Les QR codes sont-ils dangereux ? Sécurité et hameçonnage

Oui, scanner un QR code est sans danger tant que tu utilises un lecteur de QR code qui t’affiche le lien avant de l’ouvrir, et que tu te méfies des codes collés un peu partout dans la rue. Le petit carré noir et blanc ne contient aucun virus : il ne stocke que des données. Le vrai risque, ce n’est pas le QR code en lui-même, c’est la page vers laquelle il t’envoie. Si ton scanner te montre l’URL avant d’ouvrir quoi que ce soit, tu as éliminé l’essentiel du danger d’un seul coup d’œil.

Voyons ça en détail, parce qu’en France l’hameçonnage par QR code (le fameux quishing) fait désormais l’objet d’avertissements officiels de la part de cybermalveillance.gouv.fr et de France Num. Savoir distinguer un code fiable d’un piège est devenu un réflexe utile.

C’est quoi exactement un QR code, et pourquoi ça compte ?

Un QR code (ou code QR, selon la graphie formelle) est un code-barres en deux dimensions qui stocke de l’information sous forme de carrés noirs et blancs. Quand tu le scannes avec ta caméra ou avec une application QR code, ton téléphone le décode et en extrait des données : le plus souvent une URL, mais aussi du texte brut, un mot de passe WiFi ou une carte de contact (vCard).

Le code n’exécute rien tout seul. C’est un simple messager, exactement comme un lien hypertexte sur une page web. Le problème commence quand ce messager t’emmène vers un site frauduleux et que tu l’ouvres sans regarder. C’est pour ça que la pièce maîtresse de la sécurité, ce n’est pas d’éviter les QR codes, mais de voir la destination avant de cliquer.

Le quishing : l’arnaque par QR code qui se généralise

Les chercheurs en sécurité ont donné un nom à l’hameçonnage par QR code : le quishing (contraction de QR et phishing). Le principe est simple et redoutablement efficace :

• L’escroc imprime un autocollant avec un faux QR code et le colle par-dessus un code légitime : un horodateur de stationnement, la carte d’un restaurant, un avis de contravention ou un terminal de paiement.
• Tu scannes en pensant scanner l’original, et tu atterris sur une page de paiement clonée ou sur un site qui imite ta banque.
• Tu saisis tes informations en croyant régler ton stationnement ou consulter le menu, et tu les transmets directement à l’attaquant.

Le quishing explose pour deux raisons. La première : rien qu’en regardant un QR code, tu ne peux pas lire vers où il pointe. La seconde : quand il arrive par e-mail (un QR code glissé dans une image), il contourne de nombreux filtres antispam qui bloqueraient normalement un lien texte suspect. C’est aussi pour ça que les banques françaises le martèlent : aucun établissement sérieux ne te demande de scanner un QR code reçu par mail pour « vérifier ton compte ».

Comment scanner en toute sécurité

Quelques bons réflexes suffisent à couvrir l’immense majorité des situations.

1. Prévisualise toujours l’URL avant de l’ouvrir

C’est l’étape la plus importante. Un bon scanner de QR code n’ouvre pas le lien d’un coup : il t’affiche d’abord le contenu décodé et te laisse décider. C’est l’idée centrale de QR Toolkit : quand tu scannes un code, l’application le décode directement sur ton appareil et t’affiche le lien complet à l’écran. Tu choisis ensuite de l’ouvrir, de le copier ou de l’ignorer. Rien ne se déclenche sans ton accord, soit exactement l’inverse de ce que recherche le quishing.

2. Lis le domaine à la loupe

Une fois l’URL affichée, observe le domaine. Correspond-il à la marque ou au service que tu attends ? Méfie-toi des variations subtiles : « impots-remboursement.net », « colis-suivi.fr » ou un « arnazon.com » à la place d’« amazon.com ». Les attaquants enregistrent des domaines quasi identiques. Si quelque chose te paraît louche, n’ouvre pas.

3. Utilise un lecteur dédié, pas seulement la caméra

La caméra native de l’iPhone ou d’Android ouvre le lien presque instantanément, en te laissant peu de marge pour l’inspecter. Une application QR code dédiée te donne plus de contrôle : prévisualisation du contenu, historique pour revoir ce que tu as scanné et, dans le cas de QR Toolkit, aucune publicité et aucun SDK de pistage ni identifiant publicitaire.

4. Méfie-toi des QR codes dans l’espace public

Traite les QR codes des lieux publics avec prudence. La signalétique officielle d’un commerce connu est en général fiable ; les autocollants isolés sur un poteau, les affiches trafiquées ou tout code qui semble collé par-dessus un autre méritent la suspicion. Dans le doute, va chercher toi-même le site officiel.

5. Garde ton téléphone à jour

iOS et Android intègrent des protections contre les sites d’hameçonnage et les téléchargements malveillants connus. Maintenir ton système et ton navigateur à jour te garantit les derniers correctifs de sécurité.

Vie privée : est-ce que l’appli piste chacun de mes scans ?

Au-delà de la fraude, il existe une autre facette de la sécurité qui préoccupe de plus en plus en France, sur fond de RGPD et de vigilance de la CNIL : ce que ton application fait de ce que tu scannes. Beaucoup de lecteurs gratuits vivent de la publicité et envoient tes scans vers des serveurs tiers pour te profiler.

Mieux vaut choisir une application respectueuse de tes données. QR Toolkit décode les codes sur l’appareil, n’embarque ni publicité ni traqueur, et n’utilise aucun identifiant publicitaire. Ton historique de scans est stocké dans ton propre compte, protégé par une sécurité au niveau de la ligne (Row-Level Security) sur une infrastructure hébergée en région UE : toi seul·e peux le consulter. Pour un outil du quotidien, cette différence compte autant qu’éviter un lien piégé.

Si ton entreprise utilise des QR codes, protège aussi tes clients

• Utilise toujours du HTTPS dans les URL placées derrière tes codes.
• Pointe vers un domaine que tu possèdes, pas vers un raccourcisseur gratuit qui peut tomber ou être compromis.
• Vérifie régulièrement tes codes physiques au cas où quelqu’un aurait collé un autocollant par-dessus.
• Forme ton équipe : on ne scanne pas un QR code d’origine inconnue sur un appareil professionnel.

Questions fréquentes

Un QR code peut-il installer un virus sur mon téléphone ?

À lui seul, non. Le QR code ne fait que transporter des données. Le risque apparaît s’il t’emmène vers un site malveillant ou vers le téléchargement d’un fichier que tu acceptes. Les téléphones récents demandent une confirmation avant toute installation : le meilleur bouclier reste donc de vérifier le lien avant de l’ouvrir.

Comment savoir si un QR code est sûr avant de l’ouvrir ?

Utilise un lecteur de QR code qui affiche l’URL décodée à l’écran sans l’ouvrir automatiquement. Vérifie que le domaine correspond bien à la marque attendue et méfie-toi des codes collés par-dessus un autre dans un lieu public : c’est la méthode typique de l’hameçonnage par QR code signalé par cybermalveillance.gouv.fr.

Scanner avec la caméra de l’iPhone ou d’Android, c’est risqué ?

C’est raisonnablement sûr, car les deux systèmes t’affichent une notification avec le lien avant de l’ouvrir et bloquent les sites malveillants connus. Cela dit, une application QR code dédiée t’offre une prévisualisation plus claire, un historique et un contrôle total sur ce qui s’ouvre, et quand.