Quishing : L'arnaque au QR Code qui explose en France en 2026
Le "quishing" (QR code + phishing) est devenu l'une des menaces les plus insidieuses de 2025-2026. Selon NordVPN, 41% des Français ne vérifient jamais avant de scanner un QR code. Les cybercriminels exploitent cette confiance aveugle pour voler vos données bancaires.
Qu'est-ce que le quishing ?
Le quishing est une technique d'hameçonnage qui utilise les QR codes comme vecteur d'attaque. Contrairement aux liens dans les emails que les utilisateurs ont appris à repérer, les QR codes inspirent encore une confiance quasi-aveugle.
Le principe est simple : les escrocs créent un QR code frauduleux qui redirige vers un site imitant parfaitement un service légitime (banque, transporteur, administration). La victime entre ses informations personnelles et bancaires en pensant être sur le vrai site.
Les 5 formes de quishing les plus répandues
1. Bornes de recharge électrique
Les escrocs collent un faux QR code par-dessus le vrai sur les bornes de recharge. La victime scanne pour payer et atterrit sur un site clone qui récupère ses coordonnées bancaires. Plusieurs cas ont été signalés dans le Loiret et en Île-de-France fin 2025.
2. Fausses contraventions
Un faux avis de contravention avec un QR code est glissé sous votre essuie-glace. Il reprend l'en-tête officiel de la République Française. Le lien mène vers un faux site ANTAI. Plusieurs cas signalés à Melun en 2025.
3. Horodateurs piégés
Un autocollant avec un faux QR code est apposé sur les horodateurs. Au lieu de payer votre stationnement, vous transmettez vos données bancaires aux escrocs.
4. Faux avis de passage
Un faux avis de passage La Poste dans votre boîte aux lettres avec un QR code pour "reprogrammer la livraison". Le site imite parfaitement La Poste ou Chronopost. Règle d'or : ne jamais scanner un QR code pour une action administrative.
5. QR codes dans les emails/SMS
Les escrocs envoient des QR codes par email ou SMS car ils échappent aux filtres anti-spam qui analysent les liens textuels. Les images de QR codes sont considérées comme inoffensives.
Comment repérer un QR code frauduleux ?
🚨 Signaux d'alerte
- • Autocollant collé par-dessus un autre QR code
- • QR code seul sans contexte officiel
- • Demande de paiement via QR code inhabituelle
- • URL raccourcie ou suspecte après le scan
- • Site demandant des infos bancaires complètes
✅ Bonnes pratiques
- • Vérifiez l'URL avant de valider quoi que ce soit
- • Utilisez l'application officielle du service
- • Ne scannez jamais un QR code pour une action urgente
- • Préférez taper l'URL manuellement
- • Méfiez-vous des QR codes dans l'espace public
Que faire si vous avez scanné un QR code suspect ?
Contactez immédiatement votre banque
Faites opposition à votre carte et signalez l'incident.
Changez vos mots de passe
Si vous avez entré des identifiants, modifiez-les immédiatement.
Signalez sur cybermalveillance.gouv.fr
Plateforme officielle du gouvernement pour signaler les fraudes.
Déposez plainte
Au commissariat ou sur la plateforme pré-plainte en ligne.
Règle d'or 2026
On ne scanne jamais un QR code pour une action administrative ou financière. Allez toujours directement sur le site officiel en tapant l'adresse vous-même.
Trustyn détecte les sites frauduleux
Après avoir scanné un QR code, vous pouvez coller l'URL dans Trustyn avant de saisir vos informations. L'analyse IA vérifiera le site en quelques secondes et vous indiquera s'il s'agit d'un site frauduleux ou légitime.
Avec l'extension Chrome Trustyn, vous serez même alerté automatiquement si vous atterrissez sur un site suspect après avoir scanné un QR code.
Vérifiez les liens suspects
Collez l'URL d'un QR code suspect dans Trustyn pour une analyse instantanée.