Vous êtes :
Domicile · Seniors · Familles
079 716 53 82
Arnaque au QR code (quishing) : le nouveau phishing qui trompe tout le monde
Cybersécurité · 24 mai 2026

Arnaque au QR code (quishing) : le nouveau phishing qui trompe tout le monde

Les pirates utilisent désormais de faux QR codes pour voler vos données — dans les restaurants, sur les parkings, dans les emails professionnels. Cette technique appelée quishing contourne les filtres antiphishing traditionnels. Voici comment vous protéger.

Adrien, fondateur de CyberClinique
Par Adrien · Fondateur, informaticien à Yverdon
24 mai 2026 · Cybersécurité

TL;DR — Le quishing est une forme de phishing utilisant des QR codes frauduleux pour rediriger les victimes vers de faux sites. En 2026, cette technique explose car les QR codes sont partout (menus de restaurants, parkings, emails professionnels) et les filtres antiphishing classiques ne détectent pas les URLs cachées dans les QR codes. Voici comment reconnaître un QR code malveillant et quoi faire si vous avez été piégé.

Qu'est-ce que le quishing ?

Le terme « quishing » combine QR code et phishing. La technique est simple : un pirate crée un QR code qui redirige vers un faux site web (copie d'une banque, d'un service de paiement, d'un portail d'entreprise) au lieu du site légitime attendu.

L'avantage pour le pirate : un QR code est une image. Les logiciels de filtrage des emails professionnels et les antivirus ne peuvent pas « lire » le contenu d'un QR code comme ils le feraient avec un lien texte — l'URL malveillante passe donc invisible à travers les filtres.

Où les faux QR codes apparaissent-ils ?

Dans les lieux physiques

  • Parkings et horodateurs : un faux autocollant QR code collé par-dessus le QR officiel. En scannant, vous payez le stationnement sur un faux site qui vole vos données de carte
  • Restaurants et cafés : faux menus QR codes remplaçant les officiels, redirigeant vers un site qui demande une inscription
  • Affiches publicitaires : QR codes apposés frauduleusement sur des affiches légitimes
  • Bornes de recharge électrique : faux QR codes sur les bornes de recharge pour vol de données bancaires

Dans les emails professionnels

  • Email prétendant venir de votre banque ou de votre employeur, avec un QR code à scanner pour « vérifier votre identité » ou « accéder à un document »
  • Faux emails Microsoft 365 demandant de scanner un QR code pour réactiver votre compte
  • Faux emails de livraison (DHL, La Poste) avec QR code de suivi frauduleux

Sur les réseaux sociaux et messages

  • Promotions et concours frauduleux : « Scannez ce QR pour gagner un iPhone »
  • Faux tickets d'événements ou de transport
Faux autocollant QR code collé sur une borne de paiement de parking, technique de quishing
Les autocollants de faux QR codes sur les horodateurs et bornes de paiement sont particulièrement difficiles à détecter — toujours vérifier l'URL avant de payer.

Comment reconnaître un QR code frauduleux

Avant de scanner un QR code, posez-vous ces questions :

  • Le QR code est-il un autocollant par-dessus quelque chose ? Vérifiez s'il y a un autocollant collé sur une surface officielle — signe possible de remplacement frauduleux
  • L'URL affichée dans la prévisualisation correspond-elle à ce que vous attendez ? La plupart des applications de scan affichent l'URL avant d'ouvrir le site — lisez-la avant de confirmer
  • Le site ouvert utilise-t-il HTTPS ? Un cadenas ne suffit pas (les pirates obtiennent facilement des certificats SSL), mais l'absence de HTTPS est un signal d'alarme
  • Le nom de domaine est-il celui attendu ? parking-lausanne-paiement.ru au lieu de parking-lausanne.ch → arnaque évidente
  • Le site demande-t-il des informations inhabituelles ? Un menu de restaurant ne devrait pas vous demander votre numéro de carte

Exemples réels signalés en Suisse

  • Faux QR codes de parking signalés dans plusieurs villes vaudoises et genevoises — autocollants frauduleux sur des horodateurs officiels
  • Emails prétendant venir de PostFinance ou UBS avec QR codes redirigeant vers des faux portails de connexion
  • Faux QR codes sur des offres d'emploi affichées dans des espaces publics

Si vous avez scanné un QR code suspect

Vous avez scanné mais n'avez rien entré

Si vous avez simplement scanné et vu un site bizarre sans interagir : fermez immédiatement le site. Le risque est faible si vous n'avez entré aucune information (la plupart des attaques nécessitent votre interaction).

Vous avez entré vos données bancaires

  1. Appelez immédiatement votre banque pour bloquer la carte
  2. Changez les mots de passe de vos comptes en ligne depuis un autre appareil
  3. Signalez l'incident au NCSC (report.ncsc.admin.ch) et à la police

Vous avez entré vos identifiants professionnels

  1. Contactez immédiatement votre service informatique ou prestataire IT
  2. Changez votre mot de passe depuis un appareil sûr
  3. Vérifiez si des connexions inhabituelles ont eu lieu sur votre compte

Se protéger du quishing

  • Utilisez une application de scan qui affiche l'URL avant d'ouvrir le lien — de nombreuses apps de scan sécurisé existent (Kaspersky QR Scanner, ESET Mobile Security)
  • Méfiez-vous des QR codes sur supports physiques : vérifiez toujours qu'il n'y a pas d'autocollant par-dessus
  • Sur les emails professionnels : votre employeur ou votre banque n'a jamais besoin que vous scanniez un QR code pour accéder à vos comptes — utilisez l'application officielle ou le site web directement
  • Activez le MDM (Mobile Device Management) sur les appareils professionnels : les solutions MDM peuvent bloquer les URLs malveillantes même depuis un QR code

FAQ — Quishing et QR codes frauduleux

Peut-on savoir si un QR code est frauduleux avant de le scanner ?

Non — visuellement, un QR code légitime et un frauduleux sont identiques. La seule protection est de vérifier l'URL affichée après le scan avant d'ouvrir le lien, et d'inspecter physiquement le support (autocollant suspect).

Les QR codes dans les emails d'entreprise sont-ils dangereux ?

Potentiellement oui. Un email légitime de votre employeur devrait vous proposer un lien direct, pas un QR code. Si vous recevez un email professionnel avec un QR code « urgent à scanner », vérifiez l'authenticité de l'expéditeur avant de scanner — appelez la personne concernée si besoin.

Mon iPhone me protège-t-il contre le quishing ?

Partiellement. Safari sur iPhone bloque certains sites de phishing connus, et iOS affiche une prévisualisation de l'URL avant d'ouvrir le lien depuis l'app Appareil photo. Mais ces protections ne sont pas infaillibles — la vigilance reste nécessaire.

Que font les autorités suisses contre le quishing ?

Le NCSC collecte les signalements et publie des alertes. La police fédérale et les polices cantonales traitent les plaintes. La coopération européenne (Europol) cible les réseaux de quishing organisés. Signalez systématiquement — chaque signalement aide à identifier les réseaux criminels.

Victime d'une arnaque en ligne ? Contactez CyberClinique

Si vous pensez avoir été victime d'un quishing ou d'une arnaque en ligne, CyberClinique vous aide à sécuriser vos appareils, vérifier la présence de malwares, et mettre en place des protections robustes. Nous accompagnons les particuliers et les entreprises de la région — Yverdon, Lausanne, Grandson. 079 716 53 82.

Un problème informatique ?

Diagnostic gratuit, intervention rapide dans tout le canton de Vaud.

079 716 53 82
← Retour au blog