Un menu au restaurant, une borne de parking, une page d'avis, une étiquette de colis. Le QR code est partout, et vous le scannez en pilote automatique, sans réfléchir. C'est exactement le pari des arnaqueurs. Le quishing, c'est l'hameçonnage version QR code : un faux code qui vous envoie sur un site piégé pour aspirer vos données ou votre argent.
Bonne nouvelle : scanner n'est pas le danger. Ne pas regarder où le code vous emmène, si. Voici où en est la menace en 2026, comment repérer un faux code, et comment un commerçant peut protéger ses clients.
Le quishing, c'est quoi, et faut-il vraiment s'inquiéter ?
Le quishing, c'est du phishing par QR code. Le même hameçonnage que vous connaissez par email, transposé sur un carré à scanner, à côté du smishing (par SMS) et du vishing (par téléphone). Le but ne change pas : vous appâter vers un faux site pour voler vos identifiants ou votre carte.
Faut-il paniquer pour autant ? Deux autorités, deux verdicts opposés. Cybermalveillance.gouv.fr, l'organisme public français, qualifie la menace de « encore relativement mineure ». Au même moment, Microsoft mesure une hausse de 146 % de ces attaques au premier trimestre 2026, sur 8,3 milliards de menaces analysées. Les deux ont raison.
L'explication tient en une nuance : la menace explose dans les boîtes mail d'entreprise, le terrain des éditeurs de sécurité, mais reste rare dans la vie physique d'un particulier, surtout en France. Le coût, lui, est bien réel. Au Royaume-Uni, une enquête du Bureau of Investigative Journalism chiffre à 3,5 millions de livres les pertes en un an, touchant un tiers des conseils municipaux et une douzaine d'hôpitaux.
Marginal aujourd'hui. Mais la courbe monte, et il suffit d'une fois.
Les arnaques au QR code qui explosent en 2026
À Toronto, une automobiliste a cru payer 7 $ de stationnement en scannant le QR du parcmètre. Sa banque a vu passer près de 2 000 $. Rien ne l'avait alertée : le site de paiement avait l'air parfaitement normal.
Elle n'est pas seule. Dans une seule ville de Californie, la police a retiré 150 faux QR des parcmètres, reliés à des copies au pixel près du site officiel où seule l'URL changeait. À New York, les autorités ont même demandé d'arrêter de scanner ceux des horodateurs.
En 2026, l'arnaque au QR code se déplace même en caisse. Aux États-Unis, de faux agents PG&E menacent d'une coupure de courant, puis envoient un QR code frauduleux à faire scanner par un caissier. Résultat : 211 000 $ envolés sur le premier semestre.
Et en France ? Un faux QR « Pay by Phone » a été retrouvé sur un parcmètre parisien, des bornes de recharge piégées jusque dans le Loiret. Mais ça reste rare : un créateur a mis plus de quatre heures à en dénicher un seul à Paris.
Le point commun de tous ces cas : un autocollant, posé sur un vrai support.

Pourquoi le QR code est l'arme rêvée des arnaqueurs
Un QR code, c'est un lien que votre œil ne sait pas lire. Sur une adresse écrite en clair, vous repérez une faute ou un nom de domaine bizarre. Sur un carré de pixels, la destination est invisible par conception. Toute l'arnaque tient dans cet angle mort.
Cet angle mort a deux conséquences. Dans la rue, un autocollant posé par-dessus un vrai code passe inaperçu : la police de Toronto en fait le signal de fraude le plus fiable. Dans votre boîte mail, il déjoue les filtres, qui lisent le texte et les liens mais voient le code comme une image. D'où 12 % des attaques de phishing qui cachent déjà leur piège dans une image.
Sauf que votre téléphone a déjà la parade. iOS comme Android affichent un aperçu de l'URL avant l'ouverture. Le problème n'est pas technique, il est humain : personne ne lit cet aperçu. (Une vieille faille iOS pouvait le fausser, corrigée depuis 2018.)
Si vous ne deviez retenir qu'un geste : lisez cet aperçu d'URL avant de taper.

Repérer un faux QR code avant de le scanner
Trois réflexes suffisent, et aucun n'est technique.
D'abord, l'œil. Un vrai QR code fait corps avec son support. Méfiez-vous de l'autocollant isolé : bords qui se décollent, code de travers, couleurs légèrement fausses. Au moindre doute, passez le doigt dessus : une double épaisseur trahit un faux collé sur le vrai, et c'est la parade que recommande le ministère de l'Intérieur.
Ensuite, l'URL. Lisez l'aperçu que votre téléphone affiche avant d'ouvrir. Méfiez-vous des liens raccourcis (bit.ly) qui masquent la destination, et gardez en tête que le cadenas HTTPS ne prouve rien : un faux site peut l'afficher aussi. Ne scannez jamais un QR reçu par email ou courrier non sollicité, comme cet hameçonnage déguisé en convocation judiciaire.
Enfin, le filet de sécurité. Un gestionnaire de mots de passe refusera de se remplir sur un mauvais domaine, même si le faux est parfait à l'œil. Et un décodeur QR en ligne montre la destination sans jamais l'ouvrir.
Le tell le plus fiable reste physique : les faux sites, eux, sont de mieux en mieux imités.
Commerçant : protégez vos QR codes affichés (et vos clients)
Un faux QR code collé sur votre comptoir, et c'est double peine : votre client se fait vider son compte, votre enseigne porte le chapeau. Vous devenez le décor de l'arnaque sans le savoir.
Ce n'est pas théorique. En Suisse, un élève a maquillé le QR de paiement d'une cantine scolaire et détourné des dizaines de milliers de francs. Aux Philippines, un commerçant a scanné le QR d'un « client » et vu sa boutique vidée de 80 000 pesos en quatre minutes. Les petites structures sont les plus exposées : rarement de quoi repérer un code trafiqué chez elles.
Voici comment verrouiller les vôtres :
- Affichez le nom de domaine en clair sous le code : le client peut comparer avant de scanner.
- Imprimez le code sur le support plutôt que sur un autocollant amovible, voire sous protection anti-arrachage.
- Intégrez logo, couleurs et cadre au code : un autocollant générique posé par-dessus saute aux yeux.
- Formez votre équipe à un contrôle visuel régulier : surépaisseur, décalage, décoloration.
- Surveillez vos statistiques de scan, une chute brutale peut trahir un code détourné.
Le principe : si vous affichez un QR de paiement ou de menu, faites-en un code impossible à copier sans que ça se voie.
Le bon réflexe tient en trois secondes
Scanner reste sans danger sur un téléphone à jour. Tout le risque tient dans deux inattentions : côté client, ne pas lire l'aperçu d'URL avant de taper. Côté commerçant, laisser son QR affiché sans aucune protection. Deux gestes de trois secondes, et l'essentiel de la menace tombe.
Le reste, c'est une question d'outil. Un générateur de QR codes sérieux rend vos codes difficiles à imiter : design de marque distinctif, domaine reconnaissable, statistiques de scan pour repérer l'anomalie tout de suite. C'est exactement ce que fait Oh My Code.
Vos concurrents impriment un carré noir et blanc et croisent les doigts. Vous, vous imprimez un code qu'on ne peut pas maquiller sans que ça se voie. Créez un QR code que personne ne peut truquer.
Questions fréquentes sur le quishing
J'ai scanné un faux QR code, c'est grave ?
Non, le scan seul est sans danger sur un téléphone à jour. Le risque n'apparaît que si vous avez saisi des informations sur le site d'arrivée : identifiants, numéro de carte, mot de passe. Si vous avez seulement scanné sans rien remplir, fermez la page, ne tapez rien, tout va bien.
Comment vérifier un QR code avant de le scanner ?
Lisez l'aperçu d'URL que votre téléphone affiche avant d'ouvrir le lien, et méfiez-vous des adresses raccourcies qui cachent la vraie destination. Pour une vérification totale, collez le code dans un décodeur QR en ligne (qrcoderaptor.com, barcodeocean.com) : vous verrez où il mène sans jamais l'ouvrir sur votre téléphone.
Que faire si j'ai déjà donné mes infos bancaires ?
Agissez vite. Faites opposition auprès de votre banque immédiatement, puis changez les mots de passe du compte et de l'adresse email associée. Signalez l'arnaque sur cybermalveillance.gouv.fr ou via 17Cyber, et au 33700 si le faux QR est arrivé par SMS. Enfin, déposez plainte : c'est utile pour contester les débits.
Un QR code reçu par email est-il forcément une arnaque ?
Pas forcément, mais la méfiance doit être maximale. Les filtres de Gmail ou Microsoft Defender n'attrapent pas tout, car un QR code frauduleux se présente comme une simple image et non comme un lien lisible. La règle : ne scannez jamais un QR dans un email non sollicité, tapez vous-même l'adresse que vous connaissez.





