La nouvelle arnaque aux codes QR boostée par l'IA — et comment l'éviter

Sécurité et arnaques Guide7 min de lecture·Mis à jour le 11 juillet 2026
La réponse courte

Le quishing est du phishing par code QR — scanner un faux code vous redirige vers un site qui vole vos identifiants ou vos informations de paiement. L'IA a rendu ces arnaques beaucoup plus faciles à créer et bien plus difficiles à détecter. Les meilleures habitudes : lire l'aperçu de l'URL avant de taper, ne jamais saisir vos coordonnées bancaires ou identifiants après avoir scanné un code QR dans un lieu public, et taper les adresses manuellement en cas de doute.

Vous avez probablement scanné des dizaines de codes QR au cours de l'année passée — pour consulter un menu de restaurant, payer un stationnement ou vous enregistrer quelque part. Ce petit carré est désormais l'un des outils préférés des escrocs, et l'IA leur a rendu dramatiquement plus facile la création de faux codes convaincants. L'astuce s'appelle le quishing, et elle se répand si vite que le FBI et la FTC ont tous deux lancé des avertissements à ce sujet.

Qu'est-ce que le quishing ?

Le mot combine « QR » et « phishing » — la catégorie générale des arnaques qui usurpent l'identité d'une organisation de confiance pour voler vos identifiants ou vos informations de paiement.

Voici comment ça fonctionne : un escroc crée un code QR qui, lorsqu'on le scanne, vous amène sur un faux site web qui ressemble exactement à votre banque, au portail de paiement de stationnement de votre ville ou à la page de suivi d'un transporteur. La page vous demande de vous connecter, de confirmer un paiement ou de vérifier votre identité. Si vous le faites, vos identifiants ou votre numéro de carte vont directement à l'escroc.

La raison pour laquelle les codes QR sont particulièrement efficaces pour les escrocs : les filtres de sécurité des e-mails et SMS sont conçus pour scanner les liens texte suspects — ils ne sont pas conçus pour lire les images. Un faux code QR intégré dans un PDF ou une pièce jointe image passe sans encombre la plupart des filtres.

Où apparaissent les faux codes QR

Les faux codes surgissent dans des endroits très ordinaires :

Les horodateurs. Un autocollant avec un faux code QR est collé par-dessus le code de paiement légitime. Vous le scannez, entrez votre carte sur une fausse page de « paiement de stationnement » convaincante — et l'horodateur n'enregistre jamais votre paiement.

Les menus de restaurant. La plupart des menus QR sont sûrs, mais des escrocs ont été surpris à coller des autocollants sur les codes d'origine. La fausse version vous redirige vers une page qui peut demander votre carte bancaire « pour réserver votre place » ou proposer une inscription à une réduction.

Les SMS de livraison de colis. Vous recevez un SMS indiquant que votre livraison est retardée et vous demandant de scanner un code ou de suivre un lien pour reprogrammer. L'URL mène à une fausse page demandant votre adresse et vos coordonnées bancaires.

Les flyers et affiches. Des faux codes sont apparus sur des prospectus communautaires — une « carte cadeau gratuite » ou une « offre exclusive » — placés dans des laveries automatiques, des bibliothèques et des halls d'immeubles.

Les e-mails et pièces jointes PDF. Un message d'une supposée banque, d'un fournisseur d'énergie ou d'un service de livraison contient un code QR vous demandant de « vérifier votre compte ». C'est la variante numérique la plus courante, et celle qui passe le plus facilement les logiciels de sécurité des e-mails.

Pourquoi l'IA a aggravé les choses

Avant que les outils d'écriture par IA soient largement disponibles, un e-mail frauduleux était souvent facile à repérer : formulations maladroites, fautes de grammaire, demande bizarre qui ne ressemblait pas à ce qu'une vraie banque dirait. Ce n'est plus un indicateur fiable.

Selon un rapport de juillet 2026, les attaques de phishing alimentées par l'IA ont été multipliées par 14 en un seul mois, et le phishing généré par l'IA représente désormais environ 40 % de toutes les attaques de phishing. Les escrocs utilisent l'IA pour rédiger des e-mails parfaitement professionnels, créer des fausses pages de connexion réalistes et générer des codes QR à grande échelle — des centaines de versions légèrement différentes ciblant différentes personnes ou régions.

La combinaison est particulièrement efficace : l'e-mail semble venir d'une vraie entreprise, le code QR contourne les filtres texte, et le faux site est visuellement identique au vrai. Le seul moment où vous pouvez le détecter, c'est quand vous vérifiez l'URL vers laquelle le code pointe réellement.

Comment vérifier un code QR avant de taper

Vous n'avez pas à arrêter d'utiliser les codes QR. Vous avez juste besoin d'une habitude rapide : lire l'aperçu de l'URL avant de taper.

Sur iPhone : Lorsque vous pointez votre appareil photo sur un code QR, une petite notification apparaît en haut de l'écran avec l'URL de destination. Ne tapez pas immédiatement sur cette notification — lisez d'abord l'adresse.

Sur Android : La plupart des applications d'appareil photo Android affichent une petite barre d'URL sous le cadre du code QR. Lisez-la avant de taper.

Ce qu'il faut chercher dans l'URL :

  • Le domaine correspond-il à l'organisation attendue ? Une application de stationnement municipal pourrait être « nomville.gouv.fr » ou « parkXYZ.fr » — ce ne devrait pas être « parking-secure-pay.net » avec un domaine aléatoire que vous ne reconnaissez pas.
  • Y a-t-il une longue chaîne de caractères aléatoires dans l'URL ? Les codes QR légitimes pour un menu ou une page de paiement ont généralement des adresses courtes et propres.
  • Le domaine utilise-t-il de subtiles fautes d'orthographe — « rnabanque.fr » au lieu de « mabanque.fr » ? Cette lettre supplémentaire est facile à manquer au premier coup d'œil.

Bonnes habitudes à adopter

Tapez les adresses manuellement en cas de doute. Si un code QR dans un e-mail vous demande de « vérifier votre compte » auprès de votre banque, ne le scannez pas — ouvrez l'application de votre banque ou tapez l'adresse que vous connaissez dans votre navigateur. La FTC recommande spécifiquement cela comme principal conseil de sécurité pour les codes QR.

Ne saisissez jamais vos coordonnées de paiement ou identifiants après avoir scanné un code public. Si un horodateur, une affiche ou n'importe quel code QR public demande votre carte bancaire ou votre mot de passe, arrêtez-vous. Les vraies applications de stationnement et systèmes de paiement publics vous permettent de payer via une application établie que vous avez déjà, ou acceptent votre carte directement à l'horodateur. Ils n'ont pas besoin que vous saisissiez votre numéro de carte complet sur un site atteint via un autocollant QR.

Vérifiez la présence d'autocollants. Avant de scanner un code QR sur une surface physique — un horodateur, une carte de table, une affiche — regardez si le code est imprimé directement ou s'il y a un bord d'autocollant par-dessus. Un autocollant placé sur un code légitime est la forme physique la plus courante de cette arnaque.

Soyez particulièrement méfiant envers les codes QR dans les e-mails. Les vraies banques, fournisseurs d'énergie et services de livraison ont rarement besoin que vous scaniez un code QR. Ils ont des applications et des sites web que vous pouvez atteindre directement. Un e-mail inattendu contenant un code QR est un signal d'alarme, même si l'identité visuelle semble correcte.

Ce à quoi il faut faire attention

Ces habitudes intercepteront la plupart des tentatives de quishing, mais aucune vérification n'est infaillible. Les escrocs peaufinent constamment leur technique, et les fausses pages qu'ils créent sont parfois visuellement impossibles à distinguer des vraies. Si vous avez saisi des informations après avoir scanné un code et que vous avez des doutes, agissez vite : changez votre mot de passe, appelez votre banque et signalez l'incident sur reportfraud.ftc.gov. Plus vous agissez tôt, meilleures sont vos chances de limiter les dégâts.

Ce guide ne couvre pas une chose : les appels téléphoniques de suivi alimentés par l'IA qui accompagnent parfois les arnaques QR. Un escroc peut appeler peu après que vous ayez scanné un code, prétendant « vérifier votre paiement » et demandant les coordonnées de carte que vous n'avez pas saisies sur le faux site. Si vous recevez un appel inattendu juste après avoir scanné un code QR, raccrochez et appelez l'organisation directement en utilisant un numéro que vous cherchez vous-même.

Que faire ensuite ?

Le quishing fait partie d'une vague plus large d'arnaques alimentées par l'IA qui envahissent actuellement les boîtes de réception — Comment repérer les e-mails de phishing générés par l'IA couvre les signes qu'un message n'a pas été rédigé par un être humain. Et si vous recevez des appels suspects en plus de messages suspects, Les meilleurs bloqueurs d'appels frauduleux par IA vous guide à travers les outils qui peuvent aider à les filtrer.

Publié le 11 juillet 2026 · Mis à jour le 11 juillet 2026Comment nous testons →

Questions fréquentes

Qu'est-ce que le quishing ?
Le quishing est l'abréviation de QR code phishing. Les escrocs placent un faux code QR — sur un autocollant, dans un e-mail ou dans un SMS — qui vous redirige vers un site web frauduleux conçu pour voler votre mot de passe, votre numéro de carte bancaire ou d'autres informations personnelles. Le terme combine « QR » et « phishing », la catégorie générale des arnaques qui usurpent l'identité d'organisations de confiance pour dérober des identifiants.
Pourquoi les escrocs utilisent-ils des codes QR plutôt que des liens ordinaires ?
Un lien de phishing ordinaire affiche la véritable URL sous forme de texte, que les filtres de sécurité des e-mails et les lecteurs attentifs peuvent souvent repérer. Un code QR est une image — votre logiciel de sécurité des e-mails scanne le texte, pas les images, donc un faux code QR intégré dans un PDF ou une pièce jointe image passe sans encombre la plupart des filtres. Vous ne pouvez pas non plus regarder un code QR et savoir où il mène, comme vous pourriez survoler un lien hypertexte sur un ordinateur.
Comment voir où mène un code QR avant de taper dessus ?
Sur la plupart des smartphones, pointer votre appareil photo sur un code QR affiche un petit aperçu de l'URL avant que vous ne tapiez — recherchez cet aperçu et lisez-le attentivement. Sur iPhone, il apparaît comme une notification en haut de l'écran ; sur Android, il s'affiche juste en dessous du cadre du code QR. Si le domaine dans l'aperçu ne correspond pas à l'organisation attendue, ne tapez pas.
Les codes QR sur les menus de restaurant sont-ils sûrs ?
La plupart des menus QR de restaurant sont tout à fait légitimes — ils mènent à un PDF ou un site simple créé par le restaurant. Le risque vient d'un autocollant placé sur le code d'origine, ce qui est facile à repérer : cherchez un bord d'autocollant ou un papier légèrement différent par-dessus le code imprimé. Si quelque chose semble avoir été rajouté, prévenez le personnel et ne scannez pas.
Que faire si j'ai déjà scanné un code QR suspect ?
Si vous avez tapé sur le lien mais n'avez saisi aucune information, fermez le navigateur — vous êtes presque certainement hors de danger. Si vous avez saisi un nom d'utilisateur et un mot de passe, changez ce mot de passe immédiatement sur tous les comptes où vous l'utilisez, et activez l'authentification à deux facteurs si ce n'est pas déjà fait. Si vous avez saisi un numéro de carte bancaire, appelez votre banque immédiatement. Signalez le code suspect sur reportfraud.ftc.gov.
Puis-je faire confiance aux codes QR dans les e-mails d'entreprises que je connais ?
Soyez prudent. Les escrocs copient délibérément l'identité visuelle d'entreprises connues — banques, services de livraison, fournisseurs d'énergie — parce qu'un logo familier baisse votre vigilance. La FTC déconseille de scanner des codes QR dans des e-mails inattendus, même s'ils semblent officiels. Allez plutôt directement sur le site de l'entreprise en tapant l'adresse vous-même, ou appelez le numéro au dos de votre carte.
Radim S.
Fondateur et rédacteur en chef

Radim est développeur de logiciels qui passe ses journées à créer avec l'IA et ses soirées à l'expliquer à des membres de sa famille qui se soucient peu de son fonctionnement — seulement de ce qu'elle peut faire pour eux. Chaque guide est testé à la main avant d'être publié.