Société
Quishing, quand le QR code se transforme en piège redoutable
Publié le 09 Juillet 2026 à 08h40
Devenu un réflexe pour payer, consulter un menu au restaurant ou se garer, le QR code attire aussi les escrocs. Le quishing, ou hameçonnage par QR code piégé, explose et redirige les victimes vers de faux sites. Décryptage d'une arnaque simple et redoutablement efficace.
Un carré noir et blanc, un coup d'objectif, et le tour est joué. Le QR code s'est imposé dans le quotidien pour sa commodité… et c'est précisément cette confiance aveugle que les fraudeurs ont appris à exploiter. Le terme « quishing », contraction de QR code et de phishing, désigne une variante de l'hameçonnage classique. Plutôt qu'un lien glissé dans un courriel, l'escroc dissimule sa redirection dans un QR code, ce damier décodé en une fraction de seconde. Le procédé connaît une flambée spectaculaire : en France, près de 15 % des personnes ayant scanné un code ces derniers mois ont abouti sur un site suspect ou dangereux, et le volume de messages malveillants l'exploitant a été multiplié par cinq en quelques mois. Discret et bon marché, il est devenu l'outil favori des fraudeurs. Né dans l'industrie japonaise pour tracer des pièces, ce code s'est imposé avec la pandémie avant d'aiguiser les convoitises.
SIMPLE ET REDOUTABLEMENT EFFICACE
La force du procédé tient à son opacité. Contrairement à une adresse web affichée en toutes lettres, un QR code ne révèle rien de sa destination avant d'être scanné. Derrière le carré peut se cacher la copie conforme d'un site bancaire, d'une page de paiement ou d'un service public, conçue pour aspirer identifiants, coordonnées bancaires ou données personnelles. Dans d'autres cas, le scan déclenche le téléchargement d'une application vérolée, capable d'espionner le téléphone. La victime, persuadée d'agir sur un site légitime, livre elle-même les clés de ses comptes. Pire, le faux site la pousse parfois à valider un paiement bien réel, maquillé en simple vérification de sécurité.
MENACE FANTÔME
Les escrocs rivalisent d'imagination pour placer leurs pièges. Un grand classique consiste à coller un faux QR code par-dessus celui d'un horodateur, d'une borne de recharge ou d'un parcmètre, l'automobiliste pressé croyant régler son stationnement. Ailleurs, le code surgit dans un faux avis de passage d'un transporteur, un courriel imitant une administration, un prétendu avis de contravention glissé sous l'essuie-glace, ou même sur la table d'un restaurant. Partout, le scénario mise sur l'urgence et la routine pour court-circuiter la méfiance. Des bornes de trottinettes en libre-service aux affiches de concert, aucun support public n'est vraiment épargné.
LA BANALITÉ DU MAL
Plusieurs facteurs expliquent ce succès. Le geste s'est banalisé au point de ne plus éveiller le moindre soupçon, et l'écran réduit du smartphone tronque souvent l'adresse, masquant les détails qui trahiraient la supercherie. Les fraudeurs recourent en outre à des raccourcisseurs de liens pour brouiller les pistes. Surtout, le téléphone reste rarement équipé des protections qui veillent sur un ordinateur, et la dimension physique du code, collé sur un objet bien réel, lui confère une légitimité trompeuse que n'aurait jamais un lien reçu par message. Pour l'escroc, l'opération ne coûte presque rien : quelques autocollants imprimés suffisent à lancer une vaste campagne.
LES BONS RÉFLEXES
Quelques réflexes suffisent pourtant à déjouer le piège. Après un scan, mieux vaut examiner l'adresse affichée avant de saisir la moindre information, et se méfier de tout QR code non sollicité, fût-il d'apparence officielle. Sur le terrain, un rapide coup d'ongle révèle souvent l'autocollant frauduleux placé sur l'original. Aucune banque ni administration ne réclament d'activer un service ou de payer par ce biais ; dans le doute, saisir soi-même l'adresse du site officiel reste la voie sûre. Certaines applications affichent désormais un aperçu de l'adresse avant l'ouverture, un garde-fou bienvenu. Activer la double authentification et signaler les tentatives sur la plateforme dédiée complètent une parade à la portée de tous.
-
Les inscriptions pour le bal des sapeurs-pompiers de Chalon sont ouvertes - C'est maintenant ! -
Quishing, quand le QR code se transforme en piège redoutable -
Paiement Wero, le nouvel outil des arnaqueurs -
Le Guide MICHELIN révèle sa toute première sélection des grappes au cœur de la Bourgogne en France -
Terrain argileux : l'aide s'élargit face à des risques en hausse -
Les conseils de PETA pour un 14 juillet sans incident pour vos chiens et chats -
L’ARS et la Carsat Bourgogne-Franche-Comté engagées au service de la prévention -
Santenay - La Biennale de sculpture contemporaine trouve refuge au château Philippe le Hardi avec 110 sculptures contemporaines à découvrir -
Dominique Dufour, préfet de Saône-et-loire : «Je n’exclus pas de rendre obligatoire le port du casque sur les trottinettes» -
Pour Marine, de la Star Ac’ aux Nuits Bressanes il n’y avait qu’un pas… -
TotalEnergies inaugure sa plus grande toiture solaire en France en Saône et Loire -
L'édition 2026 du Rallye de la Côte Chalonnaise interdite sur décision préfectorale -
Palinges, Thurey, Ouroux-sur-Saône.. les feux se multiplient ce dimanche après-midi -
Chalon-sur-Saône : Beau succès pour la 10ème journée de dépistage gratuite du Grand Chalon -
TOUR DE FRANCE - Tout le détail pratique de la circulation et du stationnement dans le centre de Chalon du 14 au 16 juillet -
Crossfit Chalon déménage et double sa surface d'accueil devant le succès du concept -
URGENCES HOPITAL DE CHALON - 9,5 heures d'attente ce lundi -
La résurrection contagieuse des Nuits Bressanes -
Élios, le noble chow-chow. Un cœur à adopter au refuge SPA du Chalonnais -
Stratosphérique Christophe Maé, l’astre solaire de la 1ère soirée des Nuits Bressanes -
Les patients du kiné Renko Zelenkauskis offrent des piscines à la SPA du Chalonnais