Arnaque au QR Code Dynamique : 2 Pièges (2026)
L'arnaque au QR code dynamique a deux visages : des plateformes qui désactivent vos codes et des criminels qui changent la destination. Comment les repérer.
Cet article a ete redige par l'equipe QR Nova. Nous developpons des logiciels de codes QR, ce qui peut influencer notre point de vue.
Cherchez « arnaque au QR code dynamique » et vous trouverez deux problèmes complètement différents sous le même nom, et presque aucun article ne couvre les deux. Les uns vous alertent sur des pirates aux horodateurs. Les autres, sur des factures d'abonnement sournoises. Les deux sont réels et partagent une racine. La destination d'un QR code dynamique peut être changée après l'impression. Cette seule caractéristique est ce qui les rend utiles, et c'est exactement ce qu'exploitent aussi bien les plateformes abusives que les criminels.
En bref
- Deux arnaques, un nom. « Arnaque au QR code dynamique » signifie soit une plateforme qui désactive vos codes si vous ne payez pas, soit un escroc qui change la destination pour vous hameçonner.
- Le risque, c'est la redirection. Les codes dynamiques pointent vers une URL contrôlée par un serveur. Qui contrôle cette URL contrôle où votre code envoie les gens — même après l'impression.
- Le quishing explose. 12 % des attaques de phishing contenaient un QR code en 2025, et les e-mails de phishing par QR sont passés de ~47 000 en août à plus de 249 000 en novembre 2025 (Keepnet).
- Les codes statiques évitent les deux. Un QR code statique intègre l'URL dans l'image — il ne peut pas être redirigé à distance et n'expire jamais.
Les deux sens de « arnaque au QR code dynamique »
Commencez gratuitement — sans piège d'abonnement
CommencerUne arnaque au QR code dynamique est toute fraude qui abuse de la destination modifiable d'un code dynamique. Il y a deux familles. La première est commerciale : une plateforme utilise le fait que vos codes imprimés dépendent de ses serveurs pour vous soutirer un paiement récurrent. La seconde est criminelle : un attaquant contrôle ou remplace un code pour qu'il pointe vers un site malveillant. Le mécanisme est identique dans les deux cas, contrôle d'une redirection, seul l'acteur change.
Cette distinction compte parce que les défenses sont différentes. Le piège de facturation se déjoue en lisant les conditions tarifaires et en choisissant le bon type de code. La fraude de destination se déjoue en vérifiant les URL avant d'agir. Le conseil générique « faites attention aux QR codes » échoue parce qu'il mélange les deux en un avertissement vague qui ne protège contre aucun des deux.
Ce qui rend un code dynamique différent
Un QR code dynamique encode une URL courte qui vit sur le serveur d'un fournisseur, et ce serveur redirige chaque scan vers votre vraie destination. Un QR code statique encode la destination directement dans le motif noir et blanc, sans serveur au milieu. La différence compte parce que le comportement d'un code dynamique est mutable : la même image imprimée peut envoyer les gens vers des endroits différents au fil du temps. Utile pour le marketing. Très utile aussi pour les escrocs. Pour les détails, voyez comment fonctionnent les QR codes dynamiques.
Arnaque n° 1 : la plateforme qui prend vos codes en otage
C'est la version que rencontrent d'abord la plupart des lecteurs de QR Nova. Une plateforme propose des QR codes dynamiques « gratuits », vous les générez, vous les imprimez sur des menus, des emballages ou des affiches, puis ils cessent de fonctionner si vous ne commencez pas à payer. Les codes sont déjà dans le monde physique, donc la plateforme a l'avantage : réactivez en vous abonnant, ou regardez chaque code imprimé mourir.
QRFY indique que les codes dynamiques créés pendant son essai de 7 jours sont désactivés à la fin. QR Tiger limite les codes dynamiques gratuits à 500 scans. Plusieurs plateformes — documentées en 2025 et 2026 — se renouvellent annuellement par défaut avec des conditions non remboursables. La Federal Trade Commission des États-Unis poursuit la facturation trompeuse par renouvellement automatique au titre de sa règle mise à jour depuis 2024. Nous analysons les mécanismes de facturation en profondeur dans notre arnaque à l'abonnement QR code et nommons des contrevenants précis dans arnaques des générateurs de QR code à éviter.
Le signe est simple : si un code que vous avez imprimé peut être éteint par le système de facturation d'autrui, il n'a jamais vraiment été le vôtre — vous louiez l'accès, vous ne possédiez pas un QR code. Nous détaillons le problème du pouvoir du fournisseur dans verrouillage fournisseur de QR code.
Arnaque n° 2 : le criminel qui change votre destination
La seconde arnaque est de la fraude pure, et les chiffres confirment qu'elle a explosé. Comme un code dynamique pointe vers une URL modifiable, un attaquant qui contrôle le compte ou colle simplement un faux autocollant sur un vrai code peut envoyer celui qui scanne vers une page de phishing qui paraît légitime.
L'exemple le plus visible, ce sont les horodateurs. En 2025, des villes partout aux États-Unis ont signalé de faux autocollants QR posés sur les codes de paiement officiels : Austin a trouvé 29 bornes de paiement compromises, Houston a découvert de faux codes à plusieurs endroits et le Département des transports de New York a émis des avertissements publics. Les codes frauduleux pointaient vers des domaines mal orthographiés — « poybyphone » au lieu du vrai « paybyphone » — qui collectaient les données de carte.
Cela ne se limite pas au mobilier urbain. Le 31 juillet 2025, le Centre de plaintes contre la criminalité sur Internet du FBI a émis l'alerte PSA250731 au sujet de colis non sollicités contenant des QR codes qui, une fois scannés, demandent des données personnelles et financières ou déclenchent un téléchargement de logiciel malveillant. La FTC a émis un avertissement parallèle en janvier 2025 sur les colis inattendus accompagnés de notes à QR code.
Pourquoi le « quishing » fonctionne
Le quishing — l'hameçonnage par QR code — déjoue les défenses traditionnelles parce que l'URL malveillante est cachée dans une image. Les filtres de messagerie ne peuvent pas la lire. Vous non plus, d'un coup d'œil. Selon l'analyse de Keepnet de 2025, 12 % des attaques de phishing contenaient un QR code, 26 % de tous les liens malveillants ont été livrés via QR, et 73 % des Américains scannent les codes sans vérifier la destination. Les e-mails de phishing par QR sont passés d'environ 47 000 en août 2025 à plus de 249 000 en novembre 2025. Les victimes ont perdu environ 1 225 dollars en moyenne, d'après le reportage de CNBC de juillet 2025.
Comment distinguer un code arnaque d'un code sûr
Avant de scanner ou d'agir, faites trois vérifications. D'abord, regardez le code physique : est-ce un autocollant posé sur un autre code ? La fraude par collage est l'attaque de rue la plus courante. Ensuite, lisez l'aperçu de l'URL que votre téléphone affiche après le scan — domaines mal orthographiés, raccourcisseurs inconnus et pages de connexion ou de paiement inattendues sont des signaux d'alarme. Enfin, demandez-vous si vous attendiez ce code ; les codes non sollicités sur des colis, des e-mails ou des lettres sont le principal avertissement du FBI.
Pour les codes que vous créez, le test est différent. Scannez votre propre code et regardez l'URL vers laquelle il résout. S'il ouvre le domaine court de la plateforme (qr1.io/abc123, flowco.de/xyz), votre code dépend des serveurs de cette plateforme et peut être désactivé ou redirigé. S'il résout directement vers votre propre domaine, il est plus proche d'un statique et plus difficile à détourner. Nous parcourons le test de survie dans les codes QR expirent-ils ?.
Quand un code dynamique reste le bon choix
Les codes dynamiques ne sont pas le méchant. La destination modifiable a une vraie valeur, et les éviter complètement serait la mauvaise leçon. Le risque tient à la confiance dans le fournisseur et à la sécurité du compte, pas à la technologie.
Pensez-y à trois niveaux. Pour le menu de table d'un restaurant qui ne changera pas (faible complexité), un code statique est l'option la plus sûre et permanente : rien à désactiver, rien à rediriger. Pour une campagne de vente au détail saisonnière dont la page de destination change chaque mois (complexité moyenne), un code dynamique d'un fournisseur transparent vaut son prix par la modification et le suivi. Pour un déploiement national d'entreprise (forte complexité), un code dynamique sur votre propre domaine, avec contrôle d'accès par équipe et journaux d'audit, vous donne le pouvoir de modification sans confier à un tiers le bouton d'arrêt. La question décisive n'est jamais « dynamique ou statique » dans l'abstrait. C'est « qui contrôle la redirection, et peut-il l'éteindre ou la changer sans moi ».
Comment QR Nova élimine les deux risques
QR Nova part du principe qu'un code que vous créez doit rester le vôtre. Les codes statiques sont gratuits et ne nécessitent aucun compte : la destination est dans l'image, donc il n'y a rien à désactiver et rien qu'un attaquant puisse rediriger à distance. Les codes dynamiques, quand vous avez besoin de modification et de suivi, n'expirent jamais parce que vous avez arrêté de payer. Pas de piège de désactivation après l'essai, pas de surprise de renouvellement annuel. Vous pouvez pointer les codes dynamiques vers votre propre domaine pour que les scans ne soient pas otages d'un serveur d'URL courte que nous contrôlons. Les tarifs sont fixes et publics, sans plafonds de scan cachés. Voyez le détail complet sur notre page tarifs ou lisez pourquoi QR Nova existe.
Cela ne vous rend pas immunisé contre la fraude par autocollant dans le monde physique — aucun fournisseur ne peut empêcher un criminel de coller un faux code sur le vôtre sur un horodateur. Mais cela élimine entièrement l'arnaque côté fournisseur, et cela donne à vos clients une destination sur votre propre domaine, plus facile à vérifier comme authentique.
Questions frequentes
Qu'est-ce qu'une arnaque au QR code dynamique ?
Le terme recouvre deux fraudes distinctes. La première est un piège de facturation : une plateforme vous laisse créer des QR codes dynamiques gratuitement, vous les imprimez, puis ils sont désactivés si vous ne payez pas un abonnement. La seconde est une fraude de destination : comme l'URL d'un code dynamique peut être modifiée à tout moment, des criminels changent la destination ou collent un faux code sur un vrai pour vous envoyer vers un site de phishing.
Un QR code dynamique peut-il être piraté après impression ?
Le code imprimé non — le motif noir et blanc ne change jamais. Ce qui change, c'est sa cible. Un QR code dynamique redirige via le serveur de la plateforme, donc quiconque contrôle ce compte (ou la plateforme elle-même) peut le rediriger vers une autre URL sans toucher à votre support imprimé. C'est le risque central que les codes statiques n'ont pas.
Comment savoir si un QR code que j'ai scanné est une arnaque ?
Vérifiez l'URL avant d'agir. La plupart des téléphones affichent un aperçu de la destination après le scan. Si le domaine est mal orthographié (poybyphone au lieu de paybyphone), utilise un raccourcisseur que vous ne reconnaissez pas, ou demande un mot de passe ou un paiement sur une page inattendue, arrêtez-vous. Le FBI conseille de traiter les QR codes non sollicités comme des liens non sollicités.
Les QR codes dynamiques sont-ils sûrs pour mon entreprise ?
Oui, si vous contrôlez le compte et utilisez un fournisseur transparent. Les codes dynamiques sont vraiment utiles pour le suivi et les destinations modifiables. Le risque est du côté du fournisseur : choisissez une plateforme qui ne désactive pas les codes quand vous arrêtez de payer, et ne mettez jamais des codes d'essai sur un support imprimé permanent avant d'avoir confirmé la politique d'annulation.
Qu'arrive-t-il à un QR code dynamique quand l'essai se termine ?
Sur la plupart des plateformes, le code cesse de fonctionner. Les codes dynamiques redirigent via les serveurs d'URL courte du fournisseur, qui refusent de servir les codes sur les comptes impayés ou expirés. QRFY indique que les codes créés pendant son essai de 7 jours sont désactivés à la fin. Le scan se lit toujours, mais la redirection échoue et l'utilisateur voit une erreur.
Combien d'argent perdent les victimes d'arnaques au QR code ?
Les victimes de phishing par QR code ont perdu environ 1 225 dollars en moyenne en 2025, selon le reportage compilé par CNBC en juillet 2025. Le Centre de plaintes contre la criminalité sur Internet du FBI a émis une alerte publique (PSA250731) le 31 juillet 2025 au sujet de colis frauduleux contenant des QR codes, après une hausse mesurable des plaintes.
Les QR codes statiques sont-ils plus sûrs que les dynamiques ?
Pour la permanence et la résistance à la falsification, oui. Un QR code statique encode la destination directement dans l'image, donc il ne peut pas être redirigé à distance et n'expire jamais. La contrepartie est que vous ne pouvez ni le modifier ni mesurer les scans. Pour un support imprimé que vous ne changerez pas, le statique est l'option la plus sûre. Pour des campagnes qui nécessitent des modifications, utilisez un code dynamique d'un fournisseur de confiance.
Articles connexes
Générateur QR Gratuit : Sans Inscription, Sans Piège
Générez un QR code gratuit sans vous inscrire. Sans email, sans carte, sans période d'essai. Les codes QR Nova n'expirent jamais et ont des scans illimités.
L'Arnaque des Abonnements QR Code: Enquête 2026
Les générateurs QR offrent un essai gratuit, vous imprimez vos codes, puis ils les désactivent si vous ne payez pas. Voici comment fonctionne le piège.
Pourquoi les Codes QR Expirent: Les Vraies Causes
Pourquoi les codes QR expirent a une réponse technique précise. Ce n'est pas le code — c'est le serveur de redirection derrière. Les 4 causes et comment les
Commencez gratuitement — sans piège d'abonnement
Commencer