Image générée par IA1
Vous êtes pressé, vous garez votre voiture en centre-ville, vous scannez le QR code sur le parcmètre pour payer votre stationnement… et sans le savoir, vous venez de donner vos coordonnées bancaires à un escroc. Ce scénario n’est pas de la science-fiction : il se produit régulièrement dans les villes françaises.
Un QR code, c’est quoi exactement ?
Avant de parler de l’arnaque, un petit rappel. Un QR code (Quick Response code), c’est ce petit carré noir et blanc que vous scannez avec l’appareil photo de votre téléphone. C’est tout simplement un lien internet encodé sous forme visuelle. Au lieu de taper une adresse web, vous la scannez.
C’est pratique, c’est rapide, et depuis la pandémie de Covid-19, on en trouve absolument partout : menus de restaurant, bornes de recharge, affiches publicitaires, billets de train, emballages…
Le problème ? Contrairement à un lien classique que vous pouvez survoler avec votre souris pour voir où il mène, un QR code est une boîte noire. Vous le scannez, et vous faites confiance. C’est précisément cette confiance aveugle que les escrocs exploitent.
Le quishing : le phishing version QR code
Le quishing (contraction de “QR code” et “phishing”) consiste à remplacer un QR code légitime par un QR code frauduleux, ou à placer un faux QR code là où les gens s’attendent à en trouver un.
Le principe est le même que le phishing classique : vous êtes redirigé vers un faux site qui imite un site officiel, et on vous demande de saisir vos informations personnelles ou bancaires. La différence, c’est que le vecteur d’attaque n’est plus un e-mail ou un SMS, mais un petit carré imprimé dans le monde physique.
Des exemples concrets
Les faux QR codes sur les parcmètres
C’est l’exemple le plus médiatisé. Des escrocs collent un autocollant avec un faux QR code par-dessus le vrai QR code d’un parcmètre. Vous scannez, vous tombez sur un site qui ressemble à celui de votre ville ou du service de stationnement, vous entrez votre carte bancaire… et l’argent part chez les escrocs. En prime, vous n’avez même pas payé votre stationnement et risquez une amende.
Les bornes de recharge pour véhicules électriques
Même principe : un faux QR code collé sur une borne de recharge renvoie vers un site frauduleux qui imite l’application de recharge. Vous pensez payer votre recharge, vous alimentez le compte en banque d’un pirate.
Les faux avis de passage
Vous trouvez un avis de passage dans votre boîte aux lettres : “Un colis vous attend, scannez ce QR code pour reprogrammer la livraison.” Le QR code mène vers un faux site de La Poste, Colissimo ou DPD qui vous demande de payer de “petits frais de relivraison”. Classique mais efficace.
Les menus de restaurant
Depuis le Covid, beaucoup de restaurants ont remplacé leurs cartes physiques par des QR codes collés sur les tables. Un escroc peut coller son propre QR code par-dessus, redirigeant vers un site qui demande vos informations sous prétexte d’une “carte de fidélité” ou d’un “avis à laisser”.
Les fausses amendes de stationnement
Un faux PV est glissé sous votre essuie-glace, avec un QR code pour “payer l’amende en ligne”. Le site imite le site officiel de paiement des amendes (amendes.gouv.fr) et récupère vos données bancaires.
Pourquoi le quishing est particulièrement vicieux
Le quishing est redoutable pour plusieurs raisons :
- On ne peut pas “prévisualiser” un QR code : contrairement à un lien dans un e-mail qu’on peut survoler avec la souris, un QR code ne révèle sa destination qu’une fois scanné. Sur certains téléphones, l’URL s’affiche brièvement, mais combien de personnes prennent le temps de la lire ?
- On fait confiance au support physique : un QR code imprimé sur un parcmètre ou une affiche officielle inspire confiance. On ne se dit pas “est-ce que ce parcmètre est un faux parcmètre ?” Et pourtant, un simple autocollant suffit à transformer un QR code légitime en piège.
- Les filtres anti-spam ne protègent pas : votre messagerie peut filtrer les e-mails de phishing, mais aucun filtre ne protège contre un QR code collé dans la rue.
- Le téléphone affiche moins d’informations : sur un écran de smartphone, les barres d’adresse sont petites, les URL sont tronquées. Repérer un site frauduleux est plus difficile que sur un ordinateur.
Comment se protéger ?
Inspectez le QR code physiquement
Avant de scanner un QR code sur un parcmètre, une borne ou un support public, regardez-le de près. Est-ce un autocollant collé par-dessus un autre QR code ? Le support semble-t-il avoir été altéré ? Si un QR code semble avoir été ajouté après coup, méfiance.
Vérifiez l’URL affichée
Quand vous scannez un QR code, votre téléphone affiche l’adresse du site avant de l’ouvrir (sur la plupart des modèles). Prenez le temps de la lire. L’adresse correspond-elle au service attendu ? Est-ce bien le site officiel de votre ville, du transporteur, du restaurant ? Vérifiez le nom de domaine avec attention, comme expliqué dans l’article sur le typosquatting.
Ne saisissez jamais d’informations bancaires via un QR code
C’est une règle simple et efficace. Si un QR code vous amène sur un site qui demande votre carte bancaire, fermez la page et passez par l’application officielle du service ou tapez l’adresse du site vous-même dans votre navigateur.
Privilégiez les applications officielles
Pour payer votre stationnement, utilisez l’application officielle (PayByPhone, EasyPark, etc.) que vous aurez téléchargée depuis votre store d’applications. Pour recharger votre véhicule, utilisez l’application du réseau de bornes. Le QR code est un raccourci pratique, mais quand le doute s’installe, passez par la voie classique.
Méfiez-vous des QR codes reçus par courrier ou e-mail
Un QR code dans un e-mail, c’est suspect par nature. Pourquoi mettre un QR code dans un e-mail alors qu’un simple lien suffirait ? Souvent, c’est justement pour contourner les filtres anti-phishing qui analysent les liens mais pas les images.
Que faire si vous avez scanné un faux QR code ?
Si vous pensez avoir scanné un QR code frauduleux et saisi des informations :
- Faites opposition sur votre carte bancaire immédiatement.
- Changez vos mots de passe si vous avez saisi des identifiants de connexion.
- Rendez-vous sur 17Cyber pour obtenir un diagnostic et des conseils.
- Déposez plainte auprès de la police ou de la gendarmerie.
- Signalez le faux QR code à la mairie, au gestionnaire du parcmètre ou au propriétaire du support.
Conclusion
Le quishing est une arnaque en pleine expansion qui profite de notre habitude à scanner des QR codes sans réfléchir. Mais la parade est simple : traitez un QR code avec la même méfiance qu’un lien dans un e-mail. Inspectez le support physique, lisez l’URL affichée, et en cas de doute, passez par l’application officielle du service.
Un QR code n’est qu’un lien déguisé. Et face à un lien, le réflexe reste le même : vérifier avant de cliquer.