Le quishing est la version QR code du phishing. L'attaquant fabrique un QR code dont l'URL pointe vers un site frauduleux, puis le glisse sur un parcmètre, dans une enveloppe non sollicitée, en pied de mail ou sur une affiche publique. La victime scanne sans méfiance, atterrit sur une page imitant la marque ciblée, et saisit ses identifiants ou ses coordonnées bancaires. La technique a explosé depuis 2023, au point que le service public Cybermalveillance.gouv.fr classe désormais le QR code parmi les canaux principaux des campagnes de hameçonnage en France.
Du côté défensif, deux questions reviennent : comment un utilisateur final reconnaît un QR suspect, et comment une entreprise protège ses propres campagnes pour éviter qu'un escroc ne détourne le trafic d'un de ses supports. Cet article traite les deux, avec un tableau comparatif des arnaques les plus courantes, une checklist de réflexes côté utilisateur, et un plan d'action côté responsable marketing ou informatique.
Si vous découvrez seulement le concept de QR code, voyez d'abord QR code dynamique : c'est quoi exactement ?. Pour comprendre pourquoi un QR peut soudainement ne plus fonctionner sans être malveillant, allez directement sur .
C'est quoi le quishing exactement
Le mot "quishing" combine QR et phishing. Le mécanisme est identique au phishing classique : amener une victime sur une page qui imite un service de confiance pour collecter des identifiants ou des données bancaires. La différence tient au support de diffusion : au lieu d'un lien dans un email, le piège est un QR code physique ou imprimé dans un message.
Cette bascule du clic vers le scan a un effet pervers. Sur un téléphone, l'utilisateur voit moins clairement l'URL de destination que sur un ordinateur. Les filtres anti-phishing des messageries professionnelles, qui analysent les liens des emails, ne lisent pas la matrice du QR : un email contenant uniquement une image avec un code intégré passe l'inspection. Une fois sur la page frauduleuse, la session se déroule sur le téléphone personnel, hors des protections informatiques de l'entreprise.
Selon le bilan 2024 de Cybermalveillance.gouv.fr, le quishing et le smishing combinés représentent environ 20 % des attaques de hameçonnage détectées en France sur l'année. Le chiffre était proche de zéro trois ans plus tôt.
Comment ça marche techniquement
Trois étapes, peu de moyens.
Préparation. L'attaquant achète un domaine ressemblant à la cible (secure-paiement-banque.com au lieu de banque.fr), crée une page d'imitation visuelle, puis génère un QR code qui pointe vers ce domaine. Le QR peut être statique ou dynamique : le statique est plus rapide à produire, le dynamique permet de changer la cible au fil de la campagne pour échapper aux blocklists.
Diffusion. Le QR est imprimé sur des stickers collés par-dessus les QR officiels d'un parcmètre, d'un menu de restaurant, d'une borne de rechargement. Variante numérique : un email avec le QR en image, parfois accompagné d'un message "Activez votre nouvelle carte en scannant le code ci-joint". Une autre variante repérée en 2025 par le FBI est l'envoi par la poste de paquets non sollicités contenant un QR code de "vérification".
Exploitation. Une fois la victime sur la fausse page, deux scenarios : soit collecte directe des identifiants (login + mot de passe + 2FA), soit téléchargement d'un malware qui s'installe sur le téléphone. Sur Android, l'installation est techniquement possible si l'utilisateur autorise les sources tierces. Sur iOS, l'attaque se limite généralement au vol d'identifiants via une fausse page web.
Les techniques de quishing les plus courantes en 2026
| Technique | Support | Cible visée | Indice de détection |
|---|---|---|---|
| Sticker sur parcmètre | Mobilier urbain | Conducteurs pressés | Sticker mal aligné, collé sur un autre |
| Faux QR de menu | Restaurants, bars | Clients à table | Sticker amovible, pas intégré au menu officiel |
| Email avec QR en image | Boîte pro | Salariés en télétravail | Message d'urgence, expéditeur non habituel |
| Paquet postal non sollicité | Courrier physique | Particuliers | "Cadeau" inattendu, demande de scanner pour "valider" |
| Affichage public détourné | Gares, transports | Voyageurs | QR collé par-dessus un autre, pas dans la charte de l'opérateur |
| Borne de paiement | Bornes contactless | Acheteurs en magasin | Sticker récent visible sur la borne, contraste avec l'usure |
Comment se protéger côté utilisateur final
Quatre réflexes valent toutes les antivirales.
Lire l'URL avant d'ouvrir. La plupart des smartphones récents affichent l'URL en bas de l'écran après le scan, dans une notification. Si l'adresse ne correspond pas exactement au domaine attendu (avec une variation subtile, un tiret en trop, une faute d'orthographe), ne pas ouvrir. Cybermalveillance recommande explicitement de vérifier le domaine avant tout.
Se méfier des QR collés en double couche. Sur les parcmètres, menus de restaurant et bornes publiques, un sticker récent collé par-dessus un autre est le signal n° 1. Le QR officiel est intégré au support imprimé, jamais ajouté à la main.
Ne jamais saisir d'identifiants après un scan non sollicité. Une banque, un service public ou un opérateur ne demandera jamais de "vérifier vos identifiants" via un QR reçu par courrier ou par email. Si un doute subsiste, ouvrir le site officiel manuellement dans le navigateur, sans passer par le QR.
Bloquer les téléchargements automatiques. Activer la confirmation avant tout téléchargement, et refuser l'installation d'applications hors du store officiel. Cela évite la quasi-totalité des malwares mobiles.
Comment protéger ses propres campagnes côté entreprise
Pour une marque qui distribue des QR codes sur du print, le risque est différent : un escroc peut détourner votre trafic en collant un sticker frauduleux par-dessus votre QR officiel. Le visiteur scanne croyant aller chez vous, atterrit sur une page d'imitation, et associe son expérience négative à votre marque.
Cinq mesures concrètes réduisent fortement l'exposition.
Privilégier le QR dynamique sur un domaine que vous contrôlez. En cas de détection d'une campagne frauduleuse, vous pouvez basculer la cible vers une page d'alerte en deux clics, sans réimprimer vos supports. Voir QR code dynamique ou statique : comment choisir ? pour le détail technique.
Imprimer le QR intégré au visuel, pas en sticker ajouté. Un QR qui fait partie du papier (ou de la plaque émaillée) est beaucoup plus difficile à surcoller crédiblement qu'un sticker amovible.
Ajouter un repère visuel d'authenticité : logo central, frame "Scannez nos QR officiels", URL de référence imprimée en clair sous le code. Un client qui voit l'URL officielle peut détecter une supercherie quand l'URL affichée par son téléphone diffère.
Surveiller les analytics de vos QR dynamiques. Une chute brutale de scans sur un support physique peut signaler un sticker frauduleux qui détourne le trafic. Inversement, un pic de scans hors zone géographique attendue est suspect. Une plateforme comme RankQR affiche en temps réel la ville et l'appareil de chaque scan, ce qui permet de repérer un détournement bien avant les retours clients.
Former les équipes terrain (caissiers, agents d'accueil, serveurs) à inspecter visuellement leurs QR plusieurs fois par jour. Cinq secondes par support, c'est un coût opérationnel négligeable face à une crise de réputation.
Que faire si vous avez scanné un QR malveillant
Trois étapes dans cet ordre.
- Couper toute saisie en cours. Fermer la page sans soumettre le formulaire. Ne pas valider de paiement, ne pas confirmer de 2FA.
- Changer les mots de passe des comptes potentiellement concernés (banque, messagerie, réseaux sociaux), depuis un autre appareil considéré sûr.
- Signaler l'incident sur le portail officiel Cybermalveillance.gouv.fr qui propose une assistance gratuite et déclenche un signalement aux autorités compétentes.
Si un téléchargement a eu lieu, scanner le téléphone avec un antivirus mobile reconnu, et désinstaller toute application apparue récemment et non identifiée.
Pourquoi un QR ne fonctionne soudainement plus
À ne pas confondre avec une attaque : un QR peut cesser de fonctionner pour des raisons banales. Domaine de redirection expiré, abonnement à la plateforme résilié, cible déplacée sans redirection, dégradation physique du sticker. Quatre causes couvrent 90 % des cas, détaillées dans . La durée de vie d'un QR dynamique dépend directement de la pérennité de l'abonnement à son service, traitée dans .
FAQ
Qu'est-ce que le quishing ?
C'est le phishing par QR code. L'attaquant fabrique un QR pointant vers une page frauduleuse, le diffuse sur du mobilier urbain, dans un email ou par courrier, et collecte les identifiants des victimes qui scannent.
Comment savoir si un QR code est malveillant ?
Vérifier l'URL affichée par le téléphone avant d'ouvrir la page. Tout domaine qui ne correspond pas exactement au service attendu, contient des fautes ou ressemble à une variation suspecte est à considérer comme dangereux. Un QR collé en sticker par-dessus un autre est aussi un signal fort.
Un QR code peut-il installer un virus sur mon téléphone ?
Indirectement. Le QR ne contient pas le virus lui-même mais peut rediriger vers une page qui tente un téléchargement. Sur Android, l'installation est possible si l'utilisateur autorise les sources tierces. Sur iOS, l'attaque se limite généralement au vol d'identifiants via une fausse page.
Que faire si j'ai scanné un QR code suspect ?
Fermer immédiatement la page, ne rien saisir, changer les mots de passe des comptes concernés depuis un autre appareil, et signaler l'incident sur Cybermalveillance.gouv.fr.
Une entreprise peut-elle se protéger d'un QR frauduleux collé sur ses supports ?
Oui, en privilégiant le QR dynamique (pour pouvoir basculer la cible vers une page d'alerte), en imprimant le QR intégré au visuel plutôt qu'en sticker amovible, en surveillant les analytics et en formant les équipes terrain à inspecter visuellement les supports.
Conclusion
Le quishing est devenu une technique courante en France, et l'écart entre un QR officiel et un QR frauduleux n'est pas toujours visible à l'œil nu. Du côté utilisateur, quatre réflexes suffisent : lire l'URL, traquer les stickers en double couche, refuser les demandes d'identifiants après un scan non sollicité, bloquer les téléchargements automatiques. Du côté entreprise, basculer en dynamique, intégrer le QR au visuel imprimé, surveiller les analytics et former les équipes terrain réduisent le risque à un niveau gérable.
Pour les questions techniques voisines : détaille les variantes d'arnaque les plus rencontrées, et explique pourquoi un QR peut s'éteindre sans qu'aucune attaque ne soit en cause.