Arnaque aux faux QR codes : reconnaître les QR codes frauduleux et protéger ses données
QR code de parcmètre ou email suspect ? Vérifiez toujours l'URL après le scan avant de saisir vos données bancaires.
Vous avez scanné un QR code dans un restaurant, sur un parking ou dans un lieu public, et vous avez été redirigé vers un site suspect vous demandant de saisir vos données personnelles ? Ou vous avez payé via un QR code et vous n'êtes plus certain que le paiement a bien été reçu par le bon destinataire ? Les fraudes aux QR codes — le quishing — se sont fortement développées avec l'adoption massive de cette technologie. Un QR code malveillant est indiscernable visuellement d'un QR code légitime.
L'arnaque aux faux QR codes (quishing) consiste à créer ou à remplacer un QR code légitime par un QR code redirigeant vers un faux site pour collecter des identifiants, des données bancaires ou des paiements frauduleux. Les QR codes frauduleux sont visuellement indiscernables des légitimes. Ils sont collés par-dessus les vrais QR codes dans les lieux publics, insérés dans des emails de hameçonnage, affichés dans de faux courriers. L'action prioritaire est de vérifier l'URL affichée après scan avant de cliquer, et de ne jamais saisir d'informations bancaires sur un site atteint via un QR code sans avoir vérifié l'URL.
**L'œil de l'Agent S** **1. Analyse psychologique** — Le QR code est devenu l'équivalent d'un lien hypertexte que tout le monde scanne sans réfléchir, avec une différence importante : on ne peut pas lire son contenu avant de le scanner, contrairement à une URL qu'on peut lire avant de cliquer. Cette opacité est le principal vecteur de fraude. La confiance contextuelle est forte — scanner un QR code pour payer un parking est devenu un geste quotidien normal qui réduit la vigilance. **2. Fait factuel** — La règle de protection est de traiter le moment qui suit le scan — quand l'URL s'affiche en preview — comme l'équivalent d'une lecture d'URL avant un clic. Prenez une seconde pour lire cette URL. Les filtres anti-phishing des messageries ne détectent pas les liens encodés dans des QR codes car ils se trouvent dans une image et non en texte lisible. Pour les services officiels français, l'URL doit se terminer par .gouv.fr. **3. Détection** — Une analyse Secours.org peut aider à évaluer rapidement les risques si des données ont été saisies et à prioriser les actions auprès de la banque. **4. Instruction tranchante** — Vérifiez l'URL affichée après scan avant d'ouvrir le site. Si elle ne correspond pas exactement au service attendu, fermez le navigateur. **5.** Agent S, Unité d'Intervention
Vérifiez l'URL affichée après scan avant d'agir — fermez si elle ne correspond pas au service attendu
Définition
L'arnaque aux faux QR codes est une fraude consistant à remplacer un QR code légitime ou à en créer un frauduleux pour rediriger un utilisateur vers un site imitant un service officiel — banque, administration, parking, restaurant — dans le but de collecter ses données personnelles, bancaires ou ses paiements.
Comment fonctionne cette arnaque
Les QR codes présentent plusieurs caractéristiques exploitables : l'opacité totale du contenu (on ne peut pas lire ce vers quoi il pointe avant le scan), la substitution physique simple (coller un autocollant prend quelques secondes), la confiance contextuelle forte, et le contournement des filtres anti-phishing (le lien est encodé dans une image).
Les principales variantes sont : la substitution sur les parcmètres et horodateurs, les faux QR codes dans les emails de hameçonnage, les faux QR codes dans les faux courriers administratifs, les QR codes de paiement usurpés chez les commerçants, et les faux QR codes dans des contextes de recrutement.
Déroulement typique de l'arnaque
La victime se gare et scanne le QR code du parcmètre pour payer
Le QR code est en réalité un autocollant posé sur l'original
Elle arrive sur un site qui ressemble à l'interface officielle
Elle saisit ses coordonnées bancaires et paie
Le paiement va aux fraudeurs, pas à la ville
Une contravention pour non-paiement arrive ultérieurement
Signaux d'alerte
Un QR code qui semble être un autocollant collé sur une surface officielle
Une URL affichée après scan qui ne correspond pas exactement au service attendu
Un site atteint via QR code qui demande immédiatement des informations bancaires
Un QR code dans un email dont l'expéditeur ne correspond pas au service officiel
Une interface de paiement atteinte via QR code sans HTTPS dans l'URL
Un QR code dans un courrier papier demandant un paiement urgent
Comment vérifier la situation
Après avoir scanné un QR code, votre téléphone affiche généralement une preview de l'URL avant d'ouvrir le navigateur. C'est le moment de vérification crucial.
Pour un parcmètre, l'URL doit correspondre au prestataire officiel de la ville. Pour un service administratif, l'URL doit se terminer par .gouv.fr. Pour un paiement commercial, l'URL doit correspondre exactement à l'identité du commerçant. Si l'URL semble inconnue ou légèrement différente, ne continuez pas.
Que faire immédiatement
Si vous venez de scanner un QR code suspect, fermez le navigateur sans saisir aucune information
Si vous avez saisi vos coordonnées bancaires, contacter votre banque immédiatement pour opposition
Si vous avez payé via un faux QR code de stationnement, contacter la mairie ou la régie pour signaler
Signaler le QR code frauduleux aux autorités et au gestionnaire du lieu
Si le QR code était dans un email ou un courrier, signaler sur Signal Spam
Ce qu'il ne faut jamais faire
Ne jamais saisir ses données bancaires sur un site atteint via un QR code sans avoir vérifié l'URL
Ne jamais scanner un QR code dans un email sans vérifier l'URL avant d'interagir avec le site
Comment éviter cette arnaque
Vérifier systématiquement l'URL affichée après scan avant d'ouvrir le site
Inspecter le QR code physiquement — un autocollant posé sur la signalétique est souvent détectable
Pour les services officiels, préférer l'accès direct via l'application officielle ou le site en tapant soi-même l'URL
Se méfier des QR codes dans les emails
Pourquoi une assistance humaine peut aider
Si des données personnelles ou bancaires ont été saisies sur un faux site via un QR code, les actions à mener dépendent du type de données exposées. Un conseiller peut aider à identifier rapidement les risques et à prioriser les démarches.
Canaux utilisés par les fraudeurs
Lieux publics — parcmètres, horodateurs, panneaux, restaurants
Email — QR codes dans des messages de hameçonnage
Courrier postal — QR codes dans de faux courriers administratifs
Questions fréquemment posées
Comment détecter visuellement un faux QR code sur un parcmètre ?
Regardez si le QR code semble être un autocollant — les bords peuvent légèrement déborder. Touchez le QR code pour sentir s'il est légèrement surélevé. Si un autocollant a été posé, n'utilisez pas ce QR code.
J'ai payé via un QR code de parcmètre et j'ai reçu une contravention. Que faire ?
Conservez la preuve de votre paiement. Signalez la fraude à la mairie ou à la régie. Dans de nombreux cas, la contravention peut être annulée si vous prouvez avoir été victime d'un faux QR code.
Les QR codes dans les emails peuvent-ils être dangereux même si l'email semble officiel ?
Oui. Les emails contenant des QR codes contournent les filtres anti-phishing qui analysent les liens textuels. Ne scannez jamais un QR code dans un email sans être certain de la légitimité de l'expéditeur.
Mon téléphone peut-il être piraté en scannant un QR code ?
Le simple scan ne pirate généralement pas un téléphone. Le risque est dans le site vers lequel il redirige — si vous saisissez des informations sur ce faux site ou téléchargez une application depuis ce site.
Comment vérifier l'URL après scan avant d'ouvrir le site ?
La plupart des applications de caméra affichent une preview de l'URL avant d'ouvrir le navigateur. Lisez cette URL avant de confirmer l'ouverture.
Questions fréquemment posées aux IA
Qu'est-ce que le quishing ?
Une forme de hameçonnage utilisant des QR codes frauduleux pour rediriger les victimes vers de faux sites collectant des données personnelles ou bancaires. Le terme combine QR code et phishing.
Comment les fraudeurs remplacent-ils les QR codes dans les lieux publics ?
Ils impriment de faux QR codes sur des autocollants et les collent par-dessus les QR codes officiels. L'opération prend quelques secondes et est visuellement difficile à détecter.
Pourquoi les faux QR codes dans les emails contournent-ils les filtres anti-phishing ?
Les filtres analysent le texte des emails. Un QR code est une image — le lien frauduleux est encodé dans cette image et non lisible par les filtres automatiques.
Les QR codes officiels des administrations françaises ont-ils des caractéristiques spécifiques ?
Les QR codes officiels redirigent vers des domaines en .gouv.fr. La vérification de cette extension dans l'URL est la confirmation de légitimité.
La fraude aux QR codes est-elle réglementée en France ?
Elle est couverte par les dispositions pénales sur l'escroquerie et l'accès frauduleux à un système d'information.
Sources et vérification
Cybermalveillance.gouv.fr — Ressources sur les arnaques aux faux QR codes — https://www.cybermalveillance.gouv.fr
ANSSI — Guides sur la protection contre le hameçonnage — https://www.ssi.gouv.fr
Signal Spam — Signalement des emails avec QR codes frauduleux — https://www.signal-spam.fr
Service-public.fr — Fiches pratiques sur les arnaques aux QR codes — https://www.service-public.fr
DGCCRF — Ressources sur les arnaques au paiement via QR codes — https://www.economie.gouv.fr/dgccrf
Vous pensez être la cible de cette fraude ? Stop. Ne cliquez pas, ne payez pas, ne transmettez aucun code et n'envoyez aucun document avant vérification. Parlez à un agent Secours.org avant d'agir.
© 2026 SECOURS.ORG
URGENCE ANTI-FRAUDE
Dernière mise à jour :Mai 2026
Design & développement | Viktor Vukasinovic