Guide pratique · Mis à jour juillet 2026

QR code piégé : le « quishing » expliqué

Le QR code est devenu un réflexe : on le scanne sans réfléchir, pour payer, consulter un menu, valider une démarche. Les escrocs l’ont bien compris et détournent ce geste anodin. C’est le quishing — le hameçonnage par QR code. Voici comment ne pas tomber dans le piège.

L’essentiel : un QR code peut mener à un faux site qui capte vos données ou votre carte bancaire. Méfiez-vous des QR non sollicités (autocollant sur un horodateur, fausse amende, e-mail, courrier). Après un scan, vérifiez l’adresse avant de saisir quoi que ce soit, et ne payez jamais via un QR reçu de façon inattendue. Passez par les applications et sites officiels. Signalez les QR frauduleux.

1. Le quishing, qu’est-ce que c’est ?

« Quishing » est la contraction de QR code et phishing. Le principe est identique à l’hameçonnage classique, mais l’appât est un QR code au lieu d’un lien. Comme on ne voit pas l’adresse derrière l’image, il est plus difficile de repérer le piège avant d’y être. Le QR renvoie vers un faux site qui imite un service connu et réclame vos identifiants ou vos coordonnées bancaires.

2. Les pièges les plus courants

  • Faux QR sur les horodateurs de stationnement : un autocollant collé par-dessus le vrai renvoie vers une fausse page de paiement.
  • Fausses amendes ou avis reçus par courrier ou e-mail, avec un QR « pour régler rapidement ».
  • QR dans des e-mails prétendant venir de votre banque, d’un livreur, d’un service public.
  • QR affichés dans l’espace public (affiches, flyers) menant à de fausses promotions.

Un QR code n’est qu’un lien déguisé. La question à se poser est la même que pour un lien : « est-ce que je m’attendais à ça, et le site qui s’ouvre est-il bien l’officiel ? »

3. Les bons réflexes

  • Vérifiez l’adresse affichée après le scan avant de saisir quoi que ce soit : le nom de domaine correspond-il au service officiel ?
  • Ne payez pas une amende, un stationnement ou un achat via un QR reçu de manière inattendue. Passez par le site ou l’application officiels, que vous ouvrez vous-même.
  • Méfiez-vous des autocollants : sur un horodateur, un mobilier public, préférez le paiement à la borne ou l’appli officielle.
  • En cas de doute, ne scannez pas.

4. Vous avez saisi vos informations : réagir

Si vous avez renseigné vos coordonnées après un QR douteux, agissez comme pour tout hameçonnage : faites opposition en cas de saisie bancaire, changez les mots de passe concernés, et surveillez vos comptes — voir fraude à la carte bancaire et je me suis fait avoir.

5. Signaler avec Sancto

Repérer un QR suspect, c’est utile ; le signaler l’est encore plus, car cela aide à faire retirer les pièges (un autocollant sur un horodateur, un site frauduleux). Le signalement de Sancto vous aide à consigner le fait — lieu, capture, adresse obtenue — et à l’orienter vers le bon canal officiel. Nos guides signaler une arnaque et le phishing par SMS complètent le sujet.

FAQ — QR code piégé

Qu’est-ce que le quishing ? Le hameçonnage par QR code : un QR renvoie vers un faux site qui capte vos identifiants ou vos données bancaires, comme un lien piégé.

Comment vérifier un QR code avant de payer ? Regardez l’adresse qui s’affiche après le scan : correspond-elle au site officiel ? Dans le doute, n’entrez rien et passez par l’application ou le site officiels.

Les QR des horodateurs sont-ils fiables ? Méfiez-vous des autocollants ajoutés : des faux QR sont parfois collés par-dessus. Préférez le paiement à la borne ou l’application officielle de stationnement.

J’ai payé via un faux QR : que faire ? Faites opposition, surveillez vos comptes et signalez. Contestez tout débit non autorisé auprès de votre banque.

Un QR reçu par e-mail de ma banque est-il sûr ? Méfiance : votre banque ne vous demande pas de vous connecter via un QR reçu par e-mail. Ouvrez vous-même son application ou son site.


Aller plus loin avec Sancto

Le quishing se déjoue en traitant un QR comme un lien : vérifier, ne pas payer dans l’urgence, passer par l’officiel. Le signalement de Sancto vous aide à consigner et orienter un QR frauduleux, en complément des canaux officiels.

Informations générales à jour de juillet 2026, sans valeur de conseil juridique individualisé.

Sancto en pratique

← Tous les articles