Scanner ce code QR peut vous rendre vulnérable. Voici comment vous protéger

Vous avez probablement scanné un code QR cette semaine sans y réfléchir à deux fois. C'était peut-être à une table de restaurant, à un parcomètre ou à un badge de conférence. Ces carrés pixellisés sont devenus tellement ancrés dans la vie quotidienne que la plupart des gens les traitent avec la même confiance désinvolte qu'un panneau de signalisation. Mais contrairement à un panneau de signalisation, un code QR peut vous rediriger n’importe où – et de plus en plus de cybercriminels exploitent cette confiance aveugle pour voler des informations d’identification, installer des logiciels malveillants et vider des comptes bancaires. Le FBI a émis un avertissement public concernant les codes QR malveillants en 2022, et le problème n’a fait que s’accélérer depuis. Rien qu'en 2025, les attaques de phishing basées sur QR – surnommées « quishing » – ont augmenté de plus de 400 % par rapport à l'année précédente. Si votre entreprise s'appuie sur des codes QR pour les interactions avec les clients, les paiements ou les opérations, comprendre cette menace n'est pas une option.

Comment fonctionnent réellement les attaques par code QR

Un code QR est simplement un format lisible par machine pour coder une URL ou d'autres données. Lorsque vous en scannez un, votre téléphone ouvre le lien intégré – et c'est là que réside le danger. Les attaquants créent des codes QR qui pointent vers des pages de phishing convaincantes conçues pour récupérer les identifiants de connexion, les détails de paiement ou les informations personnelles. Étant donné que l’œil humain ne peut pas lire l’URL codée avant de la numériser, il n’y a aucun signe visuel indiquant que quelque chose ne va pas.

La méthode d’attaque la plus courante est le remplacement physique. Un criminel imprime un code QR malveillant sur un autocollant et le place sur un code légitime – sur un parcomètre, une tente de table de restaurant ou un panneau d'affichage public. La victime scanne ce qu’elle croit être un code fiable et atterrit sur une fausse page de paiement ou un faux écran de connexion. À Austin, au Texas, la police a découvert des autocollants QR frauduleux sur plus de 30 parcomètres publics en une seule opération, redirigeant les conducteurs vers un portail de paiement frauduleux qui capturait leurs numéros de carte de crédit en temps réel.

Des attaques plus sophistiquées intègrent des codes QR dans les e-mails de phishing, les factures PDF et même le courrier physique. Étant donné que les filtres de sécurité des e-mails sont conçus pour analyser les liens textuels et les pièces jointes, une image de code QR contourne souvent entièrement ces défenses. La société de sécurité Abnormal Security a signalé que 89 % des e-mails de phishing par code QR ont échappé aux filtres de messagerie traditionnels lors des tests – une lacune que les attaquants exploitent activement contre les entreprises de toutes tailles.

Les dégâts réels : bien plus que de simples mots de passe volés

Les conséquences d’une attaque de quishing réussie s’étendent bien au-delà d’un mot de passe compromis. Dans le contexte professionnel, un seul employé scannant un code QR malveillant pendant une pause déjeuner peut permettre aux attaquants de prendre pied dans les systèmes de l'entreprise. À partir de là, les mouvements latéraux à travers les réseaux internes, le déploiement de ransomwares et l’exfiltration de données deviennent de réelles possibilités. Le coût moyen d'une violation de données a atteint 4,88 millions de dollars dans le monde en 2024, selon le rapport annuel d'IBM.

Pour les petites et moyennes entreprises, l’impact est dévastateur de manière disproportionnée. Un propriétaire de café à Manchester a découvert que quelqu'un avait remplacé les codes QR sur chaque table par des faux redirigeant les clients vers une page de paiement clonée. Lorsque la fraude a été identifiée trois jours plus tard, plus de 70 clients avaient saisi les détails de leur carte sur le site de l'attaquant. Il a fallu des mois pour se remettre des atteintes à la réputation – bien plus longtemps que les pertes financières.

Il existe également une menace croissante des codes QR qui déclenchent le téléchargement automatique d'applications malveillantes, en particulier sur les appareils Android. Ces applications peuvent capturer silencieusement les frappes au clavier, accéder aux contacts, intercepter les codes d'authentification à deux facteurs et même activer les caméras et les microphones. Une seule analyse, en moins de deux secondes d’action, peut compromettre l’intégralité d’un appareil.

Pourquoi les entreprises sont à la fois des cibles et des vecteurs

Les entreprises sont confrontées à un double risque. D’une part, les employés scannant des codes QR inconnus représentent une menace entrante pour la sécurité de l’entreprise. D'un autre côté, les entreprises qui déploient des codes QR à des fins destinées aux clients (menus, paiements, formulaires de commentaires, accès Wi-Fi) peuvent, sans le savoir, devenir des vecteurs d'attaques lorsque ces codes ne sont pas détectés.

Frequently Asked Questions

What is QR code phishing (quishing) and how does it work?

QR code phishing, known as quishing, occurs when cybercriminals replace legitimate QR codes with malicious ones that redirect users to fake websites. These fraudulent sites mimic trusted brands to steal login credentials, financial information, or install malware on your device. Attacks commonly target parking meters, restaurant menus, and event materials where people scan without hesitation, making it one of the fastest-growing cyber threats today.

How can I tell if a QR code is safe before scanning?

Always preview the URL your phone displays before opening it. Look for misspellings, unusual domains, or shortened links that hide the true destination. Avoid scanning QR codes on stickers placed over original codes, as this is a common tampering method. Use your phone's built-in camera rather than third-party scanner apps, and never enter passwords or payment details on a site reached through an unfamiliar QR code.

Can businesses protect their customers from fake QR codes?

Yes. Businesses should use branded, dynamic QR codes with custom domains so customers can verify authenticity. Regularly inspect physical QR codes for tampering and rotate URLs when compromise is suspected. Platforms like Mewayz offer a 207-module business OS starting at $19/mo that includes secure link management and branded digital touchpoints, reducing reliance on exposed physical QR codes altogether.

What should I do if I accidentally scanned a malicious QR code?

Immediately close the browser tab without entering any information. If you already submitted credentials, change those passwords right away and enable two-factor authentication on affected accounts. Run a security scan on your device, monitor bank statements for unauthorized charges, and report the fraudulent QR code to the business whose code was spoofed and to the FTC at ReportFraud.ftc.gov.

Related Posts

• L'IRS a perdu 40 % de son personnel informatique et 80 % de ses dirigeants technologiques lors d'une restructuration pour plus d'« efficacité »
• Le coût réel de gestion d’une entreprise : une répartition basée sur les données par taille d’entreprise
• LCM : Gestion du contexte sans perte [pdf]
• Outil de sandboxing en ligne de commande peu connu de macOS (2025)