Les QR codes sont-ils vraiment sécurisés ?

Pratiques pour payer, consulter un menu ou ouvrir un lien, les QR codes ne sont pourtant pas fiables par défaut. Le risque ne vient pas du carré noir et blanc, mais de ce qu’il déclenche : découvrez les fraudes possibles et les bons réflexes.

La rédaction UWOS · · 9 min de lecture

Un QR code n’est ni sûr ni dangereux par nature : c’est un simple support d’information, comparable à un lien imprimé sur une affiche. Le vrai risque commence après le scan, lorsqu’il vous dirige vers un site frauduleux, une demande de paiement, un téléchargement ou une action que vous n’avez pas suffisamment vérifiée. Utilisés avec les bons réflexes, ils restent très pratiques ; utilisés dans la précipitation, ils facilitent certaines arnaques.

Un QR code ne « sécurise » pas ce qu’il contient

Un QR code (pour Quick Response) est une image qui encode des données. Il peut contenir une adresse web, un texte, des coordonnées de contact, les paramètres d’un réseau Wi-Fi, un itinéraire, un identifiant de paiement ou l’ouverture d’une application.

Sa forme en noir et blanc ne permet pas à l’œil humain de savoir ce qu’il transporte. Deux codes presque identiques peuvent mener, l’un vers le site officiel d’une marque, l’autre vers une imitation très convaincante. C’est la différence fondamentale avec une adresse web écrite en toutes lettres : le QR code masque l’information jusqu’au scan.

Le code lui-même ne lance normalement pas d’action sans l’intervention de l’utilisateur. Sur un smartphone récent, l’appareil photo affiche en général un aperçu ou une notification proposant d’ouvrir le contenu. Mais beaucoup de personnes appuient immédiatement, sans lire l’URL ni vérifier la page qui s’ouvre. Les fraudeurs comptent précisément sur cette habitude.

Le niveau de sécurité dépend donc de trois éléments : la provenance physique ou numérique du code, le contenu vers lequel il redirige et votre capacité à contrôler l’action demandée.

Les fraudes les plus courantes : le « quishing »

Le terme quishing, contraction de « QR code » et « phishing », désigne les tentatives d’hameçonnage qui passent par un code à scanner. Elles ont un avantage pour les escrocs : les filtres des messageries et les internautes eux-mêmes analysent plus facilement un texte qu’une image contenant une URL invisible.

Le faux site de connexion ou de livraison

Un QR code placé dans un e-mail, un courrier ou une affiche peut prétendre donner accès à un suivi de colis, à un document RH, à une facture ou à une offre commerciale. Une fois scanné, il ouvre une copie de page bancaire, de messagerie ou de service public. L’objectif est de récupérer vos identifiants, votre numéro de carte ou un code de validation.

La mise en scène est souvent crédible : logo connu, charte graphique soignée, message d’urgence et nom de domaine qui ressemble au vrai à une ou deux lettres près. Le cadenas du navigateur, qui signifie seulement que la connexion est chiffrée, ne prouve pas que le site est légitime.

L’autocollant qui remplace un vrai code

Dans un restaurant, sur un abribus, un parcmètre, une borne de recharge ou une affiche, un fraudeur peut recouvrir le QR code d’origine par un autocollant. Le visuel peut paraître officiel, surtout si le support est déjà usé ou si plusieurs codes sont affichés.

Ce scénario est particulièrement sensible pour les paiements et le stationnement. Vous pensez régler un service réel, mais le lien ouvre un faux portail ou prépare un virement vers un autre bénéficiaire.

Les réseaux Wi-Fi, applications et fichiers

Certains QR codes configurent automatiquement une connexion Wi-Fi. Cela peut être utile chez soi ou dans un lieu de confiance, mais il est imprudent de rejoindre sans vérification un réseau inconnu : son nom peut imiter celui d’un hôtel, d’un café ou d’un salon professionnel.

D’autres codes invitent à télécharger un fichier ou une application. Sur iPhone comme sur Android, une installation demande habituellement des étapes supplémentaires ; ce n’est pas une raison pour les accepter. Une application demandée à l’improviste, surtout hors des boutiques officielles, doit être refusée.

Évaluer le risque selon l’action proposée

Tous les QR codes ne présentent pas le même niveau de risque. Ouvrir la carte d’un restaurant n’a pas les mêmes conséquences que donner un mot de passe ou valider une transaction bancaire.

Ce que le QR code proposeNiveau de prudenceVérifications à faire
Afficher un texte, un horaire ou une carteModéréVérifier que le contenu correspond au lieu ou à l’événement.
Ouvrir un site d’informationModéréLire l’URL avant ouverture et repérer un domaine inhabituel.
Se connecter à un compteÉlevéNe pas saisir d’identifiants ; passer par le site ou l’application officielle.
Rejoindre un réseau Wi-FiÉlevéConfirmer le nom du réseau auprès de l’établissement et éviter les échanges sensibles.
Télécharger un fichier ou une applicationTrès élevéRefuser si la demande est imprévue, surtout hors magasin d’applications officiel.
Payer, virer de l’argent ou signer une opérationTrès élevéContrôler bénéficiaire, montant, référence et application utilisée avant validation.

Un bon réflexe consiste à séparer le scan de l’action sensible. Vous pouvez scanner un code pour identifier l’organisme, puis ouvrir de votre côté son application ou taper son adresse dans le navigateur. Cette simple étape neutralise une grande partie des pages de phishing.

Les réflexes qui réduisent fortement le risque

La sécurité ne repose pas sur une application miraculeuse, mais sur quelques contrôles simples, effectués au bon moment.

Lire l’adresse avant de cliquer

Les lecteurs intégrés aux smartphones affichent souvent le lien ciblé avant l’ouverture. Prenez deux secondes pour le lire. Recherchez notamment :

  • un nom de domaine différent de celui de la marque attendue ;
  • une orthographe étrange, des tirets ou des lettres ajoutées ;
  • une extension inhabituelle pour un service français, sans que cela constitue à elle seule une preuve ;
  • une URL raccourcie qui masque totalement la destination ;
  • une demande de connexion ou de paiement incohérente avec le contexte.

Une adresse comme service-exemple.com n’appartient pas nécessairement à exemple.com. La partie déterminante est le nom de domaine situé juste avant l’extension : les sous-domaines placés avant ne garantissent rien. Par exemple, banque.exemple-frauduleux.com appartient à exemple-frauduleux.com, pas à votre banque.

Contrôler le support physique

Face à un QR code public, observez s’il semble collé par-dessus un autre, mal aligné, différent du graphisme environnant ou imprimé sur un matériau distinct. Sur une borne de paiement ou un parcmètre, cherchez aussi les instructions officielles affichées à côté : une collectivité ou un opérateur indique généralement son site, son application et ses modalités de règlement.

Si vous hésitez, ne scannez pas. Demandez au personnel, utilisez l’automate, ou rendez-vous directement sur le site de l’opérateur.

Ne pas céder à l’urgence

Les messages frauduleux utilisent des formulations telles que « paiement à régulariser immédiatement », « compte suspendu » ou « colis bloqué ». Une entreprise sérieuse peut vous demander une action, mais elle ne vous oblige pas à passer par un QR code reçu sans contexte.

Enfin, mettez à jour le système de votre téléphone, votre navigateur et vos applications bancaires. Les mises à jour corrigent des vulnérabilités qui pourraient, dans des situations plus rares, rendre l’ouverture d’un contenu malveillant plus dangereuse.

Paiement par QR code : pratique, mais à valider comme toute transaction

Le QR code est utilisé dans certains commerces, pour des dons, des factures, des collectes ou des services de mobilité. Il peut aussi faire partie de procédures de connexion ou de validation à deux facteurs. Le QR code n’est pas le mécanisme de sécurité : c’est le service de paiement, l’application bancaire et l’étape de confirmation qui doivent protéger l’opération.

Un paiement mérite donc trois contrôles visibles dans l’application :

  1. Le bénéficiaire : son nom doit correspondre au commerce, à l’organisme ou à la personne attendue.
  2. Le montant et la devise : ils doivent être exacts, sans ajout inattendu de frais ou de décimale.
  3. La nature de l’opération : vérifiez qu’il s’agit bien d’un paiement ponctuel, et non d’un mandat, d’un abonnement ou d’un virement dont les conséquences diffèrent.

Ne communiquez jamais un code reçu par SMS, votre code de carte bancaire ou votre phrase de récupération à la suite d’un QR code. Une banque ne vous demandera pas de divulguer ces éléments pour « annuler une fraude » ou « sécuriser un compte ».

Comment les organisations peuvent rendre leurs QR codes plus fiables

Les entreprises, collectivités, restaurants et organisateurs d’événements ont une responsabilité : un QR code posé sans explication crée de l’incertitude. Un dispositif plus fiable ne se résume pas à un logo au centre du code, car un fraudeur peut copier ce logo.

Donner des repères vérifiables

Un support sérieux indique en clair ce que le code ouvre : « Consultez le menu sur restaurant-exemple.fr », « Paiement via l’application X », ou « Informations sur ville-exemple.fr ». L’utilisateur peut alors comparer l’adresse affichée après scan avec celle imprimée sur le support.

Il est préférable d’utiliser un sous-domaine ou une page dédiée du domaine officiel, plutôt qu’un lien raccourci générique. Une identité visuelle cohérente, une impression difficile à recouvrir et une vérification régulière des codes installés dans les lieux publics réduisent aussi le risque de substitution.

Sécuriser les parcours sensibles

Pour une authentification, un paiement ou l’accès à des données personnelles, le QR code doit être complété par une vraie vérification côté service : connexion protégée, confirmation explicite dans l’application, durée de validité courte lorsque c’est nécessaire et contrôle de l’opération affichée à l’utilisateur.

Certaines solutions professionnelles utilisent des QR codes dynamiques, qui changent régulièrement ou renvoient vers un service contrôlé. Cela peut limiter la réutilisation d’un ancien code, mais ne dispense ni de protéger le domaine de destination ni de prévenir clairement les usagers.

Un QR code est donc sûr quand son contexte est maîtrisé et que l’action finale est contrôlée. Avant de scanner, identifiez sa provenance ; avant d’ouvrir, lisez l’adresse ; avant de payer ou de vous connecter, passez par le canal officiel. Ces trois gestes prennent quelques secondes et évitent l’essentiel des pièges.

Questions fréquentes

Un QR code peut-il pirater mon téléphone simplement en le scannant ?

Dans l’immense majorité des cas, non : scanner un QR code avec l’appareil photo ne suffit pas à infecter un smartphone. Le risque apparaît lorsque vous ouvrez le lien proposé, téléchargez un fichier, installez une application ou accordez des autorisations inhabituelles. Gardez votre système et votre navigateur à jour pour limiter aussi l’exploitation de failles rares.

Comment vérifier un QR code avant de l’ouvrir ?

Utilisez l’aperçu affiché par l’appareil photo ou l’application de scan et lisez l’adresse complète. Contrôlez le nom de domaine, l’orthographe, l’extension et la cohérence avec l’organisme annoncé. En cas de doute, allez vous-même sur le site officiel plutôt que de suivre le QR code.

Les QR codes de paiement sont-ils fiables ?

Ils peuvent l’être s’ils déclenchent une application bancaire ou de paiement connue et si vous vérifiez le bénéficiaire, le montant et la référence avant validation. En revanche, un QR code affiché dans un lieu public peut être recouvert par un autocollant frauduleux. Ne payez jamais sans relire les informations présentées par votre banque.

Faut-il installer une application pour lire les QR codes ?

Non, les appareils photo des smartphones récents savent généralement les lire nativement. Éviter les applications de scanner peu connues réduit les risques de collecte excessive de données, de publicité intrusive ou de redirections opaques. Si une application est nécessaire dans un contexte professionnel, privilégiez celle recommandée par l’organisation concernée.

Que faire si j’ai saisi mes identifiants après avoir scanné un faux QR code ?

Changez immédiatement le mot de passe du compte concerné depuis le site officiel, puis activez ou réinitialisez l’authentification à deux facteurs. Si des données bancaires ont été communiquées ou qu’un paiement a été validé, contactez sans délai votre banque. Surveillez enfin les connexions et messages inhabituels liés au compte.

Tech & Innovation #qr code#cybersécurité#phishing#fraude en ligne#smartphone
Poursuivre

À lire ensuite

Toute la rubrique →