Une carte bancaire arrive dans votre boîte aux lettres. Elle ressemble trait pour trait à celle de votre banque : le logo, les couleurs, la puce, parfois même la bande magnétique. Un courrier d’accompagnement vous demande de l’activer en flashant le QR code imprimé dessus. Réflexe naturel : vous sortez votre téléphone. C’est exactement là que commence le problème.
Une nouvelle forme d’escroquerie sévit en France : des courriers contenant de fausses cartes bancaires, accompagnés d’un QR code invitant les destinataires à « activer » leur carte sur un site frauduleux. Ce n’est pas une arnaque artisanale bricolée à la va-vite. La victime reçoit dans sa boîte aux lettres un pli à l’apparence officielle, aux couleurs de sa banque, contenant une carte bancaire factice, parfois dotée d’une puce et d’une bande magnétique, ce qui renforce l’illusion.
À retenir
- Les cybercriminels envoient de vraies-fausses cartes bancaires par courrier avec des QR codes piégés
- Le quishing a multiplié par cinq en seulement trois mois : une menace en pleine explosion
- Un détail révolutionnaire : votre banque n’activera JAMAIS une carte par QR code
Le « quishing » : du phishing déguisé en petit carré noir et blanc
Le quishing est la contraction de deux mots : QR code et phishing. C’est une technique d’arnaque qui utilise un QR code malveillant à la place d’un lien frauduleux classique. Le concept n’est pas nouveau. Ce qui l’est, c’est son efficacité redoutable face à des utilisateurs qui ont appris à se méfier des liens suspects dans les emails, mais jamais des petits carrés pixelisés qu’ils scannent machinalement au restaurant ou sur un parking.
Contrairement à un lien dans un email, un QR code ne montre pas l’URL de destination avant que vous le scanniez. Vous ne pouvez pas vérifier où il vous envoie. Vous ne voyez pas l’adresse suspecte. Vous scannez. Et c’est trop tard. C’est précisément ce mécanisme qui rend l’attaque si perverse : le quishing contourne les protections classiques, car les filtres anti-spam d’entreprise voient juste une image, et pas de lien suspect.
Les chiffres donnent le vertige. En seulement trois mois, d’août à novembre 2025, le volume d’emails de quishing a été multiplié par cinq. Ce n’est pas une anomalie statistique, mais le reflet d’une adoption massive et organisée de cette technique par les cybercriminels à l’échelle mondiale. La plateforme Cybermalveillance.gouv.fr a enregistré plus de 420 000 demandes d’assistance en 2024, soit une augmentation de +49,9 % par rapport à 2023, toutes formes de cyber-escroqueries confondues.
Ce que le QR code peut réellement déclencher sur votre téléphone
Derrière le carré pixelisé, la menace est double. Le premier scénario, le plus répandu dans la fraude à la carte bancaire : le QR code redirige vers un site web imitant trait pour trait l’interface de la banque concernée. Ce faux site demande vos informations sensibles. L’objectif des escrocs est souvent double : récupérer vos coordonnées bancaires directement, ou installer un logiciel malveillant sur votre téléphone.
Le second scénario est encore moins visible et, franchement, plus flippant. En scannant un QR code compromis, l’utilisateur risque de télécharger involontairement un malware. Ces programmes permettent aux cybercriminels d’obtenir un accès ou un contrôle non autorisé sur les appareils. Le vol d’information et la compromission du réseau ne sont pas les seules conséquences : le quishing peut entraîner l’extraction de la liste de contacts de votre appareil en vue de l’envoi d’email ou de SMS, ou le déclenchement d’appels téléphoniques vers des numéros surtaxés.
Cette fraude joue sur un élément clé : la confiance. Contrairement à un email douteux ou un appel suspect d’un faux conseiller bancaire, ici tout semble normal. Le courrier est physique, la carte est tangible, le design est crédible. Le cerveau humain interprète cela comme une situation légitime. Ajoutez à cela une notion d’urgence, « activez votre carte rapidement », et vous obtenez un mécanisme redoutable. Le mot « urgence » est toujours l’arme préférée des escrocs, quelle que soit l’époque.
Ce que beaucoup ignorent aussi : le HTTPS et le petit cadenas dans la barre du navigateur ne suffisent pas pour identifier un site légitime. Cela signifie seulement que les données sont encryptées, pas que vous êtes sur le bon site. Un fraudeur peut très bien avoir un certificat SSL valide sur sa page pirate.
Règle d’or : votre banque n’active jamais une carte par QR code
Une banque n’envoie jamais de QR code pour activer une carte. L’activation se fait toujours par un premier retrait ou paiement, jamais via un lien ou un code à scanner. « Ce qui doit vous mettre la puce à l’oreille, c’est quand quelqu’un se présente comme votre banque et vous demande des informations de codes qui doivent rester secrètes. Même pour votre banquier, vos codes sont secrets », rappelle la Fédération bancaire française.
Autre réflexe à adopter immédiatement : avant de scanner, vérifiez systématiquement l’URL vers laquelle il vous redirige. Si l’URL comporte des fautes d’orthographe, des inversions de lettre, des caractères inhabituels ou ne correspond pas au nom officiel de votre banque, fermez immédiatement la page. Et pour les lecteurs QR sur smartphone, certaines applications affichent l’URL de destination avant de vous y rediriger : c’est ce type d’outil qu’il faut privilégier, plutôt que l’appareil photo natif qui ouvre le lien directement.
Si vous avez déjà scanné le code et saisi des informations, la réactivité compte énormément. Si vous avez saisi vos identifiants bancaires sur un faux site et validé des opérations, votre banque peut refuser de vous rembourser, car ces opérations ont été techniquement « validées » par vous. Appelez votre banque dans la foulée pour faire opposition, puis prévenez votre banque, portez plainte et signalez l’incident sur la plateforme officielle dédiée à la cybersécurité. Cybermalveillance.gouv.fr est la plateforme nationale de référence pour toutes les arnaques et incidents cyber, elle offre un diagnostic personnalisé et une mise en relation avec des prestataires certifiés.
Le QR code dans votre portefeuille, une nouvelle surface d’attaque permanente
La tendance va au-delà de la fausse carte reçue par courrier. Ces QR codes peuvent être distribués physiquement, sous forme d’autocollants sur des parcmètres ou des avis de passage, ou numériquement, via des emails ou des publications sur les réseaux sociaux. Début 2026, c’est l’arnaque à la fausse carte bancaire reçue par courrier qui fait l’actualité, le piège consistant à demander d’activer la carte en suivant un QR code qui renvoie non vers un site de banque mais vers un site pirate pour récupérer les données bancaires.
Le paradoxe de toute cette histoire, c’est que le QR code a été inventé en 1994 par une filiale de Toyota pour optimiser la logistique industrielle. Il est inventé en 1994 par Denso Wave, une société japonaise qui travaillait autrefois pour Toyota. De la chaîne de montage automobile à l’arnaque bancaire grand public en trente ans, il y a un sacré chemin. La prochaine phase du quishing sera vraisemblablement encore plus sophistiquée : de meilleures pages mobiles clonées, des placements physiques plus convaincants, et un ciblage plus précis des secteurs où les gens sont déjà conditionnés à scanner rapidement. L’habitude de scanner sans réfléchir reste, aujourd’hui, le maillon faible numéro un de la chaîne.
Sources : lesclesdelabanque.com | franceinfo.fr