Ils ornent nos menus, nos tickets de stationnement, nos publicités. Les QR codes, longtemps considérés comme de simples facilitateurs du quotidien, deviennent désormais les instruments d’une cybermenace d’ampleur. Derrière leur apparente neutralité graphique, ces petits carrés pixelisés se transforment en portes d’entrée pour les escrocs du numérique. Le phénomène, baptisé quishing, conjugue rapidité d’exécution et sophistication croissante. En quelques mois, il a déjà piégé des dizaines de millions d’Américains.
Arnaque au QR Code : l’absence de méfiance piège des millions d’internautes
By
Published on 28 juillet 2025 6h40
70%70 % des possesseurs d’iPhone ont déjà utilisé un QR code pour initier un paiement
À l’origine, le QR code évoquait une découverte ludique : flasher un panneau dans un musée pour en apprendre davantage sur un dinosaure ou obtenir le plan d’un site historique. Avec la pandémie de Covid-19, cette technologie a brusquement conquis les sphères pratiques : menus sans contact, accès rapides à des formulaires, tickets d’embarquement… L’engouement s’est transformé en automatisme.
C’est ce réflexe numérique, non questionné, que les cybercriminels exploitent désormais. D’après une étude relayée par NBC News, 73 % des citoyens américains scannent des QR codes sans vérifier leur provenance. Un comportement qui a permis à plus de 26 millions d’utilisateurs d’être redirigés vers des sites malveillants, d’après NordVPN.
Quishing : Un procédé simple pour arnaquer via un simple QR Code
Le principe du quishing repose sur une logique élémentaire : substituer un QR code légitime par un faux. Une étiquette autocollante posée sur un parcmètre ou sur une affiche publique suffit à tromper l’utilisateur. L'urgence – payer une amende, accéder à une réduction, remplir un formulaire – fait le reste. « Les escrocs misent sur le fait que vous êtes pressé et que vous devez faire quelque chose », observe Gaurav Sharma, professeur en ingénierie informatique à l’Université de Rochester.
La montée du quishing coïncide avec le renforcement des filtres anti-phishing traditionnels, notamment par e-mail. Pour les hackers, les QR codes représentent donc un contournement ingénieux. Selon la plateforme KeepNet Labs, 26 % des liens malveillants seraient désormais transmis via des QR codes.
La menace touche aussi bien les utilisateurs d’Android que d’iOS. Toutefois, une étude de Malwarebytes révèle que 70 % des possesseurs d’iPhone ont déjà utilisé un QR code pour initier un paiement, contre 63 % chez les utilisateurs Android. Une confiance excessive dans la sécurité de leurs appareils les rend paradoxalement plus vulnérables, notamment faute d’outils de cybersécurité installés.
Alerte aux QR Code qui se multiplient partout
Face à l’ampleur du phénomène, les autorités américaines ont réagi. La Federal Trade Commission (FTC) a alerté, dès janvier 2025, sur la présence de QR codes apposés sur des colis inattendus. À l’échelle locale, des entités comme le New York Department of Transportation ou Hawaiian Electric ont émis des avertissements ciblés sur les fausses pastilles apposées sur les horodateurs ou les factures.
Du côté des chercheurs, Gaurav Sharma planche sur un QR code sécurisé, le SDMQR (Self-Authenticating Dual-Modulated QR), conçu pour détecter automatiquement toute tentative de falsification. Mais sa généralisation nécessite l’adhésion de géants technologiques comme Google ou Microsoft, détenteurs des systèmes de capture photo et des infrastructures mobiles.
Certaines structures prennent les devants. Au Children’s Museum of Indianapolis, fréquenté par plus d’un million de visiteurs par an, les QR codes sont désormais stylisés, intègrent un logo distinctif et sont régulièrement inspectés pour repérer toute substitution. Mais pour Rob Lee, expert en cybersécurité du SANS Institute cité par CNBC, cette évolution rappelle une mécanique bien connue : « Les QR codes n'ont pas été conçus avec la sécurité en tête, mais pour simplifier la vie. C’est justement ce qui les rend si attractifs pour les escrocs. »