Les codes QR sont généralement pratiques, rapides et tout à fait normaux à utiliser. Vous en voyez chaque jour sur les tables de restaurant, les emballages de produits, les affiches, les billets, les panneaux de stationnement, les brochures et les cartes de visite. Mais un code QR n’est fiable qu’à hauteur de la destination vers laquelle il renvoie.
C’est là que se situe le vrai risque. Un code QR faux ou malveillant peut envoyer quelqu’un vers une page de phishing, un faux portail de paiement, un faux écran de connexion, ou une autre destination conçue pour voler de l’argent, des mots de passe ou des informations personnelles. Le code QR lui-même peut sembler inoffensif. Le danger commence après le scan.
Réponse rapide : les codes QR sont généralement sûrs lorsqu’ils proviennent d’une source fiable et mènent là où vous vous y attendez. Ils deviennent risqués lorsque le code a été remplacé, altéré, envoyé dans un message suspect, ou utilisé pour vous rediriger vers une fausse page de connexion, de paiement ou de compte.
Les codes QR sont-ils sûrs en général ?
Oui, dans la plupart des situations du quotidien, ils le sont. Un code QR sur le menu d’un restaurant, un billet d’événement, une boîte de produit, ou une carte de visite n’est pas automatiquement dangereux simplement parce que c’est un code QR.
La question la plus utile n’est pas « Cette image carrée est-elle sûre ? » mais « Est-ce que je fais confiance à l’endroit vers lequel ce code m’envoie ? » C’est là que se prend la vraie décision. Un code QR légitime et un code QR malveillant peuvent paraître presque identiques avant le scan.
| Risque généralement plus faible | Risque généralement plus élevé |
|---|---|
| Code QR de menu sur une table dans un restaurant connu | Code QR aléatoire dans un email ou un SMS inattendu |
| Code QR sur une carte de visite d’une personne que vous venez de rencontrer | Autocollant posé sur un autre code QR dans un lieu public |
| Code QR sur l’emballage d’origine d’un produit d’une marque connue | Code QR incitant à un paiement urgent, à une connexion ou à une récupération de compte |
Règle simple : plus un code QR vous semble inattendu, plus vous devez être prudent avant de l’ouvrir.
Comment fonctionnent généralement les faux codes QR et les codes QR malveillants
Un code QR malveillant ne vous « pirate » généralement pas au simple scan. Il repose plutôt sur l’ingénierie sociale. Il cherche à vous faire confiance au code, à ouvrir le lien, puis à effectuer une action risquée ensuite.
| Tactique | À quoi cela ressemble | Ce que l’escroc veut obtenir |
|---|---|---|
| Fausse page de connexion | Le code QR ouvre une page qui ressemble à celle de votre banque, de votre entreprise, d’un transporteur ou d’un fournisseur de services | Votre nom d’utilisateur, votre mot de passe ou vos informations de récupération de compte |
| Fausses pages de paiement | Le code QR ouvre un portail de paiement pour le stationnement, la crypto, des cadeaux ou une « résolution urgente de compte » | Votre argent ou les détails de votre carte |
| Logiciel malveillant ou téléchargement risqué | La page pousse à installer une application, à télécharger un fichier, ou à suivre un faux processus de « mise à jour de sécurité » | L’accès à votre appareil ou à vos données |
| Code QR public altéré | Un faux autocollant est placé sur un vrai code QR dans un lieu public | Détourner un moment de scan de confiance |
| Arnaque par code QR envoyé dans un message | Le code QR arrive par SMS, email, insert dans un colis ou conversation, avec une pression pour agir vite | Contourner votre prudence habituelle |
En bref, un code QR malveillant fonctionne souvent en rendant la destination suffisamment urgente, familière ou pratique pour que vous cessiez de vérifier avec attention.
10 signes d’alerte qu’un code QR peut être malveillant
Un seul signe d’alerte ne prouve pas toujours une arnaque. Mais plusieurs signes réunis doivent vous faire arrêter et vérifier avant de scanner.
1. Il apparaît dans un message inattendu
Soyez prudent avec les codes QR dans des SMS, emails ou notes de colis surprises qui vous poussent à agir rapidement.
2. Il semble avoir été altéré
Un autocollant posé sur un autre code, des bords irréguliers, ou un style d’impression incohérent sont des signes d’alerte sérieux.
3. Le message crée un sentiment d’urgence
« Agissez maintenant », « votre compte est en danger » ou « confirmez immédiatement » sont des déclencheurs classiques d’arnaque.
4. L’aperçu de la destination semble étrange
Fautes d’orthographe, domaines bizarres, caractères supplémentaires, ou nom de marque presque correct sont autant de signaux d’alerte.
5. Il demande rapidement des identifiants
Une page qui demande un mot de passe immédiatement après le scan doit vous inciter à ralentir et à vérifier d’abord.
6. Il demande un paiement dans un contexte étrange
Les demandes de paiement pour le stationnement, la crypto, des cartes cadeaux ou « sécuriser ce compte maintenant » exigent une vigilance supplémentaire.
7. Il demande trop d’informations
Si un simple scan mène soudainement à des demandes de numéro de carte complet, de mots de passe, de codes à usage unique ou de données d’identité, arrêtez-vous.
8. L’image de marque paraît incohérente
Une formulation maladroite, un mauvais design, l’absence d’informations sur l’entreprise, ou des logos incohérents peuvent indiquer que la destination est fausse.
9. Il vous pousse à installer quelque chose
Les installations d’apps ou téléchargements de fichiers inattendus doivent être traités avec prudence, surtout si ce n’était pas la raison du scan.
10. Le contexte n’a pas de sens
Si le code QR apparaît dans un endroit où il semble aléatoire, déplacé, ou sans rapport avec ce que vous faisiez, faites confiance à votre instinct et vérifiez d’abord.
Comment scanner un code QR de façon plus sûre
La sécurité avec les codes QR repose surtout sur le fait de ralentir quelques secondes avant d’ouvrir la destination.
- Privilégiez les codes QR provenant de sources et de lieux auxquels vous faites déjà confiance
- Inspectez les codes QR publics pour repérer des autocollants superposés ou des signes d’altération
- Vérifiez l’aperçu de la destination avant d’ouvrir le lien
- Soyez particulièrement prudent avec les codes QR dans des SMS et des emails inattendus
- Utilisez si possible le scanner intégré à votre téléphone plutôt qu’une application QR tierce aléatoire
- Si le code QR est censé provenir d’une entreprise, vérifiez via son site officiel ou son numéro de téléphone connu
- Ne saisissez pas de mots de passe, de codes à usage unique ou d’informations de paiement tant que vous n’êtes pas sûr que la page est authentique
- Gardez votre téléphone et vos applications à jour afin que les protections de sécurité restent actuelles
Meilleure habitude : traitez un code QR inattendu comme vous traiteriez un lien inattendu. La praticité ne doit pas annuler la prudence.
Que faire si vous avez déjà scanné un code QR suspect
Ne paniquez pas. Ce qui compte, c’est ce qui s’est passé après le scan.
| Si cela s’est produit | Faites ceci ensuite |
|---|---|
| Vous avez ouvert la page mais n’avez rien saisi | Fermez la page, n’allez pas plus loin, et vérifiez la situation via une source officielle avant de réessayer |
| Vous avez saisi un mot de passe ou des identifiants | Changez immédiatement le mot de passe, changez-le partout où vous l’avez réutilisé, et activez l’authentification multifacteur si ce n’est pas déjà fait |
| Vous avez saisi des informations bancaires ou de carte | Contactez immédiatement votre banque ou l’émetteur de votre carte et expliquez que vos informations de paiement ont peut-être été exposées à une fraude |
| Vous l’avez scanné sur un téléphone ou un ordinateur professionnel | Signalez-le à votre équipe informatique ou sécurité dès que possible |
| Vous avez téléchargé quelque chose ou suivi des étapes d’installation | Lancez une vérification de sécurité sur l’appareil, supprimez tout ce qui paraît suspect, et demandez de l’aide technique en cas de doute |
Si le scan a entraîné une exposition de compte, une perte d’argent, ou la compromission d’un appareil professionnel, agir vite est bien plus important que d’essayer de régler cela discrètement par vous-même.
Comment les entreprises peuvent rendre les codes QR légitimes plus rassurants
Si vous utilisez des codes QR dans votre activité, vous pouvez réduire l’hésitation des clients en rendant le code clairement légitime.
- Placez les codes QR là où ils s’intègrent logiquement dans le parcours client
- Ajoutez un texte CTA clair comme « Scanner pour voir le menu » ou « Scanner pour laisser un avis »
- Utilisez une image de marque cohérente pour que les clients reconnaissent la source
- Inspectez régulièrement les codes QR imprimés dans les lieux publics pour détecter toute altération ou superposition d’autocollants
- Évitez de semer la confusion avec trop de codes différents dans une même zone
- Gardez la page de destination rapide, adaptée au mobile et cohérente avec la promesse imprimée
Un code QR digne de confiance n’est pas seulement facile à scanner. Il paraît aussi attendu, clair et facile à vérifier.
Erreurs courantes à éviter
- Scanner un code QR dans un message auquel vous ne vous attendiez pas
- Ignorer les signes qu’un autocollant QR public a été placé sur autre chose
- Ouvrir une destination suspecte sans vérifier l’aperçu au préalable
- Saisir des mots de passe ou des informations de paiement sur une page simplement parce qu’elle semble familière
- Supposer que tous les codes QR dans les lieux publics sont automatiquement sûrs
- Utiliser des applications de scan QR tierces aléatoires alors que votre téléphone en a déjà une intégrée
- Attendre trop longtemps avant d’agir après avoir saisi des informations sensibles sur une page suspecte
Le schéma d’arnaque le plus courant ne repose pas sur une sophistication technique. Il repose sur l’urgence, la confiance et l’habitude. C’est pourquoi une pause de deux secondes avant d’appuyer est si importante.
FAQ
Les codes QR sont-ils sûrs à scanner ?
En général, oui, lorsqu’ils proviennent d’une source fiable et que la destination correspond à ce que vous attendez. Le risque vient de la page, du fichier ou de l’action derrière le code.
Un code QR peut-il à lui seul pirater mon téléphone ?
Le risque principal vient généralement de ce qui s’ouvre après le scan, comme une page de phishing, un faux portail de paiement, ou une invitation à télécharger un fichier malveillant.
Quel est le plus grand signe d’alerte d’un faux code QR ?
Un contexte inattendu est l’un des plus grands signes d’alerte, surtout lorsque le code QR crée un sentiment d’urgence, demande des identifiants ou des informations de paiement, ou semble avoir été altéré.
Les codes QR dans les restaurants et les magasins sont-ils généralement sûrs ?
Souvent, oui, mais vous devez quand même rechercher des signes d’altération et vérifier si la destination est logique pour l’endroit où vous vous trouvez.
Dois-je scanner des codes QR reçus par email ou SMS ?
Soyez beaucoup plus prudent. Les codes QR inattendus dans les emails et les SMS sont un schéma d’arnaque courant, car ils peuvent masquer la vraie destination jusqu’après le scan.
Que dois-je faire si j’ai saisi mon mot de passe après avoir scanné un code QR suspect ?
Changez immédiatement le mot de passe, changez-le partout où vous l’avez réutilisé, et activez l’authentification multifacteur si elle est disponible.
Prêt à créer un code QR fiable et facile à utiliser ?
Créez un code QR pour votre site web, menu, page d’avis, campagne, page d’entreprise, ou parcours d’assistance et rendez la destination claire dès le premier scan.