Arnaques QR code : voici comment les éviter

Dans beaucoup de commerces, la scène est devenue banale : un client pointe son téléphone vers un petit carré noir et blanc pour consulter un menu, payer un stationnement, accéder au Wi‑Fi, récupérer une promo. Le geste est rapide, presque automatique.

C’est précisément ce que recherchent les fraudeurs.

Depuis quelque temps, une variante s’impose dans les signalements : le faux QR code (souvent collé par-dessus un vrai, ou glissé dans un message “officiel”). On parle aussi de quishing, une forme d’hameçonnage via QR code décrite par le dispositif public Cybermalveillance.gouv.fr.

Dans cet article evergreen, on va comprendre comment fonctionne une arnaque QR code, reconnaître les scénarios les plus crédibles, et surtout adopter des réflexes simples — efficaces pour les particuliers comme pour les commerçants et artisans.

Comprendre les arnaques aux QR codes : pourquoi ça marche si bien

Un QR code n’est pas “dangereux” en soi. Techniquement, c’est un moyen d’encoder une information (souvent une URL) pour éviter de la saisir à la main.

Le problème, c’est l’opacité : contrairement à un lien écrit, un QR code masque sa destination. Or les fraudeurs adorent ce que vous ne voyez pas.

Concrètement, un QR code malveillant peut :

• rediriger vers un faux site de paiement (parking, livraison, “taxe”, facture) ;
• imiter une page de connexion (messagerie, outil pro, réseau social) et voler des identifiants ;
• pousser à installer une application ou un “outil” qui n’a rien d’officiel ;
• déclencher une action qui paraît logique sur mobile (ouvrir une page, composer un numéro, préparer un message).

Pourquoi c’est efficace ?

1. Confiance par le contexte (un parcmètre, une table de restaurant, un colis).
2. Friction minimale (“scannez ici”, c’est plus simple que taper une adresse).
3. Urgence (payer vite, éviter une majoration, récupérer un paquet, confirmer un accès).

Cybermalveillance.gouv.fr rappelle que la menace est réelle et repose justement sur cette difficulté à identifier un lien lorsqu’il est caché dans un QR code : Le « quishing » : l’hameçonnage par QR code.

Les scénarios les plus courants (exemples réalistes)

Les arnaques évoluent, mais les “décors” restent souvent les mêmes : ceux où l’on scanne sans réfléchir.

1) Parking, horodateurs, bornes de recharge

Un autocollant avec un QR code est posé sur l’appareil, parfois par-dessus l’étiquette légitime. Le visuel promet un paiement “rapide”.

La page qui s’ouvre ressemble à un service municipal… mais le domaine n’a rien d’officiel, et le paiement part ailleurs.

2) Restaurant : menu, commande, avis “Google”

Sur une table ou à l’entrée, un QR code donne accès au menu. Dans la version frauduleuse, la page ressemble bien à un menu… puis propose :

• une “préautorisation” bancaire,
• un module de paiement externe,
• ou une collecte de données (email, téléphone) “pour valider”.

Variante plus sournoise : un QR code “Donnez votre avis” qui mène vers une fausse page de connexion.

3) Colis, avis de passage, papier “officiel”

Un message ou un document imprimé vous pousse à scanner pour “suivre”, “débloquer”, “payer des frais”.

Cybermalveillance.gouv.fr cite notamment des faux avis et des QR codes utilisés dans des mises en scène de type contravention/avis de passage, et rappelle le mécanisme du quishing : Cybermalveillance.gouv.fr.

4) Paiement : fausse cagnotte, fausse facture, fausse remise

On vous propose de payer via QR code (sur un stand, un marché, un flyer, un comptoir). Le client croit payer le professionnel… mais le QR code pointe vers un compte ou un formulaire piloté par un tiers.

Les risques : particuliers ET professionnels peuvent y laisser des plumes

Côté utilisateur (client, salarié, dirigeant)

• Vol de données bancaires (CB, date d’expiration, cryptogramme, 3-D Secure).
• Vol d’identifiants (email pro, outils de gestion, réseaux sociaux).
• Prise de contrôle (si mot de passe réutilisé, ou si l’attaquant récupère des codes).
• Exposition durable : une simple saisie “pour vérifier” peut alimenter d’autres fraudes.

Côté commerçant / artisan

Même quand vous n’êtes pas à l’origine du QR code frauduleux, l’impact peut être direct :

• perte de confiance (“votre QR code m’a arnaqué”) ;
• avis négatifs et bad buzz local ;
• temps perdu à expliquer, rassurer, gérer le litige ;
• dans certains cas, suspicion sur votre dispositif de paiement si le QR code est affiché en vitrine ou au comptoir.

Pour d’autres enjeux de sécurité côté commerce, vous pouvez aussi consulter : Sécurité des commerces : les conseils de Yoann Saturnin de Ballangen.

Comment détecter un faux QR code (pédagogie + signaux d’alerte)

Un bon réflexe : on ne “fait pas confiance” à un QR code, on vérifie sa destination.

Les signaux d’alerte “terrain”

• QR code sur autocollant, mal aligné, ou qui semble recouvrir quelque chose.
• Support abîmé autour du code (traces de colle, surépaisseur, coin qui se décolle).
• Consigne qui met la pression : “paiement immédiat”, “majoration”, “dernier rappel”.
• QR code isolé sans marque, sans explication claire, sans alternative (URL écrite, contact).

Les signaux d’alerte “écran”

Avant d’ouvrir, regardez ce que votre appareil affiche :

• Le nom de domaine n’est pas celui attendu (ex. rien d’officiel, orthographe étrange).
• URL très longue, confuse, ou avec des suites de caractères.
• Utilisation d’un raccourcisseur de lien (vous ne savez pas où vous allez).
• Page qui demande tout de suite : CB, identifiants, code SMS, ou installation d’une app.

La méthode simple en 10 secondes

1. Scannez.
2. Ne cliquez pas tout de suite.
3. Lisez le domaine.
4. Si c’est un sujet sensible (paiement/compte) : fermez, puis passez par le canal officiel (application, site tapé à la main, favoris, facture connue).

Les bons réflexes pour se protéger durablement (iPhone et Android)

On ne vise pas la paranoïa. On vise la répétition de réflexes qui réduisent le risque, même quand on est pressé.

1) Garder le contrôle : “c’est moi qui choisis le site”

Pour un paiement de parking, une livraison, une démarche “administrative” :

• ouvrez votre navigateur,
• tapez l’adresse officielle (ou utilisez vos favoris),
• et seulement ensuite effectuez l’action.

2) Utiliser les protections natives du smartphone

• Mises à jour : elles corrigent des failles et renforcent les filtres anti-fraude.
• Sur iPhone, gardez l’option d’avertissement contre les sites frauduleux active (Safari).
• Sur Android, gardez les protections de navigation (Chrome) et la protection d’applications (type Play Protect) activées.

3) Ne jamais installer une application “sur ordre d’un QR code”

Règle d’or : une app se télécharge via le magasin officiel, après vérification du nom de l’éditeur, des avis, et du contexte. Un QR code qui vous “force” à installer est un drapeau rouge.

4) Sécuriser vos comptes (au cas où)

• Mots de passe uniques (idéalement via gestionnaire).
• Authentification à deux facteurs quand c’est possible.
• Alertes bancaires (notifications de paiement) : c’est souvent ce qui permet de réagir vite.

5) Si vous avez scanné… quoi faire ?

• Si vous n’avez rien saisi : fermez, supprimez, surveillez.
• Si vous avez saisi un mot de passe : changez-le immédiatement (et partout où il est réutilisé).
• Si vous avez payé ou donné des infos bancaires : contactez rapidement votre banque.

Pour être accompagné en France, vous pouvez utiliser le service public d’assistance en ligne 17Cyber.

Conseils spécifiques pour les commerçants et artisans : sécuriser vos propres QR codes

La digitalisation vous rend service (menus, catalogues, prise de rendez-vous). Elle doit aussi protéger votre réputation.

Pour vos contenus numériques, la rubrique Technologie et la rubrique Internet du site peuvent compléter vos pratiques au quotidien.

1) Rendez la substitution visible

• Évitez le QR code “nu”. Ajoutez autour :
  • votre nom / enseigne,
  • l’objet (“Menu officiel”, “Paiement par lien sécurisé”, etc.),
  • une URL alternative lisible (courte) pour les clients prudents.

2) Protégez physiquement l’affichage

• Placez le QR code dans un support difficile à remplacer (cadre, porte-menu fermé, plexi).
• Inspectez régulièrement (ou demandez à l’équipe) : autocollant ajouté ? surépaisseur ?
• Si vous avez plusieurs points (terrasse + caisse), standardisez l’emplacement.

3) Simplifiez la vérification côté client

• Utilisez un lien clair (idéalement votre domaine, ou une page dédiée).
• Évitez les redirections multiples et les liens raccourcis non maîtrisés.
• Pour les usages sensibles (paiement), privilégiez des parcours qui inspirent confiance : page explicative, mentions, contact, cohérence visuelle.

4) Préparez une réponse “service client”

Si un client vous signale un QR code suspect :

• remerciez, retirez le support par précaution,
• proposez l’alternative (URL, carte papier, paiement classique),
• et, si nécessaire, orientez vers 17Cyber ou Cybermalveillance.gouv.fr.

C’est aussi une manière de préserver la confiance : vous montrez que vous prenez le sujet au sérieux, sans dramatiser.

L’arnaque QR code se combat surtout avec un réflexe

L’arnaque QR code prospère sur un automatisme : scanner vite, ouvrir vite, payer vite. La meilleure protection tient en une phrase : ralentir de dix secondes.

Vérifiez le contexte, regardez le domaine, et pour tout ce qui touche à l’argent ou à un compte, repassez par un canal officiel. C’est simple, c’est durable, et c’est valable pour un client comme pour un commerçant.

Pour aller plus loin (sources fiables) :

• Cybermalveillance.gouv.fr – Le « quishing » : l’hameçonnage par QR code
• 17Cyber.gouv.fr – assistance en ligne
• Éclairage presse : Charente Libre – Quishing : cette arnaque aux QR codes…

Appel à l’action (discret) : si vous affichez des QR codes en boutique (menu, catalogue, avis, prise de RDV), faites un “audit express” cette semaine : emplacement, support, URL alternative, contrôle visuel. Dix minutes peuvent éviter une mauvaise surprise.

FAQ – Arnaque QR code

Un QR code peut-il pirater mon smartphone juste en le scannant ?

Dans la majorité des cas, le risque vient surtout de ce que vous faites après (ouvrir le lien, saisir des infos, installer une app). Scannez, vérifiez l’URL, et n’entrez jamais d’informations sensibles si la page n’est pas clairement légitime.

Comment scanner un QR code en sécurité sur smartphone ?

Utilisez un scan qui prévisualise l’adresse, lisez le domaine, évitez les liens raccourcis, et pour les paiements/connexions, passez par l’application ou le site officiel (accès direct, favoris).

Quels sont les signes d’un faux QR code sur un commerce ou un parcmètre ?

Autocollant ajouté, QR code qui recouvre un autre, support abîmé, consigne urgente, absence d’URL alternative. Sur l’écran : domaine incohérent, orthographe étrange, demande de CB ou d’identifiants immédiatement.

Que faire si j’ai payé après une fraude QR code ?

Contactez votre banque sans attendre, surveillez les opérations, et conservez les preuves (capture d’écran, URL, photo du QR code). Pour être guidé, vous pouvez aussi passer par 17Cyber.