GuideNacho G.8 min de lecture

Scanner un code QR est-il sûr ? Risques réels

Les codes QR sont-ils sûrs ? Le code ne nuit pas, mais sa destination, si. Risques réels, mythes et comment scanner en sécurité.

Scanner un code QR est-il sûr ? Risques réels

Cet article a ete redige par l'equipe QR Nova. Nous developpons des logiciels de codes QR, ce qui peut influencer notre point de vue.

Les articles sur la sécurité des codes QR se divisent en deux camps : les avertissements paranoïaques qui suggèrent de ne jamais rien scanner, et les assurances désinvoltes que les codes QR ne sont « que des liens ». Les deux passent à côté de l'essentiel. Les codes QR sont sûrs à scanner de la même manière que cliquer sur un lien est sûr, le code lui-même ne peut pas endommager votre appareil, mais ce vers quoi il vous dirige, si. Le modèle de menace réel est spécifique, les risques sont réels dans des contextes définis, et les éviter prend environ 10 secondes de jugement par scan.

En bref

  • Scanner un code QR ne peut pas, en soi, installer de logiciel malveillant ni voler des données, c'est l'équivalent de taper une URL.
  • Le risque est la destination : sites de phishing, téléchargements malveillants et vol d'identifiants via de fausses pages de paiement.
  • Le phishing par code QR (quishing) est un vecteur d'attaque documenté et en croissance, le FBI a formellement alerté à ce sujet en janvier 2024.
  • La manipulation physique (autocollants par-dessus les codes légitimes) est l'attaque réelle la plus courante ; les codes QR numériques dans les emails sont le vecteur spam/phishing le plus courant. En savoir plus sur comment les codes QR peuvent être piratés.
  • La plupart des scans de codes QR, menus de restaurant, emballages, cartes de visite, comportent un risque négligeable.

Les codes QR sont-ils sûrs ?

Generate your first QR code — free

Commencer

Un code QR est un motif lisible par machine encodant du texte, généralement une URL, mais potentiellement n'importe quelle courte chaîne de données. Quand votre téléphone le scanne, la caméra décode le motif et présente le texte. À ce stade, rien de nuisible ne s'est produit. Le code QR lui-même n'a aucun composant exécutable, aucune charge utile, aucune capacité d'exécuter du code sur votre appareil.

Le risque commence quand votre téléphone agit sur ce texte décodé. Si le code QR encode une URL et que votre téléphone l'ouvre automatiquement, vous avez navigué vers cette URL, et tout ce qui peut mal tourner en visitant une URL malveillante peut maintenant mal tourner. C'est l'équivalent de cliquer sur un lien dans un email d'un expéditeur inconnu.

Comprendre cette distinction détermine la bonne réponse. Vous ne vous protégez pas contre les codes QR. Vous vous protégez contre ce vers quoi ils renvoient.

La vraie menace : le quishing (phishing par code QR)

Le quishing, phishing par code QR, est le principal vecteur d'attaque documenté impliquant des codes QR, et il est en croissance. La Cyber Division du FBI a publié une annonce officielle de service public en janvier 2024 avertissant que les cybercriminels « falsifient à la fois les codes QR numériques et physiques pour rediriger les victimes vers des sites malveillants ».

La mécanique est simple. Les attaquants savent que la plupart des passerelles de sécurité email analysent les hyperliens pour détecter les domaines malveillants connus, mais n'analysent pas les images intégrées. En plaçant un code QR dans un email de phishing au lieu d'un hyperlien, ils contournent les défenses d'analyse de liens. La victime scanne avec son téléphone, souvent un appareil personnel non couvert par le logiciel de sécurité de l'entreprise, et atterrit sur une page de vol d'identifiants.

Selon un rapport de renseignement sur les menaces de Hoxhunt en 2024, les attaques de phishing par code QR ont augmenté de 587 % au premier semestre 2024 par rapport à la même période en 2023. Ce n'est pas théorique. C'est un schéma d'attaque actif et documenté.

L'arnaque du parcmètre : quishing physique dans le monde réel

Le quishing physique cible les lieux à fort trafic et faible surveillance. Le schéma le plus documenté en 2023–2024 était les faux codes QR de paiement de stationnement. Les attaquants ont placé des autocollants sur les codes QR de paiement légitimes des parcmètres dans des villes comme Austin, San Antonio et Houston (signalé par le département de police d'Austin en février 2023). Les victimes scannaient le code autocollant, entraient leurs données de carte bancaire sur une fausse page de paiement convaincante, et ne payaient rien tandis que leurs données de carte étaient volées.

Cette attaque fonctionne parce que les parcmètres sont des infrastructures extérieures que la plupart des gens n'inspectent pas attentivement avant de scanner. Distinguer un autocollant placé sur un code existant de l'original nécessite de vérifier physiquement si le code est en relief ou présente des bords visibles. La plupart des gens ne le font pas.

Comment savoir si un code QR est sûr à scanner

Vous ne pouvez pas vérifier définitivement la sécurité d'un code QR avant de le scanner, c'est le défi fondamental. Mais vous pouvez réduire substantiellement le risque avec quelques habitudes.

Utilisez un scanner QR qui prévisualise l'url

Savoir comment scanner un code QR en toute sécurité commence par votre application de scanner. Les applications photo par défaut sur iOS et Android ouvrent les URL automatiquement après un bref affichage. La plupart des utilisateurs ne lisent pas l'aperçu. Une application dédiée de scanner QR (Kaspersky QR Scanner, Trend Micro QR Scanner, ou similaire) vous montre l'URL complète et vous demande de confirmer avant de l'ouvrir. Cela vous donne l'occasion de lire le domaine avant de continuer.

Signaux d'alerte dans l'aperçu de l'URL : domaines inconnus, domaines mal orthographiant des marques connues (paypa1.com, arnazon.com), raccourcisseurs d'URL (bit.ly, tinyurl.com) qui masquent la destination réelle, et URL HTTP (non-HTTPS).

Inspectez les codes physiques pour détecter une manipulation

Pour les codes QR dans les espaces publics, surtout ceux liés au paiement (stationnement, distributeurs, transports), vérifiez si le code est :

  • Intégré au support imprimé original (intégré dans le design, pas ajouté après)
  • Plat contre la surface sans bords en relief ni jointure d'autocollant
  • Cohérent en style avec le support environnant

Si l'un de ces contrôles échoue, traitez le code comme potentiellement compromis. Pour les codes de paiement, cherchez une adresse de site web officielle ou un numéro de téléphone sur le parcmètre/la machine et utilisez cela pour payer à la place.

Le contexte est le meilleur prédicteur du risque

Le profil de risque d'un scan de code QR est fortement corrélé à la manière et à l'endroit où il est apparu :

  • Risque faible : Emballage de produit d'une marque connue, menus de restaurant imprimés et plastifiés par le restaurant, cartes de visite d'une personne que vous venez de rencontrer, badges et billets d'événement, codes QR en magasin de détaillants établis.
  • Risque moyen : Codes QR dans les newsletters d'entreprises auxquelles vous êtes inscrit, codes QR sur des prospectus dans les espaces publics, codes sur des notes manuscrites.
  • Risque élevé : Codes QR dans des emails ou SMS non sollicités (surtout ceux créant un sentiment d'urgence), codes dans des emails usurpant votre banque ou employeur, codes sur des parcmètres ou kiosques de paiement publics avec des superpositions d'autocollants, codes promettant des cadeaux ou des prix gratuits.

Ce qui ne peut pas mal tourner quand vous scannez un code QR

Clarifier les fausses menaces est aussi utile qu'identifier les vraies. Malgré ce que certains articles de sécurité laissent entendre, ces choses ne peuvent pas se produire en scannant un code QR :

  • Installation de logiciel malveillant « drive-by » : Scanner le motif et faire décoder l'URL par votre téléphone ne peut pas installer de logiciel malveillant. Cela nécessite une vulnérabilité du navigateur, garder le système d'exploitation de votre téléphone à jour est la mesure d'atténuation.
  • Exploitation Bluetooth ou NFC via code QR : Les codes QR ne peuvent pas déclencher d'appairage Bluetooth, de paiements NFC ou d'actions au niveau système sans confirmation explicite de l'utilisateur sur iOS et Android modernes.
  • Accès direct à la caméra ou activation du microphone : Lire un code QR ne donne pas au site web la permission d'accéder à votre caméra ou microphone. Les autorisations nécessitent toujours une action explicite de l'utilisateur.
  • Échange de SIM ou prise de contrôle de compte par un simple scan : Un code QR peut vous mener vers une page de phishing qui vous incite à entrer des identifiants ou à approuver une action, mais le code QR lui-même ne peut pas exécuter ces actions.

Les codes QR dans les emails : le vecteur de risque le plus courant

En volume, les codes QR dans les emails sont le contexte de scan le plus risqué pour la plupart des gens. Le schéma : un email semble provenir de votre banque, service de livraison ou employeur. Il contient un code QR et vous demande de « vérifier votre compte », « confirmer une livraison » ou « approuver une demande de connexion ». Le code QR mène à une page de phishing convaincante.

Voici la chose essentielle à retenir : les services légitimes ne vous demandent presque jamais de scanner un code QR pour effectuer une action de compte de routine. Les banques envoient des liens, pas des codes QR, pour la connexion ou la vérification. Les services de livraison envoient des liens de suivi. Si un code QR dans un email crée un sentiment d'urgence (« scannez dans les 24 heures ou votre compte sera suspendu »), c'est le schéma d'attaque, pas un comportement de service légitime.

Les directives de la FTC sur les arnaques par code QR (publiées en février 2024) signalent spécifiquement ceci : « Les escrocs cachent des liens nuisibles dans les codes QR pour voler des informations personnelles. » Leurs directives rejoignent ce cadre, le scan lui-même n'est pas le danger, c'est la destination.

Quand la sécurité des codes QR n'est pas une préoccupation

La grande majorité des scans de codes QR dans la vie quotidienne comportent un risque négligeable. Scanner un code QR dans un restaurant pour voir le menu, se connecter au WiFi d'une entreprise via un code QR, obtenir les coordonnées d'une carte de visite, ou scanner un produit pour plus d'informations, ce sont des contextes à faible risque où le créateur du code est connu (le restaurant, l'entreprise, le fabricant) et la destination est prévisible.

La confiance contextuelle est le filtre : savez-vous qui a créé ce code QR, et le contexte rend-il plausible que leur code mène quelque part de légitime ? Si oui, scannez. Si la réponse à l'une ou l'autre question est non, prenez une seconde pour prévisualiser l'URL avant de l'ouvrir.

Créer des codes QR sûrs pour que les autres les scannent

Si vous créez des codes QR pour votre entreprise, vos événements ou vos supports, la question de sécurité va dans l'autre sens : comment vous assurer que les personnes qui scannent vos codes leur font confiance ?

Trois mesures pratiques :

  1. Utilisez des codes statiques autant que possible : Les codes statiques encodent directement votre destination, il n'y a pas de redirection via un serveur tiers qui pourrait être compromis ou pris en charge. Un code QR statique sur le générateur WiFi de votre entreprise est aussi fiable que le support physique sur lequel il est imprimé.
  2. Pour les codes dynamiques, utilisez un domaine personnalisé : Si votre code QR redirige via votremarque.com/qr/abc plutôt que plateforme-qr.com/abc123, les personnes qui scannent peuvent reconnaître votre domaine dans l'aperçu de l'URL et lui faire davantage confiance.
  3. N'utilisez pas de chaînes de redirection : Chaque saut de redirection entre votre code QR et la destination ajoute un risque potentiel et réduit la transparence de la destination du scan.

Les codes QR créés sur QR Nova pour les usages statiques sont aussi sûrs que possible, la destination est encodée directement, il n'y a pas de redirection tierce, et il n'y a rien pour qu'un attaquant puisse compromettre entre le code et votre destination. Les codes QR carte de visite et les codes WiFi générés ici sont statiques par définition.

L'essentiel en toute honnêteté

Les codes QR sont sûrs à scanner quand vous savez qui les a créés et où vous vous trouvez. Ils ne sont pas intrinsèquement sûrs quand ils arrivent de manière non sollicitée par email ou quand ils apparaissent sur des infrastructures de paiement extérieures où la manipulation est possible. C'est le même calcul de risque que vous appliquez en cliquant sur des liens, les codes QR rendent simplement la source un peu plus opaque.

La réponse appropriée n'est pas la paranoïa. La plupart des scans de codes QR sont totalement bénins. Appliquez le même jugement situationnel que vous appliquez aux liens : considérez la source, prévisualisez avant d'agir, et faites une pause quand quelque chose crée de l'urgence.

Questions frequentes

Scanner un code QR peut-il donner un virus ?

Scanner le code QR lui-même ne peut pas installer de logiciel malveillant, votre caméra lit simplement un motif et le convertit en texte. Le risque vient de ce qui se passe ensuite : si l'URL décodée mène à un site malveillant qui exploite une vulnérabilité du navigateur ou vous incite à télécharger quelque chose, c'est là que le danger se situe. Le code QR est un mécanisme de transmission, pas la menace elle-même.

Qu'est-ce que le phishing par code QR (quishing) ?

Le quishing est une attaque de phishing utilisant des codes QR à la place des hyperliens. Les attaquants envoient des emails, placent des autocollants par-dessus des codes QR légitimes, ou impriment de faux codes dans les lieux publics, le tout menant à des sites de vol d'identifiants. Le FBI a émis un avertissement formel sur le quishing en janvier 2024, citant une augmentation significative des signalements.

Comment savoir si un code QR est sûr avant de le scanner ?

Vous ne pouvez pas entièrement vérifier un code QR avant de le scanner sans un lecteur de codes QR qui vous montre l'URL avant de l'ouvrir. La plupart des appareils photo ouvrent l'URL immédiatement. Utilisez une application de scanner QR qui vous montre d'abord l'URL et vous laisse confirmer avant de continuer. Si vous êtes dans un lieu public, inspectez le code QR pour détecter des signes de manipulation, un autocollant placé par-dessus un code existant est un signal d'alerte.

Est-il sûr de scanner un code QR dans un restaurant ?

En général oui, les restaurants établis avec des codes QR imprimés sur leurs menus physiques présentent un faible risque. Le risque augmente avec les autocollants ou ajouts manuscrits sur des supports existants, les codes dans des emails ou courriers non sollicités, et les codes dans des endroits où la manipulation serait facile (parcmètres, avis publics). Si le code QR est physiquement intégré dans un support imprimé, il est très peu probable qu'il ait été falsifié.

Un code QR peut-il voler mes informations personnelles ?

Un code QR en lui-même ne le peut pas, c'est juste un motif encodant du texte. Mais le site vers lequel il mène peut tenter de voler des informations par des formulaires de phishing, le détournement de session ou l'ingénierie sociale. Scanner un code QR revient à cliquer sur un lien reçu d'une source inconnue.

Les codes QR sont-ils utilisés pour des arnaques ?

Oui, les arnaques par code QR sont documentées et en augmentation. La FTC a signalé une augmentation notable des plaintes liées à la fraude par code QR en 2024. Les schémas courants incluent les faux parcmètres de paiement, les codes de transfert frauduleux de cryptomonnaie, et les emails de phishing avec des codes QR substitués aux hyperliens (pour contourner les filtres de sécurité email qui ne scannent pas les images).

Est-il sûr de scanner des codes QR avec mon application bancaire ?

Ne scannez des codes QR avec votre application bancaire que lorsque la source est sans ambiguïté, l'agence physique de la banque, une correspondance officielle, ou des instructions dans l'application. Ne scannez jamais un code QR provenant d'un email prétendant être de votre banque sauf si vous êtes à l'origine de l'interaction. Les arnaques bancaires par code QR figurent parmi les plus courantes en 2024.

Generate your first QR code — free

Commencer