Un pote t’envoie sur WhatsApp une photo du QR code du restaurant où vous avez prévu de dîner. Tu la scannes depuis ton écran. Et là, au lieu du menu, tu tombes sur un formulaire qui te demande tes coordonnées bancaires. Bienvenue dans le monde du quishing, contraction de « QR code » et de « phishing », et l’une des arnaques numériques qui monte le plus vite en France et en Europe.
Ce qui rend le scénario du QR code partagé via WhatsApp particulièrement retors, c’est qu’il ajoute une couche de confiance : le code vient d’un contact réel, dans une conversation normale. On ne se méfie pas. On scanne. Le vrai problème des QR codes tient à leur nature même : ils sont lisibles uniquement par une machine. Contrairement à une URL textuelle qu’on peut examiner avant de cliquer, un QR code dissimule sa destination jusqu’au moment du scan. Cette opacité en fait un vecteur d’attaque privilégié pour les cybercriminels.
À retenir
- Pourquoi les QR codes sont devenus les armes préférées des cybercriminels en 2025
- Le scénario WhatsApp : comment un contact de confiance peut vous trahir sans le savoir
- Les 30 secondes qui décident si vos données bancaires sont compromises ou non
Le quishing, c’est quoi exactement ?
Le quishing (fusion de « QR » et « phishing ») repose sur un principe presque trop simple : les escrocs génèrent des QR codes malveillants qui, une fois scannés, redirigent les victimes vers des sites web frauduleux. Ces sites, souvent des copies conformes de pages légitimes, sont conçus pour voler des informations personnelles comme les noms d’utilisateur, mots de passe et données de cartes bancaires.
Ce que beaucoup ignorent : le quishing est particulièrement redoutable parce que les logiciels de sécurité classiques ne détectent pas les QR codes malveillants. Un filtre anti-spam analyse les liens texte dans un e-mail, mais un QR code apparaît comme une simple image. Le piège passe donc totalement inaperçu. C’est exactement pour cette raison que la technique séduit de plus en plus de cybercriminels : elle contourne les défenses qui auraient bloqué un lien classique.
Les chiffres donnent le vertige. En 2021, les QR codes n’apparaissaient que dans 0,8 % des tentatives de phishing. En 2023, cette proportion avait bondi à 22 % de toutes les attaques. Le taux s’est stabilisé autour de 10,8 % début 2024, avant de remonter à 12 % de l’ensemble des attaques de phishing en 2025. Et en France, 15 % des personnes qui ont scanné un QR code ces derniers mois ont atterri sur un site suspect ou dangereux.
Pourquoi le restaurant est la cible parfaite
La restauration figure en tête des secteurs exploités par les cybercriminels. Depuis la pandémie de Covid-19, les QR codes pour accéder aux menus sont devenus la norme dans les restaurants, bars et cafés. Ce réflexe ancré est une aubaine pour les fraudeurs. Des cybercriminels collent leur propre QR code par-dessus un code officiel, sur une borne, une affiche ou un comptoir.
Depuis septembre 2025, une forme d’arnaque sévit dans les restaurants et cafés de toute la France. Les faux menus numériques via QR code ont fait des milliers de victimes, exploitant la confiance des consommateurs. Le principe : des QR codes falsifiés sont placés sur les tables ou à l’entrée des établissements. Une fois scannés, ils redirigent les clients vers des menus qui semblent légitimes. Cependant, les prix y sont majorés ou des frais additionnels y sont cachés.
Le cas du QR code reçu via WhatsApp est une variante encore plus sournoise. Tu ne scannes pas un autocollant suspect sur une table : tu scannes une image dans une conversation privée, partagée par quelqu’un en qui tu as confiance. Or le QR code frauduleux peut être diffusé via différents canaux : email, MMS, PDF, vidéo, réseaux sociaux, ou encore support physique. WhatsApp fait donc partie de l’arsenal. Si le contact lui-même a été trompé et a partagé un code compromis sans le savoir, la chaîne de confiance est brisée à la source.
Ce que tu dois faire dans les 30 secondes qui suivent le scan
Tu as scanné un code et la page qui s’est ouverte te semble bizarre. Ton premier réflexe : ne rien saisir. Ni nom, ni adresse, ni numéro de carte. Si vous avez scanné un QR code suspect, fermez immédiatement la page web sans saisir aucune information.
Si tu as déjà entré des données avant de comprendre le piège, l’urgence est différente selon ce que tu as renseigné. Si tu as renseigné des identifiants, il faut changer le mot de passe immédiatement. Si tu as renseigné tes informations bancaires, il faut contacter ta banque. En général, ils font opposition sur la carte très rapidement. Vérifie aussi ton historique de navigation et supprime les pages suspectes. Surveille tes comptes dans les jours suivants.
Un signal d’alerte supplémentaire à connaître : ferme immédiatement si tu observes plusieurs changements d’URL rapides après le scan. Ce comportement de redirection enchaînée est caractéristique des pages de phishing qui cherchent à masquer leur destination réelle. Les sites légitimes ne te demanderont jamais ton mot de passe immédiatement après avoir scanné un QR code. Si un site demande tes identifiants dès l’ouverture, c’est probablement une tentative de phishing.
Les bons réflexes pour ne plus se faire avoir
La bonne nouvelle, c’est que le risque réel reste relatif. On estime que 2,4 milliards de courriels par jour sont des tentatives de phishing. À titre de comparaison, 25 millions de QR codes ont été générés en 2023, dont seulement 1 500 se sont avérés frauduleux. Le ratio est faible, mais suffisant pour ne pas baisser la garde, surtout que 73 % des utilisateurs scannent des QR codes sans vérifier où le lien mène.
Quelques habitudes simples changent radicalement l’exposition au risque. D’abord, adopter avec les QR codes les mêmes réflexes qu’avec les tentatives de phishing, et jeter un coup d’œil à l’adresse web vers laquelle on est redirigé : elle doit être officielle. Ensuite, méfie-toi des QR codes reçus dans des messages non sollicités, même venant de contacts connus. La menace des QR codes malveillants joue sur la difficulté qu’ont les victimes à identifier des liens frauduleux, a fortiori lorsqu’ils sont masqués par un QR code qui n’est pas immédiatement lisible.
Pour iPhone, activez «Avertissement des sites suspects» dans Réglages > Safari : cette fonctionnalité bloque automatiquement les sites de phishing connus. Sur Android, activez «Analyser les applications avec Play Protect» dans Paramètres > Sécurité, qui bloque les applications malveillantes avant installation. Et si tu as un doute sur un QR code scanné depuis un lieu physique, pourquoi ne pas demander un menu papier ? Les restaurants en ont encore. Ce conseil low-tech un brin ironique, c’est pourtant le plus efficace du lot.
Selon Cybermalveillance.gouv.fr, seulement 6 % des Français savent expliquer ce qu’est le quishing, ce qui laisse 94 % de la population exposée à une menace dont ils n’ont même pas le nom. Au Royaume-Uni, Action Fraud a enregistré une hausse de 587 % des signalements de quishing entre 2023 et 2025, et Europol le classe dans son rapport 2026 comme l’attaque de paiement en plus forte progression dans toute l’UE. La France n’est pas épargnée. Partager des QR codes via WhatsApp comme on partagerait une adresse Google Maps va devenir un geste à risque si on n’y réfléchit pas deux fois, car l’escroc, lui, a tout son temps pour fabriquer un code parfaitement identique à l’original.
Sources : amios.fr | clubic.com