TutoTech

Quishing : repérer et éviter les faux QR codes

Les faux QR codes se multiplient sur les affiches, colis et emails. Apprenez à détecter le quishing et à éviter les pièges avant de scanner.

Arnaques7 min de lecture
Partager
Quishing : repérer et éviter les faux QR codes

Quishing : repérer et éviter les faux QR codes

Quishing : repérer et éviter les faux QR codes

Le QR code est devenu un réflexe : payer au restaurant, récupérer un colis, se connecter à un Wi‑Fi, télécharger une appli, valider un formulaire... Sauf que les cybercriminels ont trouvé une voie royale pour contourner ta vigilance : le quishing (contraction de QR + phishing). Le principe est simple : te pousser à scanner un faux QR code qui t'envoie vers un site piégé, une page de connexion frauduleuse ou un téléchargement malveillant.

Dans cet article Tuto Tech, tu vas apprendre à repérer les QR codes suspects, à éviter les pièges avant même de scanner, et à adopter les bons réglages sur Android, iPhone, Windows et ton navigateur.

Le quishing, c'est quoi exactement ?

Le quishing est une arnaque où un QR code sert de passerelle vers une action dangereuse. Contrairement à un lien visible dans un email, un QR code cache l'URL tant que tu n'as pas scanné. Résultat : tu peux te faire rediriger vers :

  • un faux site (banque, livraison, Microsoft 365, Google, Apple ID, etc.) pour voler tes identifiants ;
  • une page qui te demande de payer (faux frais de douane, amende, stationnement) ;
  • un téléchargement d'APK ou de profil de configuration (mobile) ;
  • une action automatisée (ex. ouverture d'un lien d'authentification, ajout d'un contact, inscription à un service).

Le danger : tu as l'impression que "c'est officiel" parce que le QR code est sur une affiche, un colis ou un document imprimé. Or, un QR code est très facile à copier, remplacer ou coller par-dessus l'original.

Où se cachent les faux QR codes ?

Le quishing est particulièrement efficace dans les situations où tu es pressé ou en déplacement. Les scénarios les plus fréquents :

  • Affiches et flyers : transports, événements, campus, vitrines, bornes d'information.
  • Parkings / horodateurs : faux QR code pour "payer" le stationnement.
  • Restaurants : QR code de menu remplacé pour te rediriger vers un faux site.
  • Colis : étiquette ou papier "reprogrammation de livraison" avec QR code.
  • Emails et SMS : "Scanne ce QR code pour confirmer ton compte / consulter ta facture".
  • Open spaces : faux QR code "Wi‑Fi invité" ou "imprimante".

Les signes qui doivent te mettre la puce à l'oreille

1) Le QR code semble ajouté "par-dessus"

Sur une affiche, un horodateur ou une borne, regarde si le QR code est :

  • sur un autocollant collé sur un autre QR code ;
  • mal aligné, avec des bords décollés, bulles, traces de découpe ;
  • imprimé avec une qualité différente du reste (couleur, résolution, papier).

2) Le contexte ne colle pas

Un QR code "urgent" pour une livraison alors que tu n'attends rien, un menu qui demande une carte bancaire, une affiche qui te promet un cadeau contre connexion... Si ça n'a pas de sens, ne scanne pas.

3) L'URL affichée après scan est louche

Avant d'ouvrir quoi que ce soit, vérifie :

  • le nom de domaine (ex. micros0ft au lieu de microsoft, ou des domaines longs type service-livraison-secure-pay.example) ;
  • les raccourcisseurs (bit.ly, tinyurl, etc.) qui masquent la destination ;
  • les sous-domaines trompeurs (ex. paypal.securite-exemple.com n'est pas PayPal) ;
  • les extensions inattendues (.top, .xyz, .click) utilisées fréquemment dans les campagnes d'arnaque.

4) La page demande trop vite des infos sensibles

Si après scan on te demande immédiatement :

  • mot de passe, code SMS, numéro de carte, IBAN ;
  • installation d'une appli hors store ;
  • autorisation de profil/MDM sur iPhone ;

considère que c'est hautement suspect.

Checklist : que faire AVANT d'ouvrir le lien du QR code ?

Le bon réflexe, c'est de traiter un QR code comme un lien reçu par email. Voici une méthode simple en 6 étapes :

  1. Inspecte physiquement le QR code (autocollant, surcouche, altération).
  2. Scanne avec l'appareil photo (ou une app de scan fiable) qui affiche l'URL avant ouverture.
  3. Lis l'URL en entier et repère le vrai domaine (la partie juste avant .com/.fr, etc.).
  4. Méfie-toi des liens raccourcis : si possible, ne les ouvre pas.
  5. Ne saisis jamais d'identifiants après un scan "sur le terrain" : ouvre plutôt le site officiel via ton navigateur en tapant l'adresse toi-même.
  6. En cas de doute, abandonne : tu perds 10 secondes, tu gagnes une grosse tranquillité.

Bonnes pratiques sur Android

Utilise un scan qui affiche clairement l'adresse

La plupart des smartphones Android affichent un aperçu du lien. Prends l'habitude de ne pas ouvrir automatiquement et de lire l'URL. Si ton téléphone ouvre directement, passe par Google Lens ou l'app Appareil photo qui propose un aperçu.

Refuse les APK et les installations "sources inconnues"

Un classique du quishing consiste à te faire installer une "appli de suivi colis" ou "appli de paiement". Sur Android :

  • n'installe une appli que via le Google Play Store ;
  • si un site te propose un fichier .apk, ferme la page.

Active la protection anti-phishing

Dans Chrome (Android), vérifie que la navigation sécurisée est active. Ça ne bloque pas tout, mais ça peut stopper des domaines connus.

Bonnes pratiques sur iPhone (iOS)

Attention aux profils de configuration

Sur iPhone, certaines attaques tentent de te faire installer un profil (MDM / configuration) pour contrôler des réglages ou intercepter du trafic. Si après scan on te propose d'installer un profil, c'est un gros drapeau rouge.

Vérifie le domaine dans l'aperçu Safari

iOS affiche généralement un aperçu du lien. Appuie sans te précipiter, lis le domaine, et si tu dois te connecter à un service (Apple, banque, messagerie), préfère ouvrir Safari et taper l'adresse officielle toi-même.

Sur PC (Windows/macOS) : le piège du QR code "de connexion"

Un scénario en hausse : un QR code affiché sur un écran (ou imprimé) te propose de "te connecter rapidement" à Microsoft 365, Google Workspace, un VPN, etc. Tu scannes, tu arrives sur une fausse page de login et tu donnes tes identifiants.

Règle d'or : ne valide jamais une connexion importante via un QR code dont tu ne connais pas la provenance. Si c'est pour un service pro (Microsoft, Google, Apple), passe par l'URL officielle ou ton portail d'entreprise.

Exemples concrets d'arnaques au QR code

  • Parking : autocollant "Paiement ici" collé sur l'horodateur → page de paiement frauduleuse.
  • Livraison : papier dans la boîte aux lettres "reprogrammer la livraison" → faux site demandant 1,99 € puis carte bancaire.
  • Restaurant : QR code du menu remplacé → site qui affiche "mise à jour nécessaire" et pousse une installation.
  • Support technique : QR code "assistance" → faux support demandant un accès à distance ou un paiement.

Que faire si tu as scanné un QR code suspect ?

Si tu as juste scanné sans rien saisir, ce n'est pas forcément grave. Mais si tu as cliqué, rempli un formulaire ou installé quelque chose, agis vite :

  1. Ferme la page et coupe le Wi‑Fi/4G si tu as téléchargé quelque chose par erreur.
  2. Ne saisis plus aucune info (codes SMS, mots de passe, carte).
  3. Change tes mots de passe du service concerné depuis le site officiel (tapé manuellement) et active la double authentification.
  4. Surveille tes comptes (banque, email, réseaux) et tes notifications de connexion.
  5. Désinstalle toute appli installée suite au scan, puis lance un scan de sécurité (Play Protect sur Android, vérification des apps sur iOS).
  6. Si carte bancaire compromise : fais opposition via ta banque et conteste les paiements.

Les réflexes "anti-quishing" à adopter au quotidien

  • Privilégie les URL officielles : au lieu de scanner, tape l'adresse du site (ou passe par l'app officielle).
  • Évite les QR codes dans les emails quand ils demandent une action sensible (paiement, connexion, récupération de compte).
  • Regarde l'environnement : un QR code sur un autocollant dans un lieu public est plus risqué.
  • Ne paie jamais dans l'urgence : les arnaques jouent sur la pression ("dernier rappel", "colis bloqué").
  • Utilise un gestionnaire de mots de passe : il auto-remplit uniquement sur le bon domaine, ce qui aide à repérer un faux site.

Conclusion

Le Quishing : repérer et éviter les faux QR codes, c'est surtout une affaire de réflexes : vérifier le support, lire l'URL avant d'ouvrir, éviter les paiements/connexions déclenchés par un QR code et refuser toute installation douteuse. Un QR code n'est pas "sûr" par nature : c'est juste un lien déguisé. En appliquant les conseils de ce guide, tu réduis drastiquement le risque de te faire piéger, que tu sois sur Android, iPhone ou PC.

Astuce Tuto Tech : si tu veux être encore plus serein, garde une règle simple en tête : un QR code = un lien. Et un lien, ça se vérifie toujours avant de cliquer.

Partager

Explorer les catégories

Android

Guides Android clairs : applis, batterie, dépannage, sauvegarde, sécurité, réseau, stockage et photos pour optimiser votre smartphone.

Applications

Guides et astuces pour vos applications du quotidien : Chrome, Drive, Gmail, Instagram, Maps, TikTok, WhatsApp et YouTube, sur PC et mobile.

Dépannage

Résolvez les lenteurs : connexion, crash, écran, erreurs, imprimante, mises à jour et son. Guides rapides pour PC, Windows, Android et Apple.

iPhone

Guides iPhone : iOS, iCloud, sauvegarde, batterie, photo, stockage et sécurité. Dépannage simple et astuces pour optimiser votre iPhone.

Réseaux

Optimisez votre hotspot : Wi‑Fi, DNS, Bluetooth, routeur, vitesse et partage. Dépannez les pannes et sécurisez vos connexions.

Sécurité

Sécurisez votre compte : mots de passe, verrouillage, sauvegardes, confidentialité et protection contre phishing, arnaques et virus.

Stockage

Optimisez le stockage lors du nettoyage : supprimez fichiers inutiles, videz la corbeille, gérez cloud/photos et sécurisez sauvegardes.

Windows

Guides d'installation et de configuration Windows : antivirus, comptes, mises à jour, pilotes, réseau et optimisation des performances.