Les QR codes ont révolutionné nos vacances. Un simple scan nous donne accès aux menus de restaurant, aux audioguides du musée ou aux services de stationnement. Cette simplicité d'usage a créé de nouveaux réflexes : nous scannons machinalement ces petits carrés sans nous interroger sur leur origine.
Cette confiance aveugle représente une aubaine pour les cybercriminels. Le « quishing » (contraction de QR code et phishing) se développe rapidement dans les lieux touristiques, exploitant notre vigilance relâchée en période de détente.
Le quishing : une menace née avec la pandémie
Le quishing fonctionne selon un principe simple. Les cybercriminels créent de faux QR codes qui redirigent votre smartphone vers un site malveillant au lieu de la destination attendue. Alexandre Courcelles, Consultant Sécurité chez Orange Cyberdefense, confirme cette évolution : « C'est une nouvelle menace qui s'est largement démocratisée depuis la pandémie Covid. Le QR code est devenu omniprésent. Finalement, c'est toujours du phishing, mais avec des moyens d'accès différents. »
L'exemple de Nice : stationnement piégé
L'affaire des parkings à Nice illustre parfaitement cette menace. En 2024, la ville a découvert de faux QR codes collés sur ses horodateurs. Les automobilistes pensaient payer leur stationnement via le site officiel, mais transmettaient leurs coordonnées bancaires à des escrocs. Alexandre Courcelles explique la simplicité de la technique : « Ce n'est pas compliqué d'imprimer des stickers. Les attaquants copient l'interface officielle, créent leur propre site de paiement et collent leur QR code sur l'horodateur. » Cette pratique s'étend à d'autres régions. Le Progrès signale des cas similaires dans plusieurs départements, ciblant particulièrement les zones touristiques.
Restaurants et lieux touristiques visés
Les établissements de restauration constituent des cibles privilégiées. De faux QR codes sont collés sur les vraies cartes de menu, redirigeant vers des sites frauduleux qui demandent vos coordonnées. Autour des sites historiques, ils proposent des QR codes « audioguide gratuit », promettant un contenu exclusif en échange de vos données personnelles. Les transports en commun ne sont pas épargnés. Alexandre Courcelles précise : « Sur les bornes de recharge, ça marche aussi bien. » Faux codes pour acheter son ticket ou télécharger l'application “officielle” se multiplient. Même La Poste à déjà été victime de cette tendance. Des faux avis de passage avec QR codes piégés circulent, redirigeant vers des sites qui récupèrent vos informations.
Comment reconnaître les codes suspects
L'identification visuelle reste difficile. Alexandre Courcelles l'admet : « Malheureusement, les QR codes se génèrent facilement. Qu'est-ce qui ressemble plus à un QR code qu'un QR code ? »Plusieurs indices permettent de détecter les anomalies. Le consultant recommande de vérifier l'emplacement : « Si on voit un sticker posé par-dessus un autre, par exemple sur un parcmètre, ça reste un signe. »
La qualité d'impression révèle souvent les faux. QR codes flous ou mal imprimés contrastent avec les codes officiels qui bénéficient d'une impression professionnelle. La cohérence avec l'environnement compte également. Un code « menu restaurant » dans un lieu qui ne sert pas de nourriture doit éveiller vos soupçons.
L'URL : votre meilleur indicateur
Alexandre Courcelles insiste sur l'importance de vérifier la destination : « C'est vraiment sur le lien affiché une fois qu'on va le scanner qui va être intéressant. Pour regarder un mail de phishing, on regarde le lien. C'est pareil avec le QR code. » Examinez systématiquement l'URL avant de valider la redirection. Une adresse trop longue, avec des caractères étranges ou ne correspondant pas au lieu visité doit vous alerter. Le spécialiste conseille : « Parfois, le lien n'est pas affiché en entier. Plutôt que de cliquer, copiez le lien, mettez-le dans un mail pour le visualiser entièrement. »
Adoptez les bons réflexes
Alexandre Courcelles rassure : « Le principal est de contrôler les liens sur lesquels on clique. » Cette vérification de quelques secondes constitue votre meilleur rempart.Privilégiez les QR codes intégrés aux supports officiels. Panneaux gravés et brochures professionnelles présentent moins de risques que les codes simplement collés.En cas de doute, demandez confirmation : « On peut aller sur Google et rechercher “comment payer le parcmètre dans telle ville”. On retombera sur le site officiel. » Méfiez-vous des demandes immédiates d'informations personnelles. Un simple menu n'a pas besoin de vos coordonnées bancaires. Le consultant suggère une alternative low-tech : « Parfois, pourquoi ne pas demander un menu en papier ? Les restaurants en ont encore. »
Réagir face à une tentative d'arnaque
Si vous avez scanné un QR code suspect, fermez immédiatement la page web sans saisir aucune information. Alexandre Courcelles détaille la conduite à tenir : « Si j'ai renseigné des identifiants, il faut changer le mot de passe. Si j'ai renseigné mes informations bancaires, il faut contacter la banque. En général, ils font opposition sur la carte très rapidement. » Vérifiez votre historique de navigation et supprimez les pages suspectes. Surveillez vos comptes dans les jours suivants.
Orange vous protège contre le quishing
Orange développe des solutions de protection adaptées aux nouveaux usages mobiles. Le Pack Orange Cybersecure intègre des outils de détection qui bloquent l'accès aux sites frauduleux.Orange Business propose des solutions pour les entreprises du secteur touristique. Des équipes accompagnent les professionnels pour sécuriser leurs dispositifs QR codes.
Vigilance sans paranoïa
Alexandre Courcelles conclut : « Il ne faut pas devenir parano, ça reste assez rare. Une minorité est piégée. » Les QR codes frauduleux restent minoritaires face aux codes légitimes. Il ne s'agit pas de bannir cette technologie, mais d'adopter les bons réflexes. Le conseil final : « Faire attention quand on clique sur les liens, et bien vérifier le lien avant d'aller sur le site. Le risque est le même comme pour tout autre technique d'hameçonnage » L'approche reste équilibrée : profitez des facilités offertes par les QR codes légitimes, mais conservez ce réflexe de vérification qui fait la différence entre un voyage serein et des complications évitables.
Un doute sur un message reçu ?
Le site Cybersecure vous permet de copier-coller le message ou le lien suspect pour vérifier la fiabilité de ce dernier en temps réel.
Faites le test en cliquant sur cette adresse : https://cybersecurite.orange.fr/