'agir, lisez l'URL complète affichée par votre téléphone.
- Ne payez jamais via un QR Code d'origine inconnue.
- Ne téléchargez pas d'applications via QR Code — utilisez le store officiel.
- Vérifiez physiquement la présence d'autocollants superposés.
- Les entreprises doivent utiliser des QR dynamiques avec surveillance pour détecter les attaques.
- Protégez les contenus sensibles avec un QR Code protégé par mot de passe.
Créez des QR Codes dynamiques que vous contrôlez — surveillez les scans en temps réel, changez les destinations sans réimprimer et protégez vos clients contre le quishing avec Code2Scan.
Ou, si vous avez besoin d'un QR simple et rapide, utilisez notre générateur de QR Code gratuit.