§ 01 article

Reconnaître un faux QR code (éviter le qrishing)

auteur: L'équipe QR Toolkit · publié: 2026-05-21

#faux QR code#qrishing#arnaque QR code#sécurité QR code

La règle d’or contre les faux QR codes tient en une phrase : prévisualise toujours le lien avant de l’ouvrir et vérifie le domaine. Un QR code n’est qu’un raccourci visuel vers une adresse — il ne peut pas te dire si cette adresse est honnête. L’arnaque, qu’on appelle « qrishing » (phishing par QR code), consiste à te faire scanner un code qui ouvre une page piège imitant un site connu pour te voler tes identifiants ou ton numéro de carte. La bonne nouvelle : un coup d’œil au lien avant de cliquer suffit à déjouer la quasi-totalité de ces pièges.

Voici comment ça marche, où ça se cache, et le réflexe simple qui te protège.

C’est quoi le qrishing ?

Le qrishing, c’est du hameçonnage qui utilise un QR code comme appât. Le principe est toujours le même : un escroc te pousse à scanner un code, le code ouvre une fausse page, et cette page te demande des informations sensibles (identifiants, coordonnées bancaires, code de connexion).

Ce qui rend l’attaque efficace :

  • Un QR code est illisible à l’œil nu — tu ne peux pas voir où il mène avant de le scanner.
  • On fait confiance par habitude aux codes collés sur un mobilier « officiel » (parcmètre, borne, menu).
  • Le lien s’ouvre souvent dans le navigateur d’un coup, sans étape de vérification.

Où se cachent les faux QR codes

Les escrocs ciblent les endroits où scanner paraît normal :

  • Autocollants par-dessus le vrai code. Sur un parcmètre, une borne de paiement ou une affiche, un faux code est collé pile sur l’original. À distance, c’est invisible.
  • Faux PV ou « amendes » sur le pare-brise. Un papier officieux te demande de scanner pour « payer en ligne ».
  • Bornes de recharge et parkings. Cibles classiques parce que le paiement par QR y est courant.
  • E-mails et courriers. Un QR code dans un message qui imite ta banque, La Poste ou une livraison.
  • Faux menus et flyers dans des lieux publics, qui renvoient vers des pages de paiement bidon.

Le réflexe qui te sauve : prévisualiser le lien

Quand tu scannes un code, ton téléphone affiche d’abord l’adresse vers laquelle il pointe — avant d’ouvrir quoi que ce soit. Ne saute jamais cette étape. Prends deux secondes pour lire le domaine.

Quelques signaux d’alerte sur le lien :

  • Un domaine sosie. paypa1.com, labanque-secure.net, amaz0n-fr.com : un caractère changé, un mot ajouté, un tiret de trop. Le vrai domaine est court et net.
  • Un raccourcisseur de liens (bit.ly, tinyurl…) qui masque la vraie destination sur un support officiel : méfiance.
  • Une faute ou une extension bizarre (.xyz, .top, un sous-domaine interminable).
  • Une demande immédiate de paiement ou de connexion sur une page atteinte par un code collé en pleine rue.

QR Toolkit affiche le lien décodé avant de l’ouvrir, et le décodage se fait directement sur ton appareil. Tu lis l’adresse en clair, tu décides ensuite — c’est exactement le moment où tu attrapes un faux code.

La check-list anti-faux QR code

Avant d’agir sur un code scanné, passe en revue :

  • Le code est-il physiquement collé par-dessus un autre ? Gratte légèrement le bord du sticker du regard : un autocollant qui en recouvre un autre est suspect.
  • Le domaine est-il exactement celui attendu ? Compare lettre à lettre avec le site officiel que tu connais.
  • La connexion est-elle en HTTPS et le nom de domaine cohérent avec l’organisme ?
  • La page te presse-t-elle de payer ou de te connecter tout de suite ? L’urgence est la signature du hameçonnage.
  • En cas de doute, n’ouvre pas. Va sur le site officiel par tes propres moyens, ou paie au guichet / via l’appli officielle.

Que faire si tu as scanné un faux code

Pas de panique, et agis dans l’ordre :

  • Tu as seulement scanné sans rien saisir : ferme l’onglet, rien n’est compromis. Le scan seul ne vole pas tes données.
  • Tu as saisi un mot de passe : change-le immédiatement sur le vrai site, et active la double authentification.
  • Tu as donné des infos bancaires : appelle ta banque pour faire opposition et surveille tes opérations.
  • Signale. En France, tu peux signaler une arnaque sur la plateforme officielle de signalement et prévenir l’organisme imité.

En résumé

Un QR code ne sait pas mentir tout seul — c’est la page derrière qui ment. Ton arme, c’est la prévisualisation : lis toujours le lien, vérifie le domaine caractère par caractère, méfie-toi des codes collés en pleine rue et des demandes de paiement pressantes. Avec un scanner qui affiche le lien avant de l’ouvrir, comme QR Toolkit, tu gardes la main à chaque scan.

Questions fréquentes

Un QR code peut-il pirater mon téléphone juste en le scannant ?

Non, pas le scan en lui-même. Un QR code ne contient que des données (le plus souvent un lien) ; il n’exécute aucun programme. Le danger vient de ce que tu fais ensuite : ouvrir une page piège et y saisir tes identifiants. C’est pour ça que prévisualiser le lien avant de l’ouvrir est la protection clé.

Comment vérifier un QR code avant de l’ouvrir ?

Utilise un scanner qui affiche l’adresse décodée avant d’ouvrir le navigateur, comme QR Toolkit. Lis le domaine en entier, compare-le lettre à lettre au site officiel attendu, et méfie-toi des fautes, des raccourcisseurs de liens et des extensions inhabituelles.

QR Toolkit me protège-t-il du qrishing ?

QR Toolkit décode le code sur ton appareil et te montre le lien avant de l’ouvrir, ce qui te laisse le temps de vérifier le domaine et de refuser. C’est une aide pour repérer un faux code, mais la décision finale reste la tienne : c’est ta vigilance sur l’adresse affichée qui te protège.

<< cd /fr/blog