Danger critique

Arnaque au QR Code (quishing) : la nouvelle menace qui explose en France en 2026

Faux PV de stationnement, faux avis de passage, bornes de recharge piégées : les arnaques par QR code (quishing) explosent en France. Guide complet pour les reconnaître et s'en protéger.

Partager

Attention, possible arnaque

Ne scannez JAMAIS un QR code collé sur un parcmètre, un avis de passage ou reçu par courrier sans vérifier sa source. Les vrais PV arrivent par courrier postal, jamais par QR code collé sur votre pare-brise. En cas de doute, tapez l'adresse du site officiel directement dans votre navigateur.

Personne scannant un faux QR code sur un PV de stationnement
Les faux PV avec QR code se multiplient dans les villes françaises

Vous trouvez un papillon sous votre essuie-glace avec un QR code à scanner pour payer une amende de stationnement. Vous scannez un QR code sur une borne de recharge électrique pour payer votre session. Vous recevez un avis de passage de La Poste avec un QR code pour reprogrammer la livraison. Dans les trois cas, vous êtes peut-être la cible d'une arnaque au QR code, aussi appelée quishing. Cette technique de fraude connaît une explosion sans précédent en France depuis fin 2025, et les autorités tirent la sonnette d'alarme.

C'est quoi le quishing ?

Le terme quishing est la contraction de "QR code" et "phishing" (hameçonnage). Il désigne toute arnaque utilisant un QR code frauduleux pour rediriger la victime vers un site malveillant. Contrairement au phishing par email ou par SMS, le quishing exploite un vecteur que la plupart des gens considèrent comme inoffensif : un simple carré noir et blanc.

Le principe est redoutablement simple. L'escroc crée un QR code qui pointe vers un site frauduleux imitant un site officiel. Ce QR code est ensuite imprimé sur un autocollant, un faux document administratif, un faux avis de passage ou tout autre support physique ou numérique. Quand la victime scanne le code avec son smartphone, elle est redirigée vers le faux site et invitée à entrer ses coordonnées bancaires, ses identifiants ou ses informations personnelles.

Ce qui rend le quishing particulièrement dangereux, c'est que personne ne peut lire un QR code à l'oeil nu. Contrairement à un lien dans un email ou un SMS, où l'on peut au moins lire l'URL avant de cliquer, un QR code est totalement opaque. Vous ne savez pas vers quel site il vous dirige avant de l'avoir scanné. Les escrocs le savent et en profitent.

L'explosion du quishing en France est directement liée à la démocratisation des QR codes après la pandémie de Covid-19. Les restaurants, les transports, les administrations et les commerces ont massivement adopté le QR code pour remplacer les supports papier. Résultat : les Français ont pris l'habitude de scanner des QR codes sans réfléchir, partout et tout le temps. Un réflexe que les arnaqueurs exploitent méthodiquement.

Le quishing en France : chiffres clés 2025-2026

+400%
Hausse des signalements en 2 ans
63%
Des Français scannent sans vérifier
150 €
Montant moyen dérobé
#3
Menace cyber en France
Source :Cybermalveillance.gouv.fr (2025)

Les 6 types d'arnaques au QR code en France

1. Le faux PV de stationnement avec QR code

C'est la variante la plus répandue et la plus médiatisée. Vous retrouvez sous votre essuie-glace un document qui ressemble à un avis de contravention pour stationnement. Le papier reprend les codes visuels officiels : logo de la République française, numéro de dossier, montant de l'amende (en général 35 euros), et surtout un QR code présenté comme un moyen de paiement rapide et simple.

En scannant le QR code, vous êtes redirigé vers un site imitant parfaitement amendes.gouv.fr. On vous demande vos coordonnées bancaires pour "régler l'amende". En réalité, vos données sont captées par les escrocs qui les utilisent pour effectuer des achats frauduleux ou vider votre compte.

Cette arnaque est particulièrement vicieuse car elle joue sur la peur bien connue des automobilistes de voir leur amende majorée s'ils ne paient pas rapidement. Le faux PV mentionne souvent un délai de 48 heures avant majoration, poussant la victime à agir dans la précipitation.

Alerte Police nationale et Gendarmerie

La Police nationale et la Gendarmerie ont publié plusieurs alertes officielles en 2025 et 2026 sur la multiplication des faux PV avec QR code dans les grandes villes françaises. Les vraies contraventions de stationnement ne comportent JAMAIS de QR code de paiement direct. Le vrai avis de contravention est envoyé par courrier postal à l'adresse figurant sur le certificat d'immatriculation, et le paiement se fait uniquement sur amendes.gouv.fr.

Si vous avez reçu un SMS ou un faux PV évoquant l'ANTAI, consultez notre article dédié sur l'arnaque au faux PV ANTAI pour en savoir plus sur les mécanismes de cette fraude.

2. Le faux avis de passage La Poste / Colissimo

Vous trouvez dans votre boîte aux lettres un avis de passage indiquant qu'un colis n'a pas pu vous être livré. Le document comporte le logo de La Poste ou de Colissimo et un QR code pour "reprogrammer la livraison" ou "confirmer votre adresse". En scannant le code, vous êtes redirigé vers un faux site de La Poste qui vous demande de payer des frais de réexpédition de 1 ou 2 euros, juste assez pour récupérer vos coordonnées bancaires complètes.

Cette arnaque fonctionne d'autant mieux que la période post-fêtes et les soldes génèrent un volume considérable de colis. Beaucoup de Français attendent effectivement un colis et ne se méfient pas d'un avis de passage. Les escrocs ciblent en priorité les immeubles d'habitation en zone urbaine, où la distribution de faux avis de passage est facile et rapide.

Pour tout savoir sur les arnaques liées aux colis, consultez notre guide sur les faux SMS La Poste et Colissimo.

3. La borne de recharge électrique piégée

Avec le développement des véhicules électriques, les bornes de recharge publiques se multiplient en France. Certaines bornes proposent le paiement par QR code, ce que les escrocs exploitent en collant un faux QR code par-dessus le code officiel ou à proximité immédiate de la borne.

La victime, pressée de recharger son véhicule, scanne le QR code sans soupçonner la supercherie. Elle est redirigée vers un faux site de paiement qui imite l'interface de l'opérateur de bornes (Ionity, TotalEnergies, Freshmile, etc.). Après avoir saisi ses coordonnées bancaires, non seulement le paiement n'est pas pris en compte par la borne, mais les données bancaires sont volées.

Bornes de recharge : comment payer en sécurité

Les opérateurs de bornes de recharge officiels utilisent des QR codes intégrés directement dans l'écran de la borne ou gravés dans sa coque, jamais des autocollants amovibles. Si le QR code est sur un autocollant collé à côté de la borne ou par-dessus l'écran, ne le scannez pas. Privilégiez le paiement via l'application officielle de l'opérateur, que vous aurez téléchargée au préalable depuis l'App Store ou le Google Play Store.

4. Le faux QR code bancaire par courrier

Des courriers frauduleux imitant ceux de votre banque arrivent dans votre boîte aux lettres. Ils prétextent une mise à jour de sécurité, un changement de conditions générales ou la nécessité de confirmer votre identité, et vous invitent à scanner un QR code pour accéder à votre espace client. Le QR code mène évidemment à un site de phishing copiant l'interface de votre banque (Crédit Agricole, BNP Paribas, Société Générale, etc.).

Cette variante est particulièrement pernicieuse car le courrier postal inspire confiance. Beaucoup de Français considèrent encore qu'un document reçu par la poste est nécessairement légitime, contrairement à un email ou un SMS. Les escrocs le savent et investissent dans des impressions de qualité professionnelle, avec papier à en-tête, logos en couleur et mise en page soignée.

En cas de doute, ne scannez pas le QR code et contactez directement votre banque via le numéro habituel. Pour en savoir plus sur les arnaques bancaires, consultez notre article sur l'arnaque au faux conseiller bancaire.

5. Le QR code de restaurant ou de terrasse

Depuis la pandémie, de nombreux restaurants proposent leur carte via un QR code posé sur la table. Les escrocs remplacent discrètement ces QR codes par les leurs, en collant un autocollant par-dessus le code original. Le faux QR code redirige soit vers un site de phishing imitant une page de commande en ligne, soit vers un site qui installe un malware sur votre téléphone, soit vers une fausse page de paiement.

Les restaurateurs ne vérifient pas toujours leurs QR codes, et les clients ne se méfient pas d'un code affiché dans un établissement qu'ils fréquentent. Cette arnaque reste moins fréquente que les faux PV, mais elle a été signalée dans plusieurs grandes villes, notamment à Paris, Lyon et Marseille.

6. Le QR code dans les emails et SMS

Les escrocs intègrent désormais des QR codes directement dans leurs emails et SMS de phishing. Au lieu d'un lien cliquable que les filtres anti-spam peuvent détecter et bloquer, ils insèrent une image de QR code accompagnée d'un message du type : "Scannez ce code pour vérifier votre compte" ou "Flashez ce QR code pour suivre votre colis".

L'avantage pour les arnaqueurs est double. D'une part, les filtres anti-spam et anti-phishing analysent les liens textuels mais peinent à détecter les URLs cachées dans les QR codes sous forme d'image. D'autre part, le fait de devoir utiliser un deuxième appareil (le smartphone) pour scanner le code affiché sur l'écran d'ordinateur crée une rupture qui sort la victime de son environnement habituel de navigation sécurisée.

Cette technique est souvent combinée avec du phishing généré par IA, qui produit des emails parfaitement rédigés et personnalisés.

Pourquoi le quishing est si dangereux

Le quishing présente des caractéristiques qui le rendent nettement plus dangereux que le phishing traditionnel par email ou SMS. Voici une comparaison des protections disponibles face à chaque type d'attaque.

| Protection | Email phishing | SMS phishing | Quishing (QR code) | |------------|---------------|--------------|---------------------| | Filtre anti-spam | Oui, efficace | Partiellement | Non, aucun filtre | | Aperçu du lien avant clic | Oui (survol souris) | Oui (lecture URL) | Non, URL invisible | | Détection par antivirus | Oui, la plupart | Certains | Très rarement | | Authentification de l'expéditeur | DMARC/SPF/DKIM | Numéro court | Impossible | | Formation des utilisateurs | Bien connue | En progrès | Quasi inexistante | | Signalement facile | Oui (signal-spam.fr) | Oui (33700) | Difficile |

Pourquoi les filtres de sécurité ne fonctionnent pas contre le quishing

Les QR codes physiques (collés sur un parcmètre, une borne, un avis de passage) échappent totalement aux protections numériques. Il n'existe aucun filtre anti-spam pour un autocollant. Quant aux QR codes envoyés par email sous forme d'image, les filtres anti-phishing actuels ne savent pas encore systématiquement décoder et analyser les URLs qu'ils contiennent. C'est pour cela que le quishing est la menace qui progresse le plus vite en 2026.

Le quishing est aussi plus dangereux parce qu'il exploite un contexte physique qui inspire confiance. Un faux PV collé sur un pare-brise, un avis de passage glissé sous la porte, un QR code affiché sur une borne officielle : dans tous ces cas, le support physique crée une impression de légitimité que n'a pas un simple email. Les victimes baissent la garde parce qu'elles sont dans le monde réel, pas derrière un écran.

Enfin, le quishing est redoutablement efficace parce que la cible est toujours le smartphone. Or, sur un smartphone, les URLs sont plus difficiles à vérifier (barre d'adresse réduite, navigation souvent en plein écran), et les protections anti-phishing sont moins robustes que sur un ordinateur.

Comment reconnaître un faux QR code

Les indices physiques

La première étape pour se protéger est d'examiner le QR code et son support avant de le scanner. Plusieurs indices physiques doivent vous alerter :

Un QR code collé par-dessus un autre est le signal le plus évident. Passez le doigt sur le QR code : si vous sentez l'épaisseur d'un autocollant, ou si les bords sont légèrement décollés, il y a de fortes chances que quelqu'un ait recouvert le code original. C'est particulièrement fréquent sur les parcmètres et les bornes de recharge.

Un document d'apparence officielle mais avec des défauts d'impression (couleurs légèrement décalées, logo flou, papier de mauvaise qualité) doit vous mettre la puce à l'oreille. Les vrais documents administratifs français ont une qualité d'impression constante et normalisée.

L'absence de numéro de dossier ou de références vérifiables est également suspecte. Un vrai PV comporte toujours un numéro de télépaiement, un numéro d'avis de contravention, la date, le lieu et la nature de l'infraction.

Les indices numériques

Une fois le QR code scanné (si vous décidez de le scanner malgré tout), plusieurs vérifications s'imposent avant d'aller plus loin.

3 vérifications obligatoires après avoir scanné un QR code

  1. Lisez l'URL affichée par votre application de scan avant d'ouvrir le lien. Si l'URL ne correspond pas au site officiel attendu, ne l'ouvrez pas.
  2. Vérifiez le nom de domaine avec attention. Les escrocs utilisent des noms très proches des vrais (amendes-gouv.com au lieu de amendes.gouv.fr, laposte-relivraison.fr au lieu de laposte.fr).
  3. Ne saisissez jamais vos coordonnées bancaires sur un site atteint via un QR code. Ouvrez plutôt votre navigateur et tapez vous-même l'adresse du site officiel.

Domaines officiels vs domaines frauduleux

| Service | Domaine officiel | Exemples de domaines frauduleux | |---------|------------------|---------------------------------| | Amendes | amendes.gouv.fr | amendes-gouv.com, antai-amendes.fr, pv-paiement.fr | | La Poste | laposte.fr | laposte-relivraison.fr, colissimo-suivi.com, la-poste.info | | Impôts | impots.gouv.fr | impots-gouv.com, dgfip-remboursement.fr | | ANTAI | antai.gouv.fr | antai-service.fr, antai-paiement.com | | Banques | [banque].fr | [banque]-securite.com, espace-[banque].fr | | Bornes recharge | Domaine officiel de l'opérateur | recharge-paiement.fr, borne-electrique.com |

La règle est simple : les sites gouvernementaux français utilisent toujours l'extension .gouv.fr. Si l'URL ne se termine pas exactement par .gouv.fr (attention aux tirets et aux sous-domaines trompeurs), ce n'est pas un site officiel.

Comment se protéger du quishing

Règle n°1 : Ne scannez jamais un QR code sous pression

Les arnaqueurs jouent systématiquement sur l'urgence. "Payez sous 48h sinon majoration", "Dernier jour pour récupérer votre colis", "Session de recharge en attente". Ce sentiment d'urgence est exactement ce qui vous empêche de réfléchir. Prenez toujours le temps de vérifier avant de scanner. Si c'est vraiment urgent, le vrai organisme vous contactera par un canal officiel et vous laissera le temps nécessaire.

Règle n°2 : Vérifiez le support physique du QR code

Avant de scanner, examinez le QR code physiquement. Est-il imprimé directement sur le document ou collé par-dessus ? Est-il intégré dans l'interface de la borne ou ajouté comme un autocollant ? Les QR codes légitimes sont intégrés au support d'origine, pas ajoutés après coup. Si quelque chose vous semble collé, superposé ou rajouté, ne scannez pas.

Règle n°3 : Utilisez une application de scan qui affiche l'URL

La caméra native de votre smartphone ouvre généralement le lien automatiquement. Préférez une application de scan de QR code qui vous montre l'URL complète avant de l'ouvrir, vous laissant le temps de vérifier le domaine. Des applications comme QR Scanner (iOS) ou QR & Barcode Scanner (Android) offrent cette fonctionnalité. Certaines intègrent même une vérification de sécurité du lien.

Règle n°4 : Tapez toujours l'adresse vous-même

C'est la protection la plus efficace et la plus simple. Si un QR code vous dirige vers un site pour payer une amende, recharger votre véhicule ou gérer un colis, ne passez pas par le QR code. Ouvrez votre navigateur et tapez vous-même l'adresse du site officiel (amendes.gouv.fr, laposte.fr, etc.). Si le service est légitime, vous retrouverez toutes les informations nécessaires sur le vrai site.

Protection contre le quishing : où en sont les Français ?

37%
Vérifient l'URL après scan
12%
Utilisent un scanner sécurisé
89%
Ne savent pas ce qu'est le quishing
4 sur 5
Scanneraient un faux PV
Source :Baromètre Cybersécurité - OpinionWay (2025)

Que faire si vous avez scanné un faux QR code

La gravité de la situation dépend de ce que vous avez fait après avoir scanné le code. Voici les trois scénarios possibles et les actions à mener pour chacun.

Scénario 1 : Vous avez scanné le QR code mais n'avez rien saisi

Si vous avez simplement ouvert le lien sans entrer d'informations, le risque est limité mais pas nul. Certains sites malveillants peuvent tenter de télécharger un malware ou d'exploiter une faille de votre navigateur.

  1. Fermez immédiatement l'onglet ou la page
  2. Videz le cache de votre navigateur
  3. Lancez un scan antivirus sur votre smartphone
  4. Surveillez tout comportement inhabituel de votre téléphone dans les jours suivants (ralentissements, pop-ups, applications inconnues)

Scénario 2 : Vous avez saisi des identifiants (email, mot de passe)

Si vous avez entré des identifiants de connexion sur un faux site, les escrocs ont maintenant accès à votre compte sur le vrai service.

  1. Changez immédiatement votre mot de passe sur le vrai site en y accédant directement (pas via un lien)
  2. Activez l'authentification à deux facteurs (2FA) si ce n'est pas déjà fait
  3. Vérifiez l'historique des connexions et des actions récentes sur votre compte
  4. Changez ce mot de passe partout où vous l'utilisiez (si vous le réutilisiez sur d'autres services)
  5. Prévenez le service client de l'entreprise concernée

Scénario 3 : Vous avez saisi vos coordonnées bancaires

C'est le scénario le plus grave. Vos coordonnées bancaires sont entre les mains des escrocs, et chaque minute compte.

URGENCE : Coordonnées bancaires volées

  1. Appelez IMMÉDIATEMENT votre banque pour faire opposition sur votre carte (le numéro d'opposition figure au dos de votre carte ou sur le site de votre banque). Vous pouvez aussi appeler le serveur interbancaire au 0 892 705 705 (disponible 24h/24).
  2. Conservez toutes les preuves : captures d'écran du faux site, du QR code, du faux document, historique de navigation.
  3. Déposez plainte au commissariat ou à la gendarmerie. Vous pouvez aussi déposer une pré-plainte en ligne sur pre-plainte-en-ligne.gouv.fr.
  4. Signalez la fraude sur cybermalveillance.gouv.fr.
  5. Surveillez vos relevés bancaires quotidiennement pendant les semaines suivantes et contestez toute transaction non reconnue.

Pour un guide complet sur les démarches à suivre, consultez notre page Que faire si vous êtes victime d'une arnaque.

Comment signaler une arnaque au QR code

Le signalement est essentiel pour protéger les autres victimes potentielles et permettre aux autorités de démanteler les réseaux d'escrocs. Voici les différents canaux de signalement selon votre situation.

| Action | Contact | Quand l'utiliser | |--------|---------|-----------------| | Signaler un faux site | phishing-initiative.fr | Vous avez l'URL du faux site | | Signaler un SMS frauduleux | Transférez au 33700 | Vous avez reçu un SMS avec QR code | | Obtenir de l'aide | cybermalveillance.gouv.fr | Vous êtes victime ou avez besoin de conseils | | Déposer plainte | Commissariat, gendarmerie ou pre-plainte-en-ligne.gouv.fr | Vous avez subi un préjudice financier | | Signaler une fraude bancaire | Perceval (service-public.fr) | Fraude à la carte bancaire | | Signaler un faux PV | Commissariat local | Vous avez trouvé un faux PV sur votre véhicule | | Signaler un contenu illicite | PHAROS (internet-signalement.gouv.fr) | Signalement en ligne de contenus frauduleux |

Si vous trouvez un faux QR code sur un parcmètre ou une borne de recharge, ne le retirez pas vous-même : prévenez la police municipale ou la gendarmerie pour qu'ils puissent le constater, le photographier et lancer une enquête. En attendant leur intervention, vous pouvez placer un avertissement visible pour prévenir les autres usagers.

Pour un guide complet sur toutes les procédures de signalement, consultez notre page Comment signaler une arnaque.

L'avenir du quishing : ce qui nous attend en 2026-2027

Le quishing n'en est qu'à ses débuts, et les experts en cybersécurité anticipent une évolution rapide des techniques utilisées par les escrocs dans les mois et années à venir.

Les QR codes dynamiques

Les QR codes actuels utilisés par les escrocs sont généralement statiques : ils pointent toujours vers la même URL. Mais la prochaine génération d'arnaques utilisera des QR codes dynamiques, dont l'URL de destination peut être modifiée à distance après l'impression du code. Cela signifie qu'un QR code pourrait fonctionner normalement pendant des jours ou des semaines (en redirigeant vers le vrai site), puis être basculé vers un site frauduleux à un moment précis, rendant la détection presque impossible.

La combinaison quishing + intelligence artificielle

Les escrocs commencent à combiner le quishing avec les capacités de l'IA générative. Un faux site de phishing atteint via un QR code peut désormais intégrer un chatbot IA qui imite un conseiller bancaire ou un agent du service public. Ce chatbot est capable de répondre à vos questions de manière convaincante, de vous rassurer sur la légitimité du site, et de vous guider pas à pas vers la saisie de vos coordonnées bancaires. La frontière entre un vrai et un faux service client devient alors quasiment indiscernable.

Le quishing ciblé géographiquement

Les futures campagnes de quishing seront de plus en plus ciblées. Les escrocs pourraient déployer des faux QR codes dans des quartiers spécifiques en analysant les habitudes de stationnement, les zones de livraison les plus actives ou les bornes de recharge les plus fréquentées. En croisant ces données avec des informations issues de fuites de données personnelles, ils pourront personnaliser le faux site pour qu'il affiche le nom de la victime, son adresse ou son numéro d'immatriculation, augmentant considérablement la crédibilité de l'arnaque.

Les QR codes dans l'espace public

Les administrations, les transports publics et les commerces continuent de multiplier les QR codes dans l'espace public : paiement du stationnement, accès aux horaires de transport, menus de restaurant, informations touristiques. Cette omniprésence crée un terrain de jeu toujours plus vaste pour les escrocs, qui n'ont qu'à coller un autocollant pour détourner un flux d'utilisateurs habitués à scanner sans réfléchir.

Face à ces évolutions, les autorités et les entreprises de cybersécurité travaillent sur des solutions techniques : QR codes authentifiés par signature numérique, applications de scan avec vérification en temps réel, sensibilisation massive du public. Mais en attendant que ces protections soient déployées à grande échelle, la vigilance individuelle reste votre meilleure défense.

Ce qu'il faut retenir sur les arnaques au QR code

Le quishing est la menace cyber qui progresse le plus vite en France en 2026. Les QR codes frauduleux sont impossibles à distinguer visuellement des vrais. La seule protection efficace est de ne JAMAIS scanner un QR code pour effectuer un paiement ou saisir des informations personnelles. Tapez toujours l'adresse du site officiel directement dans votre navigateur. Si vous trouvez un QR code suspect dans l'espace public, signalez-le aux autorités. Et si vous avez été victime, faites opposition immédiatement et portez plainte.

Cybercriminel créant de faux QR codes devant des écrans
Les escrocs créent des QR codes redirigeant vers des sites de phishing
Vérification sécurisée d'un QR code avec loupe
Toujours vérifier l'URL de destination avant d'ouvrir un QR code

Questions fréquentes

Le quishing (QR + phishing) est une technique d'arnaque qui utilise de faux QR codes pour rediriger les victimes vers des sites frauduleux. Le QR code peut être collé sur un parcmètre, imprimé sur un faux PV, envoyé par courrier ou affiché sur une borne de recharge électrique.

Ressources officielles

Cybermalveillance.gouv.fr

Assistance et prévention du risque numérique

Signal Spam

Signaler les emails frauduleux

PHAROS

Signaler un contenu illicite

33700

Signaler les SMS et appels frauduleux

Info Escroqueries

0 805 805 817 (gratuit)

Équipe iarnaque.frVérifié

Rédaction

L'équipe éditoriale de iarnaque.fr recherche, vérifie et documente les arnaques circulant en France pour protéger les consommateurs.

Expertise
Détection d'arnaquesCybersécurité grand publicProtection des consommateursPhishing et fraudes en ligne
Publié le 17 mars 2026
Guide pratique

Comment reconnaître un site frauduleux

Guide complet pour identifier les faux sites web, sites de phishing et boutiques en ligne frauduleuses. Tous les signaux d'alerte.

Articles similaires

Danger élevé"Bonjour, vous êtes chez vous ?" : l'arnaque au faux livreur par SMS
Danger critiqueArnaques à l'intelligence artificielle en 2026 : le guide complet (deepfakes, clonage vocal, phishing IA)
Danger élevéArnaques sur Facebook Marketplace : guide complet pour les éviter
Toutes les arnaques SMS