GuideNacho G.8 min de lecture

Les codes QR peuvent-ils être piratés ?

Les codes QR peuvent-ils être piratés ? Le code non, mais les attaques de quishing piègent après le scan. Vraies menaces et protection.

Les codes QR peuvent-ils être piratés ?

Cet article a ete redige par l'equipe QR Nova. Nous developpons des logiciels de codes QR, ce qui peut influencer notre point de vue.

La plupart des articles de sécurité sur les codes QR disent soit « ils sont totalement sûrs », soit ils partent dans des avertissements vagues sur les « codes malveillants » sans expliquer comment tout cela fonctionne réellement. Ni l'un ni l'autre n'est utile pour la personne qui vient de recevoir un code QR dans un email inattendu et veut une vraie réponse. Voici ce qui compte vraiment. L'image d'un code QR ne peut pas être piratée, c'est juste un motif imprimé. Ce qui peut être piraté, c'est l'endroit où ce motif vous envoie, et la mécanique du phishing par QR (appelé quishing) est devenue suffisamment sophistiquée pour qu'en 2025, le FBI alerte formellement les entreprises sur l'utilisation des codes QR pour contourner les filtres de sécurité email d'entreprise.

En bref

  • Le code QR lui-même ne peut pas être « piraté », il n'a aucun code exécutable, aucun composant actif.
  • La vraie attaque est le quishing : un code QR malveillant qui vous redirige vers une page de phishing ou un téléchargement de logiciel malveillant.
  • La manipulation physique, de faux autocollants par-dessus de vrais codes QR, est documentée sur le terrain (parcmètres, tables de restaurant).
  • Bonne pratique : prévisualisez toujours l'URL de destination avant de continuer, et ne scannez que les codes traçables à une source de confiance.

Les codes QR peuvent-ils être piratés ?

Generate your first QR code — free

Commencer

Un code QR est un motif de modules noirs et blancs disposés dans une grille carrée, encodant des données selon la norme ISO/IEC 18004. Quand votre caméra le scanne, le téléphone lit ce motif optiquement, de la même manière qu'il lirait un code-barres. Il n'y a aucune exécution de code, aucune transmission de données, aucune requête réseau au moment du scan. L'image du code QR elle-même ne peut pas être piratée, infectée ou transformée en arme.

Ce qui peut être manipulé, c'est le contenu encodé dans le motif. Un code QR qui encode https://votre-banque.com a la même apparence en taille et en structure qu'un code qui encode https://votre-b4nque-login.com. L'œil humain ne peut pas faire la différence en regardant le motif de pixels. La surface d'attaque n'est pas le code QR, c'est l'URL qu'il contient.

Cette distinction compte parce qu'elle change ce contre quoi vous vous protégez réellement. Vous ne vous protégez pas contre le fait que le code QR fasse quelque chose à votre téléphone. Vous vous protégez contre le fait d'être envoyé quelque part où vous n'aviez pas l'intention d'aller.

La vraie menace : le quishing (phishing par code QR)

Le quishing est l'utilisation de codes QR pour délivrer des attaques de phishing. La technique a un avantage critique sur le phishing traditionnel : la plupart des outils de sécurité email d'entreprise, filtres anti-spam, scanners de liens, bacs à sable, analysent les URL textuelles. Un code QR est une image. L'URL malveillante est invisible pour les scanners automatisés.

En 2025, l'Internet Crime Complaint Center du FBI a émis un avertissement spécifiquement sur les campagnes de quishing ciblant les employés d'entreprise. Le schéma d'attaque est cohérent : un email avec un code QR intégré comme image, prétendant que le destinataire doit le scanner pour vérifier son compte, compléter une étape d'authentification multifacteur, ou accéder à un document partagé. Le code QR les envoie vers une fausse page de connexion Microsoft 365 ou Okta. Les identifiants sont récoltés.

Selon un rapport de janvier 2026 par Help Net Security, les chercheurs de l'université de Deakin ont documenté comment les codes QR visuellement stylisés, ceux avec des couleurs personnalisées, des logos ou des motifs artistiques, sont utilisés spécifiquement pour contourner les outils de détection de codes QR basés sur l'IA. Un code stylisé est visuellement distinct des données d'entraînement utilisées par la plupart des modèles de détection, et passe donc à travers.

L'ampleur n'est pas négligeable. La recherche de NordVPN citée dans leur analyse de sécurité 2025 a révélé que 73 % des Américains scannent des codes QR sans vérifier l'URL de destination, et plus de 26 millions d'utilisateurs ont été redirigés vers des sites malveillants via des codes QR. Ce ne sont pas des cas isolés, cela se produit à grande échelle.

Manipulation physique : l'attaque par autocollant

L'attaque de quishing numérique est le vecteur de menace sophistiqué. L'attaque par manipulation physique est plus simple et sans doute plus difficile à détecter sans sensibilisation.

La mécanique : un acteur malveillant imprime un nouveau code QR encodant son URL de phishing, le découpe à la bonne taille et le place comme autocollant par-dessus un code QR légitime. L'autocollant ressemble exactement à l'original, même taille approximative, même motif noir et blanc. Un utilisateur qui scanne sans attention voit ce qui semble être le code QR du menu du restaurant ou le code de paiement du parcmètre.

Cette attaque est bien documentée dans le monde réel, pas seulement dans la recherche en sécurité. En 2025, le département des Transports de la ville de New York a émis un avertissement formel après avoir découvert des autocollants de codes QR frauduleux placés sur des parcmètres dans toute la ville. Les automobilistes qui scannaient l'autocollant étaient dirigés vers une fausse page de paiement. La Federal Trade Commission américaine a émis une alerte consommateur la même année avertissant spécifiquement des codes QR sur des « colis inattendus », un vecteur de fraude courant où un colis arrive avec un code QR demandant au destinataire de scanner pour réclamer un remboursement ou un cadeau.

Comment repérer un code QR falsifié

Il n'existe aucun test visuel fiable qui distingue un code QR légitime d'un code malveillant par le seul motif. Ce que vous pouvez vérifier :

  • État physique: Un autocollant placé sur un code original a souvent des bords légèrement en relief, un décalage avec le support environnant, ou une texture de papier différente. Regardez, ne faites pas que scanner.
  • Vérification du domaine: Après le scan, avant de toucher quoi que ce soit, vérifiez l'URL que votre scanner affiche. Un parcmètre à Paris ne devrait pas vous envoyer vers paiement-stationnement-paris.ru.
  • Contexte attendu: Un code QR sur un menu de restaurant devrait mener au domaine de ce restaurant. Un code sur une boîte de produit devrait mener au site du fabricant. Si le domaine ne correspond pas à ce que vous attendez, arrêtez.

Attaques étatiques par code QR

Ce n'est pas juste de la fraude aux consommateurs. En 2025, les chercheurs en sécurité de Sentinel Labs ont documenté que des pirates informatiques nord-coréens liés au groupe APT Kimsuky intégraient des codes QR malveillants dans des emails de spear-phishing ciblés, dirigés vers des sous-traitants gouvernementaux et des chercheurs de think tanks. Les codes redirigeaient les victimes vers de fausses pages de connexion pour Microsoft 365, Okta et des portails VPN, récoltant des jetons de session permettant un accès persistant.

La raison pour laquelle les codes QR sont efficaces à ce niveau : les employés ciblés sont souvent formés à se méfier des liens textuels mais n'ont pas été formés à traiter les codes QR avec le même scepticisme. Un code QR dans un email d'apparence professionnelle ne déclenche pas la même alarme qu'une URL textuelle suspecte.

Quand les codes QR sont parfaitement sûrs

Le profil de risque change complètement selon le contexte dans lequel un code QR apparaît. Pour un regard plus approfondi sur la sécurité des codes QR, consultez notre guide complet de sécurité. Voici quand les codes QR ne présentent effectivement aucun risque :

Vous avez créé le code QR vous-même

Si vous utilisez un générateur QR pour créer un code pointant vers votre propre site web, vos identifiants WiFi ou votre carte de contact, il n'y a aucune surface d'attaque. Vous contrôlez à la fois le code et la destination. Le générateur de code QR URL de QR Nova génère les codes côté client, aucun serveur impliqué, aucune donnée conservée. Vous obtenez le code, vous l'imprimez, vous le contrôlez.

Le code est sur un produit physique acheté dans un emballage scellé

Un code QR imprimé en usine sur une boîte de produit est extrêmement peu susceptible d'être falsifié. L'attaque nécessiterait un accès physique à l'inventaire scellé. C'est théoriquement possible mais pratiquement rare comparé au vecteur d'attaque par autocollant sur code existant.

Vous pouvez vérifier visuellement que le code correspond à la surface attendue

Un code QR imprimé directement sur une nappe ou gravé sur un panneau est bien plus difficile à falsifier qu'un code sur un insert papier. Plus le code est intégré à sa surface, plus le risque de falsification est faible.

Quand vous devriez être sceptique

C'est la section que la plupart des articles de sécurité génériques omettent, ils vous disent de vous méfier de tout, ce qui crée une fatigue d'alerte. Voici quand un scepticisme accru est véritablement justifié :

  • Colis ou livraisons inattendus: L'avertissement de la FTC de 2025 signale spécifiquement ceci. Si un colis arrive de manière inattendue avec un code QR vous demandant de scanner pour un remboursement ou un cadeau, traitez-le comme une tentative de phishing.
  • Codes QR dans les emails, particulièrement avec un cadrage d'urgence: « Scannez maintenant pour réclamer votre récompense » est un déclencheur d'ingénierie sociale, pas une fonctionnalité.
  • Codes QR publics dans les zones à fort trafic: Les parcmètres, les distributeurs automatiques et tout ce qui gère du paiement sont des cibles documentées pour les attaques par autocollant. Vérifiez le domaine avant de procéder à toute transaction financière.
  • Codes QR sur des prospectus imprimés dans les espaces publics: Faciles à imprimer, faciles à placer. Un prospectus annonçant un concert avec un code QR pour les billets peut être légitime ou non. Vérifiez le domaine.

Comment les générateurs de codes QR affectent la sécurité

La plateforme que vous utilisez pour générer des codes QR affecte la sécurité d'une manière importante : les codes QR dynamiques créés par des plateformes passent par les serveurs de redirection de cette plateforme. Cela signifie que l'acteur malveillant n'a pas besoin de compromettre votre code, il doit compromettre l'infrastructure de redirection de la plateforme, ce qui est un niveau d'exigence plus élevé.

Plus pertinent pour les créateurs légitimes de codes QR : les propres pratiques de sécurité de la plateforme comptent. Si les serveurs de la plateforme sont compromis et que vos règles de redirection sont modifiées à votre insu, un code auparavant sûr pourrait être redirigé vers une destination malveillante. C'est pourquoi la plateforme de codes QR dynamiques que vous choisissez devrait avoir des pratiques de sécurité claires, la 2FA sur les comptes, et la journalisation des audits pour les changements de destination.

Les codes QR statiques, ceux qui encodent une URL directement sans couche de redirection, éliminent entièrement cette surface d'attaque. Il n'y a aucun serveur à compromettre, aucun compte à pirater. L'URL encodée est fixe et transparente. Pour les codes QR WiFi, les cartes de contact, et tout code pointant vers une destination stable, les codes statiques sont intrinsèquement plus sûrs parce que leur comportement ne peut pas être modifié après la création.

Liste de contrôle pratique de sécurité pour les utilisateurs de codes QR

Voici ce qui réduit réellement le risque, par ordre d'impact :

  1. Utilisez un scanner QR qui prévisualise l'URL avant le chargement. iOS (caméra native) et Android (Google Lens) affichent l'URL de destination en aperçu. Appuyez sur l'aperçu d'URL pour le lire, ne faites pas juste « ouvrir ». Sur iOS, un appui long sur la notification affiche l'URL complète avant de vous engager à la charger.
  2. Faites correspondre le domaine à vos attentes. Vous scannez un code à la réception d'un hôtel ? L'URL devrait avoir le domaine de l'hôtel. Au restaurant ? Devrait avoir le domaine du restaurant ou une plateforme QR reconnue (qrcode-tiger.com, qr-nova.com, etc.). Un décalage est un signal d'alerte.
  3. Soyez sceptique face aux codes QR avec un cadrage d'urgence. « Scannez maintenant pour réclamer votre récompense » est un déclencheur d'ingénierie sociale, pas une fonctionnalité.
  4. N'entrez jamais de données de paiement via un scan de code QR sans avoir vérifié l'URL complète. Les 5 secondes supplémentaires de vérification sont l'intégralité de la défense contre les arnaques aux parcmètres.
  5. Pour les entreprises créant des codes QR : utilisez une plateforme avec 2FA sur le compte. Si votre compte est compromis, les destinations de vos codes QR peuvent être changées sans réimprimer quoi que ce soit.

L'approche de QR nova en matière de sécurité

QR Nova génère les codes QR statiques côté client, l'URL que vous entrez ne quitte jamais votre navigateur jusqu'à ce que le code soit rendu. Il n'y a pas de base de données de comptes à pirater pour le contenu des codes statiques. Les codes que vous téléchargez sont les vôtres, sans dépendance serveur et sans couche de redirection qui pourrait être compromise.

Pour les utilisateurs créant des codes QR à partager avec d'autres : le générateur de codes QR gratuit produit des codes statiques qui se comportent exactement comme spécifié, à chaque fois. Il n'y a pas d'infrastructure de redirection qui pourrait être compromise et pas de surface d'attaque au niveau de la plateforme qui pourrait changer la destination de vos codes.

Si vous avez besoin de codes dynamiques, destinations modifiables, suivi des scans, le modèle de sécurité de la plateforme compte davantage. Toute plateforme de QR dynamique qui se respecte devrait offrir la 2FA sur les comptes, des redirections HTTPS uniquement, et des notifications quand une URL de destination est modifiée. Demandez directement à votre plateforme si ces fonctionnalités existent avant d'imprimer à grande échelle.

Vous pouvez créer un code QR statique sécurisé gratuitement sur QR Nova, sans compte requis, sans couche de redirection, sans dépendance serveur.

Questions frequentes

Un code QR peut-il donner un virus à mon téléphone ?

L'image du code QR elle-même ne peut pas infecter votre téléphone, le scan n'est que de la reconnaissance optique de motifs. Le risque vient de l'endroit où le code vous envoie : une URL malveillante peut mener à une page de phishing, un site de téléchargement furtif ou un formulaire de récolte d'identifiants. Le code QR est le mécanisme de livraison, pas l'arme.

Qu'est-ce que le quishing ?

Le quishing est le phishing par code QR, utiliser un code QR pour rediriger les victimes vers une fausse page de connexion ou un téléchargement de logiciel malveillant. Il contourne les filtres de sécurité email traditionnels car la plupart des outils anti-phishing analysent les liens textuels, pas les images intégrées. En 2025, l'Internet Crime Complaint Center (IC3) du FBI a documenté une hausse des attaques de quishing ciblant les identifiants d'entreprise via des codes QR dans les emails.

Comment savoir si un code QR est sûr avant de le scanner ?

Vous ne pouvez pas entièrement vérifier un code QR avant de le scanner sans une application qui prévisualise l'URL avant de l'ouvrir. Pratiques sûres : ne scannez que les codes que vous pouvez physiquement relier à une source connue, utilisez un scanner qui affiche l'URL de destination avant le chargement, et ne scannez jamais de codes QR sur des colis inattendus, des emails ou des autocollants publics qui n'étaient pas là avant.

Quelqu'un peut-il remplacer un vrai code QR par un faux ?

Oui, c'est l'attaque physique par code QR la plus courante. Des autocollants frauduleux placés sur des codes QR légitimes ont été documentés sur des parcmètres à New York (2025), des tables de restaurant et des distributeurs automatiques. L'autocollant semble identique. La seule défense est de vérifier que la destination du code QR correspond au domaine attendu avant de continuer.

Les codes QR des menus de restaurant sont-ils sûrs ?

Les codes QR placés par le restaurant sur leurs propres supports physiques sont presque toujours sûrs, le restaurant contrôle à la fois le code et sa destination. Le risque est un code falsifié : un autocollant placé par-dessus l'original. Si le domaine dans l'URL ne correspond pas au site connu du restaurant, ne continuez pas.

Les codes QR peuvent-ils voler mes informations personnelles ?

Le code QR lui-même ne peut pas voler d'informations, il n'a ni script, ni composant actif. Mais le site vers lequel il vous dirige, si. Une fausse page de connexion convaincante, par exemple, récolte les identifiants quand vous essayez de vous connecter. Le code QR n'est que le mécanisme de livraison pour vous amener à cette fausse page.

Que faire si je pense avoir scanné un code QR malveillant ?

Fermez immédiatement l'onglet du navigateur sans entrer aucune information. Si vous avez entré des identifiants, changez le mot de passe de ce service tout de suite. Lancez un scan avec l'application de sécurité de votre téléphone. Signalez le code suspect au lieu, à l'organisation ou à la plateforme où vous l'avez trouvé.

Est-il sûr de mettre un code QR sur ma carte de visite ?

Oui. Un code QR que vous générez et imprimez sur votre propre carte de visite est entièrement sûr, vous contrôlez à la fois le code et la destination. La préoccupation de sécurité survient quand d'autres personnes distribuent des codes QR qu'elles ont créés, pas quand vous créez les vôtres à des fins légitimes.

Generate your first QR code — free

Commencer