Quishing : quand le QR code devient un piège

Temps de lecture estimé : 11 minutes

Vous ouvrez votre boîte aux lettres.

Un courrier de votre banque. Papier épais, logo imprimé, charte graphique parfaite.

À l’intérieur : une nouvelle carte bancaire. Et cette phrase :

« Activez votre carte immédiatement en scannant ce QR code. »

Vous scannez.

Votre compte est vidé en quelques minutes.

Bienvenue dans le quishing.

Qu’est-ce que le quishing ?

Le quishing est la contraction de deux mots : QR code et phishing.

C’est une technique d’arnaque qui utilise un QR code malveillant à la place d’un lien frauduleux classique. L’objectif est identique au phishing traditionnel : vous rediriger vers un faux site pour voler vos identifiants, vos coordonnées bancaires, ou vos codes de validation.

Mais le QR code change tout. Et pas en votre faveur.

Contrairement à un lien dans un email, un QR code ne montre pas l’URL de destination avant que vous le scanniez. Vous ne pouvez pas vérifier où il vous envoie. Vous ne voyez pas l’adresse suspecte. Vous scannez. Et c’est trop tard.

C’est précisément pour cette raison que les escrocs l’ont adopté massivement en 2025 et 2026. Le QR code contourne le réflexe de méfiance que les internautes ont développé face aux liens suspects.

Comment fonctionne une attaque par quishing ?

Le quishing se décline en plusieurs scénarios. Tous reposent sur le même mécanisme psychologique : créer un sentiment d’urgence, proposer un geste simple, et vous empêcher de réfléchir.

Le scénario de la fausse carte bancaire

C’est l’arnaque qui a explosé en France début 2026, alertant la Police nationale, TF1, et France Info dans la même semaine.

Vous recevez dans votre boîte aux lettres un courrier d’apparence parfaitement officielle. Logo de votre banque. Papier cartonné. Formulation bancaire maîtrisée. À l’intérieur, une carte bancaire physique — avec puce électronique, bande magnétique, et logo de votre établissement.

Le message est clair : votre carte doit être remplacée pour des raisons de sécurité. Pour l’activer, scannez le QR code ci-joint.

Une fois le QR code scanné, vous arrivez sur un site frauduleux qui reproduit à la perfection l’interface de votre espace bancaire. Vous entrez vos identifiants. Votre mot de passe. Puis le code de validation reçu par SMS. Les escrocs ont maintenant tout ce qu’il leur faut pour accéder à votre compte.

Comment repérer cette arnaque : une banque n’envoie jamais une carte bancaire à activer par QR code. L’activation d’une vraie carte s’effectue toujours par un premier retrait ou paiement avec votre code secret. Par ailleurs, les fausses cartes ne comportent ni nom, ni prénom, ni numéro — trois éléments obligatoires sur toute carte légitime.

Le scénario du faux PV de stationnement

Vous trouvez un papier sur le pare-brise de votre voiture. Il ressemble à un procès-verbal officiel : logo de la République française, mention d’une amende de 35 euros, délai de 48 heures pour éviter une majoration à 135 euros.

Un QR code vous invite à régler en ligne.

Vous scannez. Vous arrivez sur un faux site d’amendes qui vous demande votre plaque d’immatriculation, puis vos coordonnées bancaires. L’argent ne va pas dans les caisses de l’État, mais directement chez les escrocs.

Cette arnaque a été signalée dans plusieurs grandes villes françaises — Paris, Lyon, Massy — et se propage rapidement.

Le scénario du quishing par courrier administratif

Même logique, avec d’autres expéditeurs usurpés : l’Assurance Maladie, la CAF, les impôts, La Poste. Un faux avis de passage, une fausse notification de remboursement, un faux courrier fiscal — tous contenant un QR code à scanner pour « finaliser votre dossier » ou « recevoir votre paiement ».

Le scénario du quishing en entreprise

Les professionnels ne sont pas épargnés. Des QR codes frauduleux circulent par email professionnel, souvent liés à de fausses notifications Microsoft 365, de faux partages SharePoint, ou de fausses alertes de sécurité d’entreprise. L’objectif : voler les identifiants professionnels pour accéder aux systèmes internes.

Pourquoi le QR code est l’arme parfaite des escrocs

Le phishing par email existe depuis trente ans. Les internautes ont appris — laborieusement — à repérer les liens suspects, les fautes d’orthographe, les expéditeurs douteux.

Le QR code remet les compteurs à zéro.

Il contourne la vérification visuelle de l’URL. Face à un lien texte, vous pouvez lire l’adresse avant de cliquer. Face à un QR code, vous ne voyez rien avant de scanner. L’URL ne s’affiche qu’après — souvent trop tard.

Il exploite un canal nouveau : le courrier physique. Nous avons appris à méfier des emails frauduleux. Nous n’avons pas encore développé le même réflexe face au courrier papier. Un document imprimé inspire instinctivement plus de confiance qu’un message électronique.

Il bénéficie de l’aide de l’intelligence artificielle. Les escrocs utilisent désormais l’IA pour générer des courriers parfaitement rédigés, reproduisant fidèlement la charte graphique des banques et des administrations. Les fautes d’orthographe qui trahissaient autrefois les arnaques ont disparu.

Il bascule l’attaque vers le mobile. Quand vous scannez un QR code, vous passez sur votre smartphone — un environnement où les URLs sont souvent tronquées, où les indicateurs de sécurité sont moins visibles, et où vous êtes moins vigilant.

Les signaux d’alerte à reconnaître

Tous les quishings ne sont pas aussi sophistiqués. Voici les indices qui doivent vous mettre en alerte immédiatement :

Un QR code dans un courrier non sollicité — vous n’avez rien demandé, mais vous recevez une carte à activer, un document à valider, un remboursement à recevoir
Un sentiment d’urgence artificiel — « activez sous 48h », « votre compte sera bloqué », « amende majorée si non-paiement immédiat »
Une carte bancaire sans nom ni numéro — toute carte légitime comporte obligatoirement le nom du titulaire et un numéro visible
Un QR code sur un document administratif inattendu — les administrations françaises n’utilisent pas les QR codes pour collecter des paiements ou des identifiants
Une URL suspecte après scan — vérifiez toujours l’adresse affichée après avoir scanné, avant de toucher quoi que ce soit. Une URL légitime de votre banque commence par le nom exact de votre banque, pas par une suite de caractères aléatoires
Un QR code collé par-dessus un autre — sur les horodateurs, les affiches, les menus de restaurant : des escrocs collent parfois un QR code frauduleux par-dessus le QR code officiel

Ce que vous devez faire face à un QR code suspect

✅ Règle N°1 — Ne scannez jamais un QR code reçu sans l’avoir demandé

C’est la règle fondamentale. Un QR code reçu par courrier, trouvé sur un pare-brise, ou joint à un email non sollicité est suspect par définition. Le bénéfice du doute n’existe pas ici.

Si vous pensez que le courrier pourrait être légitime, contactez directement votre banque ou l’administration concernée — en tapant vous-même leur adresse dans votre navigateur, ou en appelant le numéro officiel que vous connaissez déjà. Jamais via les coordonnées du courrier reçu.

✅ Règle N°2 — Vérifiez l’URL avant d’interagir

Si vous avez scanné un QR code et que vous vous retrouvez sur une page web, ne saisissez rien avant d’avoir vérifié l’URL affichée dans votre navigateur.

Une URL légitime de votre banque ressemble à mabanque.fr ou espaceclient.mabanque.fr. Une URL frauduleuse ressemble à mabanque-activation-securite.com ou activation-mabanque.fr — le nom de la banque est présent, mais ce n’est pas le vrai site.

En cas de doute : fermez l’onglet immédiatement. Ne saisissez rien.

✅ Règle N°3 — Méfiez-vous des QR codes dans les lieux publics

Les QR codes sur les horodateurs, les tables de restaurant, les affiches d’événement peuvent avoir été remplacés par des versions frauduleuses. Avant de scanner, vérifiez visuellement qu’aucun autocollant n’a été collé par-dessus le QR code d’origine.

✅ Règle N°4 — Utilisez un scanner de QR codes avec prévisualisation

Certaines applications de scan affichent l’URL de destination avant de vous y rediriger, vous laissant le choix d’accepter ou non. C’est une protection supplémentaire simple à mettre en place.

Sur iPhone, l’appareil photo natif affiche une notification avec l’URL avant d’ouvrir le lien. Prenez l’habitude de la lire avant de taper dessus.

✅ Règle N°5 — Si vous avez scanné et saisi des informations

Agissez immédiatement :

Contactez votre banque via votre application officielle ou le numéro au dos de votre carte — pas via le courrier reçu
Demandez le blocage préventif de votre carte et la surveillance de votre compte
Changez vos identifiants bancaires depuis un appareil sain
Déposez plainte auprès de la Police ou de la Gendarmerie
Signalez l’arnaque sur cybermalveillance.gouv.fr

⚠️ Important : si vous avez saisi vos identifiants bancaires sur un faux site et validé des opérations, votre banque peut refuser de vous rembourser. En effet, ces opérations ont été techniquement « validées » par vous. C’est pourquoi agir avant toute transaction frauduleuse est crucial.

Le quishing révèle un problème plus profond

Le quishing n’est pas une menace nouvelle dans sa nature. C’est du phishing — une technique vieille comme internet.

Ce qui est nouveau, c’est la surface d’attaque.

Nous avons passé des années à apprendre à méfier des liens dans les emails. Les filtres anti-spam se sont perfectionnés. Les navigateurs affichent des avertissements. Les entreprises forment leurs employés.

Les escrocs ont simplement changé de canal.

Ils sont passés du numérique au physique — le courrier papier — puis de retour au numérique via le QR code. Ce mouvement hybride, entre monde réel et monde numérique, est précisément ce qui le rend difficile à détecter.

Et l’intelligence artificielle amplifie tout. Elle permet de générer des courriers parfaitement localisés, dans le bon français, avec la bonne charte graphique, ciblant les bons établissements bancaires. La barrière technique pour monter une arnaque sophistiquée n’a jamais été aussi basse.

La réponse n’est pas technologique. Elle est comportementale.

Comprendre comment fonctionne l’arnaque. Reconnaître les signaux. Prendre le temps de vérifier avant d’agir. C’est ce qui fait la différence.

Résumé : 5 réflexes à adopter face aux QR codes

Ne scannez jamais un QR code reçu par courrier ou trouvé sur un pare-brise sans l’avoir demandé
Vérifiez toujours l’URL affichée après scan avant de saisir quoi que ce soit
Contactez directement votre banque ou l’administration via vos propres canaux en cas de doute — jamais via le courrier reçu
Inspectez visuellement les QR codes dans les lieux publics avant de les scanner
Agissez immédiatement si vous pensez avoir été victime — contactez votre banque avant toute transaction frauduleuse

Le QR code est un outil pratique. Il est aussi devenu un outil d’arnaque redoutablement efficace.

La différence entre les deux ? Savoir quand faire confiance — et quand ne pas scanner.

Comprendre le risque. Agir simplement. Avancer progressivement.

C’est ainsi que l’on reprend le contrôle.

Articles liés sur Webologie :

Sources : Police nationale — alerte diffusée le 7 février 2026 · Franceinfo · France 3 · Cybermalveillance.gouv.fr — fiche quishing · Économie Matin · ANSSI · masecurite.interieur.gouv.fr

⚠️ Note de mise à jour : Les techniques de quishing évoluent rapidement. Les informations de cet article ont été vérifiées à la date de publication. Si vous constatez une information obsolète, contactez-nous. Nous mettons nos articles à jour dès que nécessaire.

Comprendre le risque.
Agir simplement.
Avancer progressivement.