Le quishing, contraction de QR code et de phishing, désigne l’hameçonnage qui passe par un QR code piégé. Le principe reste celui du phishing classique : conduire la victime vers une page frauduleuse ou déclencher une action nuisible. Mais le code à deux dimensions masque l’adresse de destination, ce qui prive du réflexe de vérification que l’on a plus facilement devant un lien écrit dans un courriel.
Comment fonctionne un QR code piégé
Un QR code n’est qu’une adresse encodée sous forme graphique. Une fois scanné, il ouvre le plus souvent une page web. Un code malveillant renvoie vers une page conçue pour ressembler à un site connu (transporteur, banque, service public, place de marché) et destinée à récupérer des données : identité, adresse, coordonnées bancaires, identifiants de connexion.
La page reproduit l’apparence du site légitime et invite à saisir ces informations sous un prétexte crédible : régler des frais de livraison, débloquer un colis, mettre à jour un compte, contester une amende. Dans certains cas, le code peut aussi diriger vers le téléchargement d’une application ou d’un fichier hors des magasins officiels, ce qui expose l’appareil à un logiciel indésirable.
Les scénarios les plus courants
- Faux avis de passage. Un carton glissé dans la boîte aux lettres annonce un colis non distribué et propose de reprogrammer la livraison en scannant un code. Les vrais transporteurs communiquent par des canaux que l’on peut vérifier séparément, sans passer par un code imprimé sur un papier anonyme.
- Colis non sollicité. Un paquet arrive sans commande de votre part, accompagné d’un QR code présenté comme un moyen de connaître l’expéditeur ou de retourner l’objet. La curiosité est le levier de l’arnaque.
- Faux document officiel. Amende, avis d’imposition, notification de service public : le code renvoie vers une page qui imite l’administration et réclame un paiement ou des identifiants.
- Autocollant collé sur un support public. Borne de recharge, horodateur, terrasse de restaurant, affiche : un code frauduleux est collé par-dessus le code d’origine.
Vérifier une URL avant de faire confiance
La plupart des appareils affichent l’adresse de destination avant d’ouvrir la page. C’est le moment décisif : il faut lire cette adresse, et non simplement l’apercevoir.
- Lisez le nom de domaine, pas le reste. Le domaine est le mot situé juste avant le premier
/qui suithttps://. Dansservice.exemple.fr/suivi, le domaine estexemple.fr. C’est lui qui identifie le propriétaire du site. - Méfiez-vous des ressemblances. Les fraudeurs utilisent des variantes proches d’un nom connu : lettres remplacées par des chiffres, tiret ajouté, extension inhabituelle, ou nom réel relégué dans un sous-domaine trompeur (
colis-officiel.suivi-livraison.xyzn’appartient pas au transporteur). - Le cadenas ne prouve rien. Le
httpset le cadenas indiquent seulement que la connexion est chiffrée, pas que le site est honnête. Un site frauduleux peut parfaitement être enhttps. - Attention aux liens raccourcis. Une adresse écourtée masque la destination réelle. En cas de doute, ne l’ouvrez pas.
Un principe simple limite la plupart des risques : plutôt que de scanner un code reçu sans l’avoir demandé, rendez-vous directement sur le site officiel du transporteur, de la banque ou de l’administration en tapant vous-même l’adresse, ou en passant par une application déjà installée. Aucun organisme sérieux n’exige un paiement ou des identifiants au bout d’un QR code imprimé sur un papier isolé.
Bons réflexes et signalement
- Ne scannez pas un QR code dont vous ne connaissez pas l’origine, en particulier sur un colis ou un courrier non attendu.
- Sur un support public, vérifiez qu’un autocollant n’a pas été collé par-dessus le code d’origine.
- Ne saisissez jamais de coordonnées bancaires ou d’identifiants sur une page ouverte depuis un code non sollicité.
- Un organisme officiel (banque, administration) ne demande pas un code confidentiel ou un mot de passe par ce biais.
- En cas de doute sur un SMS ou un message frauduleux associé, vous pouvez le signaler au 33700. Une tentative de phishing peut être signalée sur la plateforme officielle du gouvernement, et une fraude bancaire justifie de contacter sans délai votre banque pour faire opposition.
Le QR code n’est qu’un support : la vigilance porte sur la destination, jamais sur le graphisme du code lui-même. Prendre le temps de lire l’adresse affichée avant de valider suffit à déjouer la plupart de ces pièges.
