Un simple carré noir et blanc collé sur un horodateur, une fausse contravention glissée sous l’essuie-glace, un faux menu de restaurant ou un avis de livraison qui semble parfaitement légitime : le quishing s’est imposé en quelques mois comme l’une des arnaques numériques les plus redoutables de 2026. Le terme, contraction de « QR code » et de « phishing » (hameçonnage), désigne une fraude qui détourne notre confiance désormais aveugle envers ces petits pictogrammes que nous scannons partout, parfois plusieurs fois par jour. Le piège est diablement efficace : il suffit d’un coup d’appareil photo pour basculer vers un faux site qui imite à la perfection celui d’une banque, d’une administration ou d’un transporteur. En France, le phénomène a explosé début 2026 au point d’alerter la Police nationale et plusieurs grands médias dans la même semaine. Comprendre le mécanisme, reconnaître les signaux d’alerte et adopter les bons réflexes n’a jamais été aussi essentiel pour protéger vos données et votre argent.
Le quishing, qu’est-ce que c’est exactement ?
Le quishing est une technique d’hameçonnage qui utilise un QR code comme appât. Concrètement, un escroc crée un code malveillant qui, une fois scanné, redirige la victime vers un site frauduleux, une page de paiement piégée ou le téléchargement d’une application vérolée. La force de cette arnaque tient à un détail psychologique : nous avons appris, pendant la pandémie puis avec la généralisation des paiements sans contact, à scanner des QR codes sans réfléchir. Le code agit comme une boîte noire. Contrairement à un lien écrit dans un e-mail, dont on peut lire l’adresse avant de cliquer, le QR code masque totalement sa destination. On ne découvre l’URL qu’après le scan, et encore, à condition de la regarder attentivement.
Les cybercriminels exploitent aussi le fait que les QR codes contournent une bonne partie des protections classiques. Un filtre anti-spam analyse le texte d’un courriel, mais peine à « lire » une image contenant un code. De même, sur un smartphone, l’écran réduit et la navigation rapide poussent à la confiance. Le quishing combine donc ingénierie sociale et faille technique, ce qui en fait une menace particulièrement difficile à endiguer. Il s’inscrit dans la même famille que l’arnaque par SMS, ou smishing, dont il partage la logique : exploiter un canal du quotidien pour pousser la victime à agir dans l’urgence, sans prendre le temps de vérifier.
Pourquoi le quishing explose en 2026
La progression fulgurante de cette fraude s’explique d’abord par notre adoption massive du QR code. Selon les données relayées par Cybermalveillance.gouv.fr, 66 % des Français déclarent avoir scanné au moins un QR code au cours des trois derniers mois : pour consulter un menu, suivre un colis, se connecter à un réseau Wi-Fi ou régler un stationnement. Cette banalisation a créé un terrain de jeu idéal pour les escrocs. Plus inquiétant encore, 15 % des personnes ayant scanné un code récemment ont abouti sur un site suspect ou dangereux. Autrement dit, près d’un scan sur sept comporte un risque réel.
Le manque de connaissance aggrave la situation. Toujours selon Cybermalveillance.gouv.fr, seuls 6 % des Français savent expliquer précisément ce qu’est le quishing, alors même que 43 % des sondés considèrent désormais les QR codes comme une menace sérieuse. Cet écart entre la perception du danger et la compréhension du mécanisme est précisément ce qui profite aux fraudeurs. Sur le plan financier, l’enjeu est loin d’être anecdotique : près de 38 % des Français déclarent avoir déjà perdu de l’argent à la suite d’une fraude en ligne, pour un préjudice moyen estimé à 933 euros. Le tableau ci-dessous résume les chiffres clés à garder en tête.
| Indicateur | Donnée | Ce que cela signifie |
|---|---|---|
| Français ayant scanné un QR code en 3 mois | 66 % | Le geste est devenu un réflexe quotidien |
| Scans aboutissant sur un site suspect | 15 % | Près d’un scan sur sept présente un risque |
| Français sachant définir le quishing | 6 % | La méconnaissance profite aux escrocs |
| Français percevant le QR code comme une menace | 43 % | La méfiance progresse, mais reste minoritaire |
| Préjudice moyen par victime de fraude | 933 € | Un coût financier loin d’être symbolique |
Les arnaques au QR code les plus répandues
Le quishing ne se limite pas à un seul scénario. Les escrocs ont multiplié les mises en scène pour piéger un maximum de victimes, en s’adaptant aux habitudes de chacun. Certaines campagnes visent les automobilistes, d’autres les consommateurs pressés ou les particuliers en attente d’un colis. Voici les formes les plus fréquemment signalées en France.
- La fausse contravention sur le pare-brise. L’automobiliste retrouve sous son essuie-glace un avis au ton très officiel, orné d’un logo imitant l’ANTAI, avec un QR code pour « régler immédiatement l’amende ». Le lien renvoie vers un faux portail de paiement qui capture les coordonnées bancaires. Rappelons qu’un véritable forfait post-stationnement est envoyé par courrier, jamais déposé sur le véhicule avec un paiement instantané par QR code.
- Les horodateurs et bornes de recharge piégés. Les fraudeurs collent un autocollant par-dessus le QR code authentique de l’appareil. Le conducteur croit payer son stationnement ou sa recharge, mais il alimente en réalité le compte des escrocs et leur livre ses informations de carte.
- Les faux menus et flyers. Dans certains bars et restaurants, un autocollant frauduleux remplace le QR code du menu. Le client est invité à « créer un compte » ou à « payer en ligne », et transmet ainsi ses données sans le savoir.
- Le faux avis de livraison. Un carton « colis non remis » dans la boîte aux lettres, ou un e-mail imitant un transporteur, propose de scanner un code pour reprogrammer la livraison moyennant quelques euros de frais. C’est l’un des prétextes les plus efficaces, car beaucoup de foyers attendent réellement un paquet.
- Le quishing par e-mail professionnel. De plus en plus de campagnes visent les salariés avec un faux message de la banque, des impôts ou du service informatique, invitant à scanner un code pour « sécuriser son compte ». La page de connexion piégée récupère identifiants et mots de passe.
Ce qui rend ces campagnes redoutables en 2026, c’est leur sophistication croissante. Les escrocs s’appuient désormais sur des outils d’intelligence artificielle pour générer automatiquement de faux portails très convaincants, parfois indiscernables des sites officiels. Une page de connexion clonée au pixel près, une orthographe irréprochable, un logo parfaitement reproduit : les indices visuels d’autrefois ne suffisent plus toujours à démasquer l’imposture.
« Le QR code masque sa destination : on ne découvre l’adresse réelle qu’après l’avoir scanné. C’est précisément cette opacité que les escrocs exploitent. » — d’après les recommandations de Cybermalveillance.gouv.fr
Comment reconnaître un QR code piégé
Aucune méthode n’est infaillible, mais quelques signaux doivent immédiatement éveiller votre vigilance. Le premier réflexe est physique : avant de scanner un code apposé dans l’espace public, passez le doigt sur sa surface. Un autocollant collé par-dessus le code d’origine présente souvent une surépaisseur, un bord qui rebique ou un léger décalage. Le deuxième réflexe est contextuel : demandez-vous si le QR code a une raison légitime de se trouver là. Une administration ne vous réclame jamais un paiement en urgence par un code laissé sur votre voiture, et votre banque ne vous demandera pas de scanner un code pour « vérifier » votre compte.
Le troisième réflexe intervient après le scan, au moment crucial où l’URL s’affiche. Prenez le temps de lire l’adresse complète avant d’aller plus loin. Méfiez-vous des noms de domaine légèrement modifiés, des fautes d’orthographe, des extensions inhabituelles ou des adresses raccourcies qui masquent la vraie destination. Le tableau suivant met en regard les signaux d’alerte et le bon réflexe à adopter dans chaque cas.
| Signal d’alerte | Le bon réflexe |
|---|---|
| QR code en relief ou autocollant superposé | Toucher la surface ; ne pas scanner en cas de surépaisseur |
| Demande de paiement urgent et inattendu | Passer par le site ou l’application officielle, jamais par le code |
| URL avec faute, domaine étrange ou lien raccourci | Ne pas valider ; fermer la page immédiatement |
| Page réclamant carte bancaire ou identifiants | Quitter ; saisir ses données uniquement sur un site connu |
| Code reçu par e-mail ou SMS non sollicité | Supprimer le message ; contacter l’organisme par un canal officiel |
Les bons réflexes pour se protéger
La meilleure défense contre le quishing reste une combinaison de prudence et de bonnes habitudes numériques. Aucune application miracle ne vous protégera à votre place : c’est votre comportement au moment du scan qui fait la différence. Voici les règles à intégrer durablement.
- Privilégiez les applications officielles. Pour payer un stationnement ou une recharge, ouvrez directement l’application dédiée (PayByPhone, Flowbird, EasyPark…) plutôt que de scanner un code affiché sur la borne.
- Vérifiez toujours l’URL. Après un scan, lisez l’adresse avant de cliquer. En cas de doute sur l’orthographe ou le domaine, abstenez-vous.
- Ne saisissez jamais vos coordonnées bancaires sur une page atteinte via un QR code non sollicité, surtout si elle invoque l’urgence.
- Activez la double authentification sur vos comptes sensibles. Même si vos identifiants fuient, un second facteur limite fortement les dégâts.
- Utilisez un gestionnaire de mots de passe. Ces outils ne remplissent pas automatiquement vos identifiants sur un faux site, ce qui constitue un signal d’alerte précieux. Notre guide sur le gestionnaire de mots de passe détaille comment bien le choisir.
- Maintenez votre téléphone à jour et soyez attentif aux erreurs de sécurité mobile les plus courantes, qui ouvrent souvent la porte aux attaques.
Le conseil de la rédaction. Adoptez la règle des trois secondes avant chaque scan dans l’espace public : touchez le code pour détecter un éventuel autocollant, demandez-vous s’il a une raison légitime d’être là, puis vérifiez l’URL affichée avant de valider quoi que ce soit. Ces trois secondes de réflexe suffisent à déjouer l’immense majorité des tentatives de quishing. Et si un paiement vous est réclamé, fermez le code et passez par l’application ou le site officiel que vous connaissez déjà.
Commerçants et collectivités : un rôle clé dans la prévention
La lutte contre le quishing ne repose pas uniquement sur les épaules des particuliers. Les commerçants, restaurateurs et collectivités qui déploient des QR codes dans l’espace public ont une responsabilité directe. Un horodateur, une borne de recharge ou un menu affiché deviennent autant de cibles potentielles pour les escrocs, qui n’hésitent pas à superposer leurs autocollants frauduleux. Les professionnels avisés inspectent désormais régulièrement leurs supports, plastifient leurs codes ou les intègrent directement à l’impression pour rendre la falsification plus difficile. Certaines mairies ont commencé à apposer des messages d’avertissement sur les horodateurs, rappelant qu’aucun paiement ne doit transiter par un code douteux.
Du côté des entreprises, la sensibilisation des salariés est devenue indispensable. Une campagne de quishing visant les employés peut compromettre l’ensemble du système d’information à partir d’un seul identifiant volé. Former les équipes à ne jamais scanner un code reçu par e-mail interne sans vérification, instaurer une procédure de signalement claire et tester régulièrement la vigilance par des exercices contribuent à réduire le risque. La protection collective complète ainsi la prudence individuelle : chaque maillon compte, du consommateur pressé au responsable informatique. C’est en combinant ces deux niveaux d’action que l’on peut espérer freiner durablement une fraude qui mise avant tout sur l’inattention et la rapidité d’exécution.
Que faire si vous êtes victime de quishing ?
Si vous avez scanné un code suspect et communiqué des informations, agissez vite : la rapidité limite considérablement les conséquences. Plus tôt vous réagissez, plus vous avez de chances de bloquer une transaction ou de stopper une usurpation avant qu’elle ne fasse de réels dégâts. Voici les étapes à suivre dans l’ordre.
- Contactez immédiatement votre banque si vous avez saisi vos coordonnées bancaires, afin de faire opposition et de surveiller les opérations suspectes.
- Changez vos mots de passe sur tous les comptes concernés, en commençant par votre messagerie, et activez la double authentification si ce n’est pas déjà fait.
- Signalez la fraude sur la plateforme Cybermalveillance.gouv.fr et, le cas échéant, déposez plainte auprès des forces de l’ordre.
- Conservez les preuves : photos du faux QR code, captures d’écran de la page frauduleuse, e-mails reçus. Elles seront utiles pour votre dossier.
- Prévenez votre entourage et, si le code était collé dans un lieu public, alertez l’établissement ou la collectivité concernée pour protéger les autres usagers.
Renforcer plus largement votre hygiène numérique reste la meilleure prévention sur le long terme. Nos conseils pour protéger ses données personnelles au quotidien complètent utilement les réflexes anti-quishing présentés ici.
Foire aux questions sur le quishing
Scanner un QR code peut-il à lui seul pirater mon téléphone ?
Dans l’immense majorité des cas, le simple fait de scanner un code ne suffit pas à infecter votre appareil. Le danger survient après : lorsque vous cliquez sur le lien, saisissez des informations ou installez une application proposée par la page. La vigilance doit donc porter sur ce qui se passe une fois le code scanné, pas sur le scan lui-même.
Les QR codes au restaurant sont-ils dangereux ?
La grande majorité sont légitimes. Le risque vient des autocollants frauduleux collés par-dessus le vrai code. Si l’on vous demande de créer un compte ou de payer en ligne pour consulter un simple menu, méfiez-vous et demandez la carte papier.
Comment savoir où mène un QR code avant de l’ouvrir ?
La plupart des smartphones affichent l’URL en aperçu juste après le scan, avant l’ouverture de la page. Prenez le temps de lire cette adresse. Des applications de scan sécurisé proposent aussi un contrôle du lien, mais rien ne remplace une lecture attentive de l’URL.
Le quishing concerne-t-il aussi les e-mails ?
Oui. De nombreuses campagnes insèrent un QR code directement dans un courriel, en se faisant passer pour une banque, l’administration fiscale ou un service informatique. L’objectif est de contourner les filtres anti-spam qui analysent mal les images. Ne scannez jamais un code reçu dans un message non sollicité.
Existe-t-il une application pour scanner les QR codes en toute sécurité ?
Plusieurs éditeurs d’antivirus proposent désormais des scanners de QR codes qui analysent le lien avant de l’ouvrir et signalent les destinations dangereuses en temps réel. Ces outils apportent une couche de protection supplémentaire, particulièrement utile pour les personnes les moins à l’aise avec le numérique. Ils ne dispensent toutefois pas de vérifier soi-même l’URL : aucune solution n’est fiable à 100 %, et la prudence humaine reste votre meilleur antivirus.
En résumé : la vigilance plutôt que la peur
Le quishing n’a rien d’une fatalité. Cette arnaque prospère sur un geste devenu automatique et sur notre tendance à agir vite, sans vérifier. La parade tient en quelques réflexes simples : toucher le code pour repérer un autocollant, s’interroger sur sa légitimité, lire l’URL avant de valider et ne jamais saisir ses données bancaires sous la pression de l’urgence. En adoptant ces habitudes et en sensibilisant votre entourage, vous réduisez considérablement le risque de tomber dans le piège. Les QR codes restent un outil pratique du quotidien ; il s’agit simplement de retrouver, face à eux, la même prudence que celle que nous appliquons déjà aux liens reçus par e-mail.
Cet article est fourni à titre informatif et de sensibilisation. Il ne se substitue pas à l’accompagnement d’un professionnel de la cybersécurité ni aux consignes officielles. En cas de fraude avérée, contactez votre banque, signalez les faits sur Cybermalveillance.gouv.fr et, si nécessaire, déposez plainte auprès des autorités compétentes.
Passionnée par les pratiques douces et l’équilibre de vie, Nina explore depuis des années les sujets liés à la santé mentale, à la pleine conscience et au développement personnel. Sur Aro31.fr, elle partage des conseils simples, des routines bien-être et des clés pour mieux se connaître et se recentrer. Sa mission : aider chacun à trouver sa sérénité, à son rythme.