Comment fonctionnent les attaques par code QR (et comment rester en sécurité)

Q: Qu’est-ce que le quishing ?

Le quishing est du phishing via des codes QR. Les attaquants remplacent les codes QR légitimes par des codes malveillants qui redirigent les victimes vers de fausses pages de connexion ou déclenchent le téléchargement de logiciels malveillants.

Q: La numérisation d'un code QR peut-elle installer des logiciels malveillants ?

Sur la plupart des téléphones modernes, le simple fait de scanner un code QR affiche d'abord un aperçu de l'URL. Cependant, si vous appuyez sur le lien, cela peut conduire à une page qui exploite les vulnérabilités du navigateur ou vous incite à télécharger une application malveillante.

Cybersécurité14 mars 2026·7 min de lecture

Les codes

QR sont devenus omniprésents : menus de restaurant, parcomètres, emballages de produits, billets d'événements. Leur commodité nous a incité à leur faire implicitement confiance. Mais c’est précisément cette confiance que les cybercriminels exploitent dans une vague croissante d’attaques appelées quishing (QR phishing).

Qu'est-ce que le Quishing ?

Quishing combine « QR » et « phishing ». Au lieu de vous envoyer un lien suspect par e-mail, les attaquants placent des codes QR malveillants dans le monde physique ou dans des documents numériques. Une fois scannés, ces codes vous redirigent vers de faux sites Web convaincants conçus pour voler vos informations d'identification, vos informations financières ou installer des logiciels malveillants.

Le FBI a signalé une augmentation de 300 % des cas de fraude au code QR entre 2023 et 2025, avec des pertes dépassant 150 millions de dollars rien qu'aux États-Unis.

5 Méthodes d'attaque par code QR du monde réel

1. Autocollants de parcomètre

Les criminels placent de faux autocollants de code QR sur les codes de paiement légitimes sur les parcomètres. Les victimes scannent le code en pensant qu'elles paient pour un stationnement, mais elles saisissent en réalité les détails de leur carte de crédit sur un site de phishing. Cette attaque a été documentée dans plus de 40 villes américaines.

2. Superpositions de menus de restaurant

Pendant la pandémie, les menus QR sont devenus la norme. Les attaquants exploitent cela en plaçant des autocollants transparents avec des codes QR malveillants sur les tentes des tables des restaurants. Le faux code mène à un site qui imite un menu mais demande des informations de paiement ou l'installation d'une application.

3. Faux avis de livraison de colis

Vous recevez une carte dans votre boîte aux lettres : "Nous avons essayé de livrer votre colis. Scannez pour reprogrammer." Le code QR mène à une page de phishing se faisant passer pour un service de livraison, vous demandant vos identifiants de connexion et vos informations personnelles.

4. Codes QR des e-mails professionnels

Les attaquants intègrent des codes QR dans les e-mails, car les codes QR contournent la plupart des filtres de sécurité des e-mails. L'e-mail peut prétendre provenir du support informatique vous demandant de « scanner pour vérifier votre compte », ce qui mène à une page de collecte d'informations d'identification.

5. Codes QR Wi-Fi publics

De faux codes QR « Wi-Fi gratuit » dans les aéroports, les cafés ou les hôtels peuvent vous rediriger vers un portail captif qui installe un profil de configuration sur votre téléphone, permettant ainsi des attaques de l'homme du milieu sur tout votre trafic.

🧪 Quiz sur la sécurité QR

1. Vous trouvez un code QR sur un parcomètre. Que devez-vous faire en premier ?

Scannez-le et payez immédiatementVérifiez s'il s'agit d'un autocollant placé sur le code originalPrenez une photo et scannez plus tard

2. Un e-mail de code QR de « Support informatique » vous demande de vérifier votre compte. Quelle est l'action la plus sûre ?

Scannez le code QR avec votre téléphoneEnvoyez-le à vos collègues pour vérificationAllez directement sur le site Web de l'entreprise sans numérisation

3. Après avoir scanné un code QR, votre téléphone affiche un aperçu de l'URL. Quelle URL est suspecte ?

https://paypal.com/paymenthttps://paypa1-secure.com/verifyhttps://parking.cityname.gov/pay

Comment vous protéger

Aperçu avant d'appuyer : Vérifiez toujours l'URL affichée par votre téléphone après la numérisation. Recherchez les domaines mal orthographiés ou les caractères suspects.

Vérifiez toute falsification : Sur les codes physiques, recherchez les autocollants placés sur l'original. Les codes légitimes sont généralement imprimés directement sur la surface.

Utiliser l'appareil photo intégré : L'application d'appareil photo native de votre téléphone est plus sûre que les applications tierces de scanner QR, qui peuvent avoir moins de protections de sécurité.

Ne jamais saisir d'informations d'identification : Si un code QR mène à une page de connexion, fermez-la et accédez au site manuellement via votre navigateur.

Évitez les codes QR Wi-Fi : Au lieu de scanner les codes QR pour le Wi-Fi, demandez directement au personnel le nom et le mot de passe du réseau.

FAQ

Qu'est-ce que l'annulation ?

Quishing est un phishing via des codes QR. Les attaquants remplacent les codes QR légitimes par des codes malveillants qui redirigent les victimes vers de fausses pages de connexion ou déclenchent le téléchargement de logiciels malveillants.

La numérisation d'un code QR peut-elle installer des logiciels malveillants ?

Sur la plupart des téléphones modernes, il suffit de scanner un code QR pour afficher d'abord un aperçu de l'URL. Cependant, si vous appuyez sur le lien, cela peut conduire à une page qui exploite les vulnérabilités du navigateur ou vous incite à télécharger une application malveillante.

Comment puis-je savoir si un code QR est sûr ?

Utilisez l'appareil photo intégré de votre téléphone (pas les applications tierces), vérifiez l'aperçu de l'URL avant de l'ouvrir, recherchez les signes de falsification des codes QR physiques et ne scannez jamais les codes provenant de sources non fiables.

Outils associés

Password Generator — créez des mots de passe forts pour les comptes exposés via le phishing QR
Anatomie d'une attaque de phishing