Un autocollant de quelques centimètres. Quatre secondes de scan. Et un relevé bancaire qui ressemble à un champ de mines. Le quishing — contraction de QR code et phishing, s’est installé sur nos horodateurs comme si c’était chez lui, et les villes françaises en font les frais depuis 2025.
À retenir
- Des autocollants QR codes frauduleux se multiplient sur les horodateurs depuis 2025
- L’arnaque peut s’étendre bien au-delà du vol de coordonnées bancaires initiales
- Un seul geste physique avant de scanner peut vous sauver de centaines d’euros
Le piège, décortiqué
Les escrocs collent des autocollants sur les parcmètres, invitant les automobilistes à scanner un QR code pour payer leur stationnement. Jusque-là, rien de choquant : on a tous pris l’habitude de flasher des petits carrés noirs pour tout et n’importe quoi depuis le Covid. Le réflexe est ancré. Mais ce QR code dirige en réalité vers une page frauduleuse, qui ressemble pourtant à une page officielle, et l’usager pense fournir ses données bancaires pour payer son stationnement, alors qu’il les livre à des escrocs.
Ce qui rend la manœuvre particulièrement vicieuse, c’est son invisibilité. Les malfaiteurs collent de faux autocollants par-dessus les codes authentiques ou sur les façades métalliques des horodateurs, et ce camouflage passe totalement inaperçu pour un œil non averti, se fondant dans l’habillage de la machine. Contrairement à un lien écrit noir sur blanc dans un SMS ou un e-mail, un QR code masque sa destination réelle : l’utilisateur voit une image, pas une adresse web lisible. C’est là tout le génie pervers du procédé.
En France, les montants dérobés varient entre 50 et 600 euros par opération, selon les premiers retours d’enquêteurs spécialisés en cybercriminalité à Marseille et Nice. Ce n’est pas rien pour un acte qui devait juste vous coûter une heure de parking. Et les villes touchées ne sont pas des cas isolés.
Une vague qui monte sur toute la France
Des alertes se multiplient dans les grandes villes françaises, notamment à Nice, Marseille (en avril 2025) ou encore Monaco. Une arnaque aux QR codes frauduleux a été signalée dans certains horodateurs Q-Park de la ville de Marseille, qui a alerté les automobilistes sur des codes frauduleux dans le centre-ville. Dès la détection des QR codes frauduleux à Marseille, une vérification complète de tous les horodateurs de la ville a été lancée, et les agents de la SAGS ont reçu pour consigne de supprimer manuellement tous les autocollants suspects. À Nice, même scénario : plus de 750 appareils ont été inspectés, et toute anomalie a été signalée.
La fraude ne s’arrête pas aux parkings. Sites contrefaits imitant les services officiels, QR codes collés à la va-vite sur des bornes ou sur des horodateurs, faux avis de contravention glissés sous l’essuie-glace : ces escroqueries ciblent directement les automobilistes. À noter que l’ANTAI ne place jamais de QR code sur ses avis déposés sur les essuie-glaces, si vous en trouvez un, c’est que quelqu’un s’est donné beaucoup de mal pour vous arnaquer proprement. Au Royaume-Uni, plus de 1 300 plaintes ont été enregistrées pour ce type de fraude depuis 2024. Et côté chiffres globaux, Cybermalveillance.gouv.fr a enregistré plus de 1,2 million de signalements pour hameçonnage en 2024.
L’arnaque peut aussi aller beaucoup plus loin que le simple vol de coordonnées bancaires. Dans certains cas, les victimes, après avoir payé en ligne, ont reçu des appels prétendant venir de leur banque, les incitant à transférer leurs fonds « sur un compte sécurisé », et les pertes peuvent alors atteindre plusieurs milliers d’euros. La première transaction n’est que l’appât.
Reconnaître un faux QR code avant qu’il ne soit trop tard
Premier réflexe, et il est physique : avant de scanner, touchez la surface. Si vous sentez une surépaisseur ou un bord qui rebique, c’est un autocollant suspect. Les dispositifs officiels sont souvent intégrés à l’écran numérique ou protégés sous une vitre inviolable. Un geste de deux secondes qui peut vous éviter bien des ennuis.
Si l’aspect physique ne vous rassure pas, vérifiez l’URL dès que la page s’ouvre. Si vous devez absolument scanner une borne, contrôlez l’URL qui s’affiche en haut de votre navigateur : elle doit correspondre à la virgule près au site de la mairie ou du prestataire officiel. Un domaine bizarre, une lettre en trop, un tiret suspect, fuyez. Les prestataires de stationnement recommandent de n’utiliser que les applications officielles Pay By Phone, FlowbirdApp ou Timo, téléchargées uniquement depuis les plateformes officielles.
En cas de doute, la solution la plus sûre reste le retour aux fondamentaux : insérez votre carte bancaire directement dans la machine ou glissez-y vos pièces de monnaie. Oui, avec des pièces. Ça marche toujours. Et ça ne vous vide pas le compte.
Si c’est déjà arrivé : les bons réflexes dans l’ordre
Si vous avez payé après avoir scanné un faux QR code, le risque est double : la somme versée peut être perdue, et vos informations de paiement peuvent maintenant circuler. Il faut alors contacter très vite votre banque, surveiller les opérations en cours, et envisager une opposition ou d’autres mesures selon la nature des données communiquées.
Côté preuves, ne supprimez rien. La preuve matérielle peut disparaître vite : un autocollant peut être retiré dans la journée, une page frauduleuse peut être désactivée, une URL courte peut devenir inaccessible. Il faut donc photographier le support dès la découverte, noter l’adresse exacte et, si possible, signaler le faux QR code à l’exploitant du lieu ou à la mairie. Ne confondez pas signalement et plainte : un signalement aide les services compétents, mais une plainte vise l’infraction subie et permet de formaliser la qualité de victime.
Pour signaler, deux adresses : la plateforme Cybermalveillance.gouv.fr pour protéger les autres usagers, et votre commissariat de quartier pour la plainte formelle. Vos informations bancaires volées peuvent également être revendues sur le dark web, exposant vos comptes à d’autres tentatives d’escroquerie. Ce qui commence comme un paiement de parking raté peut donc se transformer en mois de surveillance bancaire intensive.
Ce que beaucoup ignorent encore : les QR codes des prestataires officiels comme PayByPhone sont toujours incrustés dans le visuel de l’autocollant et ne sont jamais collés par-dessus. Si le petit carré noir « flotte » visuellement au-dessus du reste du design, c’est une anomalie. Un détail minuscule, mais qui fait toute la différence entre payer son heure de parking et passer sa semaine au téléphone avec sa banque.
Sources : scolinfo.net | saintlaurentduvar.fr