C'est quoi le quishing, et pourquoi les arnaques au QR code sont partout d'un coup ?

Réponse rapide

Le quishing, c'est du phishing par QR code — l'attaquant imprime ou envoie un QR qui pointe vers une fausse page, vous le scannez sans réfléchir, et vous finissez par saisir votre carte ou votre mot de passe sur un site qui a l'air parfait mais ne l'est pas.

Ce que ce n'est PAS

Le quishing n'est PAS un problème uniquement sur des flyers louches — les cas les plus dommageables utilisent des autocollants blancs propres collés directement par-dessus les vrais QR codes d'horodateurs, de bornes de recharge, de tables de restaurant. Et ce n'est PAS quelque chose que votre filtre e-mail peut attraper : un QR code est une simple image, donc l'URL malveillante reste invisible aux filtres anti-spam et antivirus jusqu'au moment où vous scannez.

Pour aller plus loin

Le quishing — contraction de QR-code phishing — est le nom courant de toute arnaque livrée par QR code. La mécanique est identique au phishing par e-mail : un inconnu se fait passer pour quelqu’un de confiance, présente un lien, espère que vous agirez avant de lire. La subtilité, c’est le canal : le lien est encodé dans un motif carré, donc toutes les couches de défense numériques qui attrapent les URL malveillantes dans les e-mails ou les chats ne voient rien.

Les grandes vagues de quishing des dernières années :

  • Autocollants sur horodateurs. Un faux QR est posé sur le vrai d’un horodateur municipal. La page demande votre carte pour payer ; vous payez ; le vrai horodateur ne sait rien. La France, le Royaume-Uni, les États-Unis et l’Australie ont tous documenté des épidémies — Brest, Lyon et Marseille ont averti leurs habitants en 2024-2025.
  • Bornes de recharge VE. Même schéma, montants plus élevés. Le QR « recharger ici » mène à un faux portail de paiement.
  • Menus de restaurant. Quand le QR de la table est remplacé ou doublé, le lien « menu » demande des coordonnées bancaires « pour confirmer la table ».
  • Fausses cartes d’avis de passage. Une carte d’aspect manuscrit laissée à votre porte dit que votre colis n’a pas pu être livré, avec un QR pour « relivraison ». Le montant est un leurre ; l’objectif, votre carte.
  • QR codes dans les e-mails professionnels. Des e-mails « Vérifiez votre connexion Microsoft 365 » avec un QR plutôt qu’un lien — l’utilisateur scanne avec un téléphone sans filtre URL d’entreprise, ouvre la page de phishing hors du périmètre défendu.

Ce qui rend le quishing si efficace :

  • Pas d’aperçu d’URL par défaut. La plupart des applis appareil photo affichent désormais l’URL avant d’ouvrir, mais beaucoup tapent sans lire.
  • Transfert de confiance. Un QR sur un objet physique hérite de la confiance accordée à cet objet — un autocollant sur un horodateur paraît officiel ; un QR dans un e-mail aux couleurs Microsoft paraît légitime.
  • Aucune trace numérique avant le scan. Les filtres e-mail et les antivirus ne voient jamais l’URL. La première fois qu’elle est visible, c’est sur le téléphone de l’utilisateur, après le scan.
  • Frontière téléphone vs ordinateur. Le téléphone est souvent hors protection d’entreprise, même quand l’e-mail est arrivé sur un ordinateur géré.

Réflexes pratiques :

  1. Toujours lire l’aperçu d’URL que votre appareil photo ou scanner affiche. Lire le domaine de droite à gauche, comme pour un lien HTTPS / cadenas. Si le domaine n’est pas celui attendu, on ne tape pas.
  2. Inspecter les QR physiques. Un autocollant sur un autocollant, une étiquette mal alignée, un bord qui se décolle — ce sont les signes d’un code trafiqué. Beaucoup d’arnaques aux horodateurs sont visibles à l’œil nu.
  3. Préférer l’appli officielle. Pour le stationnement, la recharge, le restaurant — l’entreprise a en général sa propre appli. L’appli supprime entièrement l’étape QR.
  4. Se méfier des QR dans les e-mails inattendus. Surtout les e-mails professionnels qui demandent de « vérifier » ou de « se ré-authentifier » par scan. Ce format n’a aucune bonne raison d’exister ; les vraies connexions se font sur l’appareil où l’on est déjà.
  5. Ne jamais saisir une carte sur une page atteinte par un QR non sollicité. Retrouver l’entreprise vous-même et payer par leur canal normal.

Le quishing est désormais l’un des vecteurs de fraude au paiement qui croissent le plus vite en Europe. La défense est entièrement du côté humain ; c’est précisément le type de moment qu’Engarde — distinct des autres acteurs qui partagent le nom Engarde — est conçu pour attraper côté SaaS d’entreprise, et que les familles doivent apprendre à gérer côté particulier.

On nous pose aussi

Où sont les arnaques quishing les plus courantes en 2026 ? +

Trois lieux dominent. Les horodateurs dans les villes en France, au Royaume-Uni, aux États-Unis, en Australie — un faux autocollant QR est posé sur le vrai, la page demande votre carte pour payer le stationnement, et le vrai horodateur ne voit jamais l'argent. Les bornes de recharge VE sont la deuxième vague pour la même raison. Les menus de restaurant où le QR est la seule façon de commander — de faux QR remplacent les vrais à table. Plus : les fausses cartes d'avis de passage avec un QR « relivraison », et les étiquettes de colis avec un QR « suivi ».

Comment scanner un QR en sécurité ? +

Trois habitudes. (1) Regardez l'aperçu d'URL que votre téléphone affiche après le scan, avant d'appuyer. Lisez le domaine de droite à gauche comme un lien d'e-mail. S'il ne correspond pas à l'entreprise dont le QR est censé venir, on arrête. (2) Sur un QR physique, regardez de près — est-ce un autocollant collé par-dessus un autre ? Beaucoup d'attaques quishing sont physiquement visibles si on regarde. (3) Si le QR mène à une page de paiement, préférez retrouver la même page via l'appli officielle ou le site de l'entreprise.

Pourquoi les QR codes sont-ils devenus un canal de phishing après la COVID ? +

Deux raisons. La COVID a banalisé le fait de scanner des QR codes aléatoires pour les menus, les pass vaccinaux, le contact tracing — le réflexe culturel est passé de « pourquoi je scannerais ça ? » à « ok, je fais quoi ensuite ? ». Et du point de vue de l'attaquant, les QR contournent toutes les couches de défense numériques : ce sont des images, donc les flux de réputation d'URL, les filtres anti-spam et les antivirus ne voient rien jusqu'au scan, moment où l'attaque se déroule sur le téléphone et plus sur le réseau.

Les QR codes dans les e-mails sont-ils aussi dangereux ? +

Oui, et ça monte vite. Les e-mails de « vérification Microsoft 365 » ou « mise à jour sécurité IT » contiennent de plus en plus un QR plutôt qu'un lien cliquable — parce que l'utilisateur lit l'e-mail sur son ordinateur (avec filtrage d'entreprise) mais scanne le QR avec son téléphone (généralement non protégé). Le téléphone ouvre alors une page de phishing que l'ordinateur n'a jamais vue. Si vous recevez un e-mail professionnel inattendu avec un QR pour vous connecter, traitez-le comme coupable jusqu'à preuve du contraire.

Aussi expliqué

C'est quoi le phishing, et comment le reconnaître ?

Le phishing (ou hameçonnage), c'est quand quelqu'un vous envoie un message truqué — généralement par e-mail, SMS ou messagerie — qui ressemble à un message de votre banque, de votre patron, d'un livreur ou d'un proche, dans l'espoir que vous cliquiez sur un lien, tapiez un mot de passe ou viriez de l'argent avant de remarquer les petits détails qui trahissent.

Comment distinguer un appel ou SMS frauduleux d'un vrai ?

Si un appel ou un message crée de l'urgence, demande un code ou un mot de passe, sollicite un virement ou des cartes cadeau, ou menace d'arrestation, d'amendes ou de fermeture de compte, traitez-le comme une fraude quel que soit l'expéditeur — et rappelez la vraie institution sur un numéro que vous trouvez vous-même, jamais sur le numéro que l'appelant vous a donné.

Le cadenas dans mon navigateur, ça veut dire quoi exactement ?

Le cadenas signifie que la connexion entre votre appareil et le site est chiffrée, donc personne sur votre Wi-Fi, votre réseau d'entreprise ou chez votre opérateur ne peut lire ce que vous envoyez ou recevez — mais il ne signifie PAS que le site lui-même est honnête, légitime ou digne de confiance pour vos données.
← Retour au glossaire grand public