Phishing par code QR (quishing) : comment se protéger
Le phishing par code QR, le quishing, a bondi de 400 % depuis 2023. Apprenez à reconnaître les codes malveillants et à vous protéger efficacement.

Cet article a ete redige par l'equipe QR Nova. Nous developpons des logiciels de codes QR, ce qui peut influencer notre point de vue.
La plupart des guides sur le phishing par code QR noient les conseils pratiques sous des pages de définitions, ou vous proposent une liste de vérification tellement générique qu'elle pourrait s'appliquer à n'importe quoi de numérique. Entre-temps, les attaques de quishing ont progressé de 400 % entre 2023 et 2025 et représentent désormais 12 % de tout le phishing. Voici ce qui fonctionne vraiment. Le phishing par code QR, appelé quishing, exploite un fait simple : l'URL de destination contenue dans un code QR est invisible jusqu'à ce que vous le scannez. Les attaquants utilisent cet angle mort pour contourner les filtres e-mail, vous rediriger vers des pages qui volent vos identifiants, et déclencher des paiements frauduleux. La défense est tout aussi simple : ne jamais ouvrir la destination sans l'avoir vérifiée au préalable.
En bref
- Quishing = phishing par code QR. L'URL est cachée dans le code, impossible de savoir où il mène avant de le scanner.
- Hausse de 400 % entre 2023 et 2025 ; les codes QR représentent désormais 12 % de toutes les tentatives de phishing (Keepnet Labs, 2026).
- Principaux vecteurs d'attaque : autocollants posés sur des codes légitimes, codes QR dans des PDF joints pour contourner les filtres, fausses factures et codes de parcmètres.
- Défense : utiliser un scanner qui prévisualise l'URL, vérifier le domaine avant d'appuyer, et traiter tout code QR inattendu comme potentiellement hostile.
Qu'est-ce que le phishing par code QR (quishing) ?
Generate your first QR code — free
CommencerLe phishing par code QR, le quishing, est une attaque où un code QR malveillant redirige la personne qui le scanne vers un faux site, un téléchargement de logiciel malveillant, ou une page d'autorisation de paiement. Contrairement à un lien suspect dans un e-mail sur lequel un utilisateur prudent peut passer la souris pour voir l'adresse, l'URL dissimulée dans un code QR est totalement invisible jusqu'à ce que vous ayez pointé votre appareil photo dessus et que votre téléphone ait suivi la redirection.
La surface d'attaque est plus large que ce que la plupart des gens imaginent. Un code QR peut encoder n'importe quelle URL, le code lui-même ne donne aucune indication d'intention. Ce n'est qu'un damier de carrés noirs et blancs. Un code imprimé sur une table de restaurant, collé sur un parcmètre, ou joint à une facture d'apparence officielle est visuellement identique à un code malveillant, impossible de les distinguer sans lire le contenu encodé.
C'est ce qui rend le quishing structurellement différent du phishing classique par e-mail. Les passerelles de sécurité des messageries ont passé des années à apprendre à détecter les liens malveillants. Un code QR intégré dans un PDF joint contourne entièrement cette couche, la passerelle voit une image, pas une URL, et la laisse passer. Début 2026, cette faille est l'une des raisons principales pour lesquelles le quishing s'est développé aussi vite.
L'ampleur du phénomène : les chiffres du quishing en 2026
Les attaques de phishing par code QR ont augmenté de 400 % entre 2023 et 2025, selon l'analyse de Keepnet Labs. Entre août et novembre 2025 seulement, les incidents de quishing ont été multipliés par 5, passant d'environ 46 000 à 250 000 cas documentés par mois. Début 2026, les codes QR représentent environ 12 % de toutes les attaques de phishing, 68 % de ces attaques ciblant les utilisateurs mobiles, le principal dispositif de scan de codes QR.
Le rapport de renseignement sur les menaces de ZenSec pour 2025 a identifié 1,7 million de codes QR malveillants uniques dans des pièces jointes d'e-mails sur l'année. Le Digital Defense Report de Microsoft a signalé plus de 15 000 e-mails de phishing contenant des codes QR par jour, ciblant le secteur éducatif. Ces chiffres sont presque certainement sous-estimés, les codes QR dans les environnements physiques (autocollants, supports imprimés) ne génèrent aucune donnée côté serveur et sont rarement signalés officiellement.
Les marques les plus ciblées par les campagnes de quishing en 2025 étaient Mastercard (14 233 codes malveillants documentés) et Microsoft (11 796), selon les données Keepnet. Les services financiers et les fournisseurs d'identité cloud sont les cibles privilégiées car le vol d'identifiants sur ces plateformes a la valeur aval la plus élevée.
Comment les attaquants utilisent les faux codes QR
Les attaques de quishing prennent plusieurs formes distinctes, chacune adaptée à des environnements et des cibles différents. Comprendre leur mécanique permet de les reconnaître dans la vie réelle.
L'attaque par autocollant sur autocollant
La méthode de quishing physiquement la plus dangereuse : un escroc imprime un autocollant de code QR et le colle par-dessus un code légitime sur un parcmètre, un carton de table de restaurant, une affiche, ou un panneau d'entrée d'immeuble. La victime voit le contexte environnant légitime, le panneau officiel, l'environnement familier du restaurant, et fait confiance au code par association.
En 2022 et 2023, la ville d'Austin, au Texas, a signalé des dizaines de parcmètres compromis où des autocollants de quishing recouvraient les codes de paiement légitimes. Les conducteurs qui scannaient les faux codes étaient redirigés vers une page de paiement qui collectait les coordonnées bancaires sans jamais traiter le règlement du stationnement. Les autocollants étaient visuellement indiscernables des originaux à première vue.
Les codes QR dans les pièces jointes d'e-mails (contournement des passerelles)
Les passerelles de messagerie sécurisée (SEG) analysent les liens malveillants dans le corps et les pièces jointes des e-mails. Un code QR intégré dans une image PDF contourne entièrement cette analyse, la passerelle traite un JPEG ou PNG, pas une URL. L'attaquant envoie une fausse facture, une mise à jour de politique RH, ou une notification de colis contenant un code QR. Le destinataire, invité à « scanner le code pour confirmer réception », le scanne avec son téléphone, qui est en dehors du périmètre de sécurité de l'entreprise, et atterrit sur une page de collecte d'identifiants.
C'est pourquoi le phishing par code QR s'est propagé si rapidement dans les environnements d'entreprise. Le rapport de cybersécurité Acronis pour 2026 identifie le phishing par code QR comme une technique d'évasion de premier plan, précisément parce qu'il achemine les attaques via les appareils mobiles personnels qui contournent la détection des terminaux d'entreprise.
Faux codes WiFi, événementiels et en commerce de détail
Les codes QR dans les espaces publics, halls d'hôtels pour l'accès WiFi, salles de spectacles pour l'enregistrement, commerces pour les programmes de fidélité, attirent des personnes distraites, en mouvement, et qui s'attendent à devoir scanner quelque chose. Un attaquant qui affiche un faux code QR « WiFi gratuit » dans un café ou un salon d'aéroport peut collecter les identifiants de dizaines d'utilisateurs par jour. Aucune installation élaborée n'est nécessaire.
Usurpation de services gouvernementaux et de services publics
Les campagnes de quishing usurpent de plus en plus les services gouvernementaux : codes QR de remboursement d'impôts (les impôts en France, l'HMRC au Royaume-Uni, l'IRS aux États-Unis), factures de services publics avec codes QR de paiement, avis d'immatriculation de véhicule. Ces attaques fonctionnent car le niveau de méfiance de base des gens est faible face à du courrier imprimé d'apparence officielle.
Pourquoi 73 % des utilisateurs scannent sans vérifier
Des recherches de KnowBe4 et NordVPN montrent que 73 % des utilisateurs scannent des codes QR sans vérifier où mène le lien. Ce n'est pas un manque d'intelligence, c'est un manque de friction. La défense contre le phishing traditionnel repose sur le fait d'amener les utilisateurs à marquer une pause et à évaluer. Les codes QR effacent cette pause : l'acte physique de pointer un appareil photo et l'acte numérique de suivre un lien se déroulent en moins de deux secondes, sans URL visible à inspecter.
Les navigateurs mobiles aggravent le problème. Sur un ordinateur de bureau, une URL suspecte est immédiatement visible en grands caractères. Sur un navigateur mobile, la barre d'adresse est petite, souvent tronquée, et la plupart des utilisateurs ne la regardent jamais, ils se concentrent sur le contenu de la page chargée. Une fausse page de connexion convaincante n'a pas besoin d'une URL parfaite si les utilisateurs ne la vérifient pas.
Le problème plus profond est la confiance dans le monde physique. Un code QR imprimé dans un menu, sur une signalétique officielle, ou à l'intérieur d'un bâtiment nécessitant une entrée donne une impression fondamentalement différente d'un lien dans un e-mail non sollicité. Le monde physique fait l'objet d'une confiance séculaire. Les attaquants exploitent directement cette confiance.
Comment reconnaître un code QR malveillant
Il n'existe aucun moyen visuel de distinguer un code QR légitime d'un code malveillant en regardant le motif. La défense contre le quishing est procédurale, pas visuelle. Voici les signaux spécifiques à vérifier :
Cherchez les autocollants
Avant de scanner un code QR sur une surface physique, notamment sur des terminaux de paiement, des parcmètres ou des panneaux publics, cherchez des signes qu'un autocollant a été posé sur le code original. Un léger décalage, des bords qui se décollent, une texture de papier différente, ou un contour visible autour du code sont autant d'indicateurs. Dans un restaurant, vérifiez que chaque table a des codes identiques aux mêmes emplacements, une attaque par autocollant est généralement incohérente d'une table à l'autre.
Prévisualisez l'url avant d'ouvrir
Utilisez un scanner QR qui vous affiche l'URL de destination avant de l'ouvrir. L'appareil photo natif d'iOS 16+ fait cela : il affiche un petit aperçu de l'URL en bas de l'écran lorsque vous maintenez votre appareil photo sur un code QR, avant d'appuyer. La plupart des applications de scan dédiées (pas le raccourci appareil photo intégré) affichent l'URL pour examen. Prenez l'habitude de la lire avant d'appuyer.
Vérifiez le domaine avec précision
Les pages de quishing utilisent des domaines sosies : paypa1.com, microsott.com, amazon-securite.net. Vérifiez que le domaine correspond exactement à l'organisation. Les sous-domaines sont une astuce courante, « paypal.com.verification-securite.net » semble légitime à un lecteur rapide, mais le domaine réel est « verification-securite.net », pas paypal.com. Le domaine, c'est tout ce qui se trouve à droite de la dernière barre oblique avant le premier segment de chemin.
Traitez les codes QR inattendus comme hostiles par défaut
Tout code QR arrivé de façon non sollicitée, dans un e-mail que vous n'avez pas demandé, sur un courrier que vous n'attendiez pas, sur un panneau apparu récemment, mérite la même méfiance qu'un appel à froid vous demandant vos coordonnées bancaires. Les services légitimes n'ont presque jamais besoin que vous scannez un code QR quand ils peuvent envoyer un lien hypertexte. Quand ils utilisent des codes QR (cartes d'embarquement, billets d'événements, configuration de la double authentification), c'est dans un contexte que vous avez initié.
Les cas de figure que les guides génériques ignorent
La plupart des guides sur le quishing couvrent les scénarios évidents. Voici les modes de défaillance qu'ils ignorent :
Le quishing dans les factures PDF (vulnérabilité B2B)
Les équipes financières traitent des dizaines de factures fournisseurs par jour. Une facture PDF contenant un code QR intitulé « scanner pour confirmer réception » arrive d'un expéditeur qui ressemble à un fournisseur établi, l'usurpation de nom est triviale. Le membre de l'équipe financière le scanne pour traiter rapidement le document, sans se méfier qu'un code QR sur une facture soit inhabituel. Ce vecteur d'attaque a explosé dans les environnements B2B car les e-mails liés aux factures sont en volume élevé et traités comme une routine.
Le quishing lors d'événements physiques
Les bornes d'enregistrement de conférences, les postes de remise de bracelets d'événements, et les scanners de badges de salons utilisent de plus en plus les codes QR. Un attaquant qui imprime et affiche un faux code QR d'enregistrement près de la borne légitime capture les identifiants des participants et potentiellement les données des badges d'entreprise. Les événements physiques sont des environnements à faible sécurité, le personnel est concentré sur le flux, pas sur la vérification.
L'usurpation du service informatique interne
Une campagne de phishing interne usurpant l'assistance informatique qui envoie un code QR de « mise à jour de sécurité obligatoire » pour la configuration de l'authentification multifacteur est particulièrement efficace. Les employés sont conditionnés à se conformer aux demandes informatiques. Un code QR présenté comme « obligatoire, scanner pour enregistrer votre nouvel appareil » contourne la méfiance que les utilisateurs pourraient appliquer aux e-mails externes.
Comment protéger votre organisation
La vigilance individuelle compte, mais les défenses organisationnelles sont plus fiables. Les mesures pratiques qui réduisent l'exposition au quishing :
- Configurer la passerelle e-mail pour signaler les codes QR dans les pièces jointes: Les plateformes modernes de sécurité des e-mails, notamment Proofpoint, Mimecast et Microsoft Defender, proposent désormais l'extraction du contenu des codes QR. En activant cette option, l'URL intégrée est analysée plutôt que de laisser l'image passer sans vérification.
- Déployer une solution de protection des appareils mobiles (MTD): Les solutions MTD peuvent inspecter les URLs au moment de l'ouverture sur un appareil mobile, offrant une seconde vérification après le scan du code QR.
- Former le personnel spécifiquement sur le schéma de l'attaque par autocollant: Une formation anti-phishing générique qui ignore les attaques physiques par code QR passe à côté du vecteur de diffusion le plus courant.
- Désactiver l'ouverture automatique des URL dans les paramètres du scanner QR: Sur iOS et Android, le scan QR peut être configuré pour prévisualiser l'URL plutôt que de l'ouvrir immédiatement. Ce seul réglage ajoute la pause critique que la plupart des utilisateurs sautent autrement.
- Pour les emplacements physiques : plastifiez vos codes QR: Un code plastifié est plus difficile à recouvrir d'un autocollant. Pour les codes de paiement, vérifiez périodiquement le code en le scannant vous-même et en confirmant la destination.
Quand utiliser les codes QR en toute sécurité — et quand s'en abstenir
Les codes QR ne sont pas intrinsèquement dangereux, ce sont un format d'encodage neutre. Le risque dépend du contexte. Voici dans quels cas les codes QR sont sûrs à créer et à distribuer sans risquer de nuire à votre audience :
- Codes statiques pointant vers des destinations connues et permanentes: Un code QR d'URL que vous créez vous-même, pointant vers votre propre domaine, est aussi sûr que n'importe quel lien sur votre site. Le risque des codes statiques se situe presque entièrement du côté du destinataire (vérifier que le code physique n'a pas été altéré).
- Accès WiFi sur site: Un code QR WiFi généré dans vos locaux pour les visiteurs les connecte à votre réseau, rien de plus. Il n'y a pas de couche de redirection et aucune URL à usurper.
- Billets d'événements et cartes d'embarquement que vous avez demandés: Les codes QR que vous avez sollicités (application d'une compagnie aérienne, plateforme de billetterie) sont légitimes par définition car vous avez déclenché leur génération.
La catégorie qui ajoute du risque : les codes QR dynamiques gérés par des plateformes tierces. Si une plateforme est compromise, si l'URL courte est piratée, ou si le domaine d'un fournisseur expire et est réenregistré par un attaquant, un code dynamique préalablement légitime peut devenir malveillant sans que le propriétaire du code ait fait quoi que ce soit de mal. Pour les cas d'usage à enjeux élevés, transactions financières, authentification, santé, les codes statiques qui pointent directement vers votre propre domaine réduisent significativement cette surface d'attaque.
La politique de sécurité de QR nova
Le problème de confiance dans les codes QR va plus loin que le phishing. Il inclut la question de qui contrôle la destination et ce qui se passe quand ce contrôle change. Les codes statiques de QR Nova encodent l'URL directement, il n'y a pas de couche de redirection et pas de serveur de plateforme dans la chaîne. Si vous créez un code QR pointant vers votre propre site, le code pointe vers votre site. Définitivement. Aucun compte requis, rien à renouveler, aucun serveur tiers qui pourrait être compromis ou abandonné.
Pour les utilisateurs préoccupés par la sécurité des codes QR qu'ils reçoivent, le même principe s'applique : un code pointant directement vers un domaine que vous reconnaissez, sans passer par une redirection via URL courte, est plus sûr par conception. Créez un code QR à lien direct gratuit sur QR Nova, sans inscription requise, et offrez à votre audience un code vérifiable d'un coup d'œil.
Le quishing est un angle mort exploitable précisément parce que la plupart des codes QR utilisent des couches de redirection, des URL courtes qui masquent la destination finale. Réduire la dépendance aux codes dynamiques basés sur des redirections, où la destination n'est pas visible avant la réponse finale du serveur, ferme l'un des principaux vecteurs sur lesquels les attaquants s'appuient.
Questions frequentes
C'est quoi le quishing ?
Le quishing, c'est le phishing par code QR, une attaque où un code QR malveillant vous redirige vers un faux site conçu pour voler vos identifiants, installer un logiciel malveillant ou autoriser un paiement frauduleux. Le terme combine « QR » et « phishing ». Contrairement aux liens dans les e-mails, l'URL de destination est dissimulée dans le motif du code QR et reste invisible jusqu'à ce que vous le scannez.
Le phishing par code QR est-il répandu en 2026 ?
Les attaques de quishing ont augmenté de 400 % entre 2023 et 2025, et les incidents ont été multipliés par 5 entre août et novembre 2025, de 46 000 à 250 000 cas par mois. Début 2026, les codes QR représentent environ 12 % de toutes les tentatives de phishing, selon les données de Keepnet Labs.
Mon téléphone peut-il être piraté en scannant un code QR ?
Scanner un code QR avec l'appareil photo n'exécute aucun code sur votre appareil. Le risque vient de l'URL vers laquelle le code vous envoie : une page de phishing qui vous incite à saisir vos identifiants, un site exploitant une faille du navigateur, ou une demande de paiement. Votre appareil photo est sans danger, c'est votre navigateur qui est la surface d'attaque.
Comment vérifier un code QR avant de le scanner ?
Utilisez une application de scan qui vous affiche l'URL de destination avant de l'ouvrir, la plupart des applications dédiées le font, tout comme l'appareil photo natif d'iOS 16+. Vérifiez que le domaine de l'URL correspond exactement à l'organisation attendue (les attaquants utilisent souvent des domaines sosies comme « paypa1.com » au lieu de « paypal.com »). Si un code QR apparaît sur une affiche ou dans un espace public et que son URL vous semble inconnue, ne le scannez pas.
Que faire si j'ai scanné un code QR malveillant ?
Si vous avez scanné un code suspect sans saisir d'informations : fermez l'onglet immédiatement. Si vous avez entré des identifiants : changez le mot de passe de ce compte immédiatement et activez la double authentification. Si vous avez autorisé un paiement : contactez votre banque ou votre prestataire de paiement. Si vous avez installé une application : supprimez-la et lancez une analyse de sécurité. Signalez l'incident à votre service informatique si vous êtes sur un appareil professionnel.
Les codes QR dans les e-mails sont-ils dangereux ?
Les codes QR dans les e-mails constituent un vecteur d'attaque majeur, 1,7 million de codes QR malveillants uniques ont été détectés dans des pièces jointes d'e-mails en 2025. Traitez les codes QR dans les e-mails non sollicités ou inattendus avec la même méfiance qu'un lien provenant d'un expéditeur inconnu. Les entreprises légitimes ont rarement besoin d'envoyer un code QR par e-mail quand elles peuvent simplement envoyer un lien hypertexte.
Comment les escrocs utilisent-ils le phishing par code QR ?
Les méthodes de quishing les plus répandues : coller un faux autocollant de code QR par-dessus un code légitime sur un parcmètre ou une table de restaurant ; intégrer des codes QR malveillants dans des pièces jointes PDF pour contourner les filtres anti-spam ; envoyer de faux e-mails de factures ou de notifications de colis avec des codes QR ; et remplacer physiquement les codes d'enregistrement d'événements. L'attaque par autocollant est particulièrement difficile à détecter car le contexte environnant (l'affiche officielle ou la table du restaurant) ajoute une fausse légitimité.
Articles connexes
Les codes QR peuvent-ils être piratés ?
Les codes QR peuvent-ils être piratés ? Le code non, mais les attaques de quishing piègent après le scan. Vraies menaces et protection.
Scanner un code QR est-il sûr ? Risques réels
Les codes QR sont-ils sûrs ? Le code ne nuit pas, mais sa destination, si. Risques réels, mythes et comment scanner en sécurité.
Meilleures Pratiques de Sécurité QR pour les Plateformes
Sécurité des plateformes de QR codes : validation d'URL, audit de redirections, surveillance des anomalies, prévention des abus et journaux d'audit.
Generate your first QR code — free
Commencer