Ce que vous ne voyez pas dans ce petit carré peut vider votre compte bancaire en quelques secondes.
Vous êtes dans un restaurant. On vous tend un menu avec un QR code à scanner pour voir la carte du jour. Vous sortez votre téléphone, vous scannez, et… vous venez peut-être de commettre la plus grande erreur de votre journée numérique.
Les QR codes font désormais partie de notre quotidien. Depuis la pandémie de COVID-19, on les trouve partout : dans les restaurants, les musées, les aéroports, les parkings, les emails professionnels, les affiches publicitaires. Leur facilité d'utilisation en a fait un outil incontournable. Mais cette popularité massive a également attiré l'attention des cybercriminels, qui ont compris qu'ils pouvaient transformer ces petits carrés noirs et blancs en pièges redoutables.
Dans cet article, nous allons explorer en profondeur la menace des QR codes malveillants — ce qu'on appelle le quishing — et vous expliquer comment l'outil Diagnostic de DoItQR peut vous aider à vérifier un QR code avant de vous faire piéger.
Le terme quishing est la contraction de deux mots anglais : QR code et phishing. Le phishing (ou hameçonnage) désigne une tentative de fraude par laquelle un cybercriminel se fait passer pour une entité de confiance afin de voler des informations personnelles, des mots de passe ou des coordonnées bancaires.
Le quishing reprend exactement ce principe, mais au lieu d'utiliser un lien textuel cliquable dans un email, le pirate encode l'URL malveillante dans un QR code. La victime scanne ce code avec son smartphone, est redirigée vers un site frauduleux, et se retrouve exposée à toute une gamme de menaces : vol d'identité, installation de logiciels malveillants, ou escroquerie financière directe.
Avec un email de phishing classique, un utilisateur averti peut inspecter le lien avant de cliquer dessus. Avec un QR code, ce contrôle préalable est impossible à l'œil nu. Le code est une image opaque dont vous ne pouvez pas lire le contenu sans un scanner. Et même après le scan, beaucoup d'utilisateurs cliquent directement sur l'URL proposée sans en vérifier la structure.
« Les QR codes n'ont pas été conçus avec la sécurité en tête — ils ont été conçus pour simplifier la vie, ce qui en fait également des outils parfaits pour les escrocs. » — Rob Lee, SANS Institute, cité par CNBC, juillet 2025
De plus, les filtres anti-spam sont entraînés à détecter les liens suspects dans les textes. Mais un QR code est une image — les systèmes de sécurité traditionnels le traitent comme un contenu visuel inoffensif, ce qui lui permet souvent de passer entre les mailles du filet.
Le quishing n'est pas une menace théorique. Les statistiques publiées par les acteurs majeurs de la cybersécurité en 2024 et 2025 montrent une explosion de ce phénomène.
Une attaque de quishing suit généralement un schéma en trois étapes simples, mais redoutablement efficaces.
Le cybercriminel crée un site web frauduleux imitant un service populaire : votre banque, Netflix, PayPal, La Poste, ou le portail de votre entreprise. Il génère ensuite un QR code qui pointe vers ce site, en quelques clics, grâce à un générateur gratuit disponible en ligne.
| Canal de diffusion | Exemple concret | Niveau de risque |
|---|---|---|
| Fausse facture, alerte de sécurité | 🟡 Moyen | |
| SMS | Faux avis de livraison | 🟡 Moyen |
| Lieu public physique | Autocollant collé par-dessus un QR code légitime | 🔴 Élevé |
| Courrier postal | Faux avis de contravention ou de passage La Poste | 🔴 Élevé |
| Réseaux sociaux | Publication d'offre alléchante avec QR code | 🟡 Moyen |
Une fois sur le site frauduleux, la victime saisit ses identifiants ou coordonnées bancaires. Le pirate les récupère en temps réel : accès à des comptes, fraudes bancaires, usurpation d'identité, ou revente sur le dark web.
Il est difficile — voire impossible — de détecter un QR code dangereux à l'œil nu. Néanmoins, plusieurs signaux d'alerte peuvent vous mettre la puce à l'oreille.
Tomber dans le piège d'un QR code malveillant peut avoir des répercussions très sérieuses sur votre vie numérique et financière.
Si vous saisissez vos informations sur un faux site, le pirate récupère vos identifiants, mots de passe et coordonnées bancaires. Ces données peuvent être exploitées directement ou vendues sur le dark web.
Certains QR codes déclenchent directement le téléchargement d'un malware sur votre téléphone. Ce logiciel peut s'exécuter en arrière-plan, espionner vos activités, accéder à vos contacts, vos photos, et même activer votre microphone à votre insu.
Des QR codes sophistiqués peuvent déclencher l'envoi d'emails, la composition de numéros surtaxés, ou l'ajout de contacts malveillants dans votre répertoire — sans validation explicite de votre part.
Les cadres dirigeants sont statistiquement 40 fois plus susceptibles d'être victimes d'une attaque de quishing que l'employé moyen, en raison de leur accès à des systèmes et données sensibles.
Publicité
La bonne nouvelle, c'est que quelques réflexes simples peuvent réduire considérablement votre exposition au risque.
« Les escrocs peuvent remplacer un QR code légitime par un code malveillant en quelques secondes, faisant de chaque QR code public un piège potentiel. » — Adrianus Warmenhoven, expert en cybersécurité chez NordVPN, 2026
Face à l'impossibilité de détecter visuellement un QR code malveillant, il vous faut un outil capable de l'analyser à votre place. C'est exactement ce que propose DoItQR avec son outil de diagnostic intégré.
L'outil de diagnostic de DoItQR analyse le QR code que vous lui soumettez et évalue si le lien qu'il contient présente des risques. Il examine notamment :
À l'heure où les attaques de quishing se multiplient exponentiellement, avoir accès à un outil de vérification rapide est devenu aussi essentiel qu'avoir un antivirus. L'outil DoItQR Diagnostic est gratuit, sans installation, utilisable directement depuis votre navigateur.
Au-delà de son outil de diagnostic, DoItQR propose un générateur de QR codes gratuit et personnalisable, un scanner intégré, et un blog régulièrement mis à jour. La plateforme est disponible en français, anglais et espagnol.
Si le grand public est exposé, les entreprises font face à une menace encore plus structurée. Le quishing est désormais utilisé dans des campagnes de spear phishing ciblant des employés spécifiques avec des QR codes intégrés dans des documents professionnels apparemment légitimes.
Une campagne documentée en 2024 a ciblé des chaînes de restaurants en superposant des QR codes malveillants sur des menus imprimés, redirigeant les clients vers de fausses pages de programmes de fidélité.
Microsoft rapporte avoir bloqué environ 1,5 million de tentatives de quishing quotidiennes en 2024. Un chiffre qui illustre l'ampleur industrielle du phénomène.
Les QR codes ont révolutionné notre façon d'interagir avec le monde numérique. Pratiques, rapides, universels — ils sont devenus en quelques années un réflexe naturel pour des milliards d'utilisateurs. Mais cette adoption massive a ouvert une brèche que les cybercriminels n'ont pas tardé à exploiter.
Le quishing représente aujourd'hui l'une des menaces cybernétiques à la croissance la plus rapide, précisément parce qu'il contourne nos défenses habituelles. La réponse est double : l'éducation et la technologie.
Un QR code légitime ne vous demandera jamais de saisir votre mot de passe en urgence. Et surtout, il résistera à l'analyse d'un outil de diagnostic. Prenez le temps de vérifier — ce petit geste peut vous éviter de grandes conséquences.