Non, ce n’est pas une fiction pour vous faire cliquer : scanner un QR code collé sur un horodateur peut littéralement vider votre compte en banque. Le mécanisme est d’une simplicité déconcertante et il porte même un nom, le quishing, contraction de QR code et phishing. Et si votre banque vous appelle le lendemain d’un paiement de stationnement par QR code, ce n’est jamais bon signe.
À retenir
- Des autocollants frauduleux remplacent les vrais QR codes des horodateurs dans plusieurs villes françaises
- Un petit prélèvement de 2-3 euros n’est que l’appât : le vrai coup arrive par téléphone quelques heures après
- Un détail visuel suffit à différencier un faux code : il faut juste prendre deux secondes pour vérifier avant de scanner
Le piège est collé à la place du vrai code, pas à côté
Le mode opératoire ne relève pas de la science-fiction. Des escrocs collent un autocollant directement sur le parcmètre, souvent pile à l’endroit où se trouve le QR code officiel, et invitent l’automobiliste pressé à scanner pour payer. Les escrocs collent des autocollants sur les parcmètres, invitant les automobilistes à scanner un QR-Code pour payer leur stationnement, mais en réalité ce QR-Code dirige l’utilisateur vers une page frauduleuse qui ressemble pourtant à une page officielle. Résultat : vous pensez régler votre ticket de stationnement, mais vous êtes en train de livrer vos coordonnées bancaires à un inconnu.
Ce n’est pas un cas isolé qui traîne dans un coin paumé. À Nice, la mairie a dû faire contrôler ses 750 horodateurs en urgence après la découverte de faux autocollants imitant l’application PayByPhone. Collés en lieu et place du QR code qui permet de télécharger l’application de paiement, ils sont en réalité un moyen pour voler les coordonnées personnelles et bancaires. Même scénario à Marseille, où des QR codes frauduleux ont été collés à même les machines, imitant les interfaces de paiement que les conducteurs utilisent tous les jours, dans le quartier Vauban. Saint-Laurent-du-Var, Monaco, l’Irlande où une victime a perdu près de 1000 euros : la liste s’allonge villes après villes, et personne n’a l’exclusivité du problème.
Pourquoi ça marche aussi bien (et pourquoi vous n’y voyez rien)
Le génie sordide de l’arnaque, c’est qu’elle exploite un réflexe devenu totalement automatique. Se garer, sortir le téléphone, scanner, payer : ce geste, on ne le pense même plus, on l’exécute. Ce genre de fraude joue sur deux leviers, la confiance dans l’outil et l’urgence de la situation : l’automobiliste pense régler un service habituel, à un moment où il est pressé, sans imaginer être ciblé par une arnaque. Et comme les sommes débitées sont souvent modestes, donc peu susceptibles d’alerter immédiatement la victime, l’arnaque passe sous le radar. Mais dans les cas les plus sournois, ce petit prélèvement n’est que la première étape.
Certaines victimes reçoivent un coup de fil quelques heures ou le lendemain, avec un interlocuteur qui prétend appeler de leur banque. Après avoir payé en ligne, elles reçoivent des appels prétendant venir de leur banque, les incitant à transférer leurs fonds « sur un compte sécurisé », et les pertes peuvent alors atteindre plusieurs milliers d’euros. C’est là que le piège devient vicieux : le faux paiement de 2 ou 3 euros n’est qu’un prétexte pour récupérer vos données, l’arnaque réelle se joue ensuite au téléphone, avec un scénario de « sécurisation du compte » qui n’a d’autre but que de vous faire virer votre argent vous-même. Au Royaume-Uni, plus de 1 300 plaintes ont été enregistrées pour ce type de fraude depuis 2024. Et en France, le sujet est pris au sérieux au sommet de l’État : le ministère de l’Intérieur a mis à jour en mars 2026 une fiche dédiée aux cyberattaques qui vise expressément le QR phishing ou quishing.
Comment repérer le piège avant de scanner
La bonne nouvelle, c’est que le faux QR code laisse presque toujours des indices, à condition de regarder deux secondes avant de dégainer l’appareil photo. Un autocollant, ça se voit : légèrement décollé sur un bord, une texture différente de l’écran, une position bizarre par rapport au reste de l’interface. Il faut analyser l’aspect visuel du QR-code, vérifier qu’il n’est pas altéré, déformé ou modifié, sachant que les QR-codes officiels sont intégrés dans le design et ne sont jamais placés à l’extérieur des supports.
Deuxième réflexe, le plus efficace : ne validez jamais rien avant d’avoir lu l’adresse qui s’affiche. Vérifiez toujours l’URL affichée lorsque vous scannez un QR code : un domaine officiel commence par « https:// » et contient clairement le nom de l’opérateur, tandis qu’une adresse raccourcie, un nom inhabituel ou une faute d’orthographe doivent alerter. Perso, je fais encore mieux : je ne scanne quasiment jamais les QR codes des horodateurs. Je télécharge l’appli officielle (Flowbird, PayByPhone, Timo, selon les villes) directement depuis l’App Store ou Google Play, une bonne fois pour toutes, et je paie ensuite sans jamais rescanner quoi que ce soit sur le terrain. Cette précaution est d’ailleurs officiellement recommandée : téléchargez l’application de paiement avant de vous stationner, disponible uniquement sur les stores officiels.
Si le mal est fait et que vous avez déjà entré vos coordonnées bancaires, il n’y a pas trente-six solutions, il faut agir vite. Le réflexe à adopter est immédiat, contactez votre banque pour faire opposition et surveillez attentivement vos relevés, car plus l’alerte est donnée tôt, plus les chances de limiter les dégâts sont grandes. Pensez aussi à signaler l’arnaque, ne serait-ce que pour protéger le prochain automobiliste qui se garera au même endroit : signalez l’escroquerie sur les plateformes officielles comme cybermalveillance.gouv.fr ou internet-signalement.gouv.fr, et le cas échéant contactez le service de stationnement de la ville, souvent réactif pour retirer les autocollants une fois alertés.
Un détail que peu de gens savent : certaines villes, conscientes du problème, migrent volontairement vers des QR codes générés directement à l’écran des bornes plutôt qu’imprimés, justement parce qu’un autocollant frauduleux ne peut pas se coller sur un pixel qui change. De plus en plus de stations de recharge affichent un QR code numérique directement à l’écran, justement pour éviter les remplacements frauduleux. C’est probablement la direction que devront prendre tous les horodateurs à moyen terme, parce que tant qu’un simple autocollant suffit à détourner un paiement, l’arnaque a de beaux jours devant elle.
Sources : saintlaurentduvar.fr | media.roole.fr