Vérifier le contenu d'un QR code avant de le scanner
Le QR code phishing (quishing) est une menace croissante en 2026. Des QR codes malveillants placés sur des affiches, dans des emails ou sur des surfaces publiques dirigent vers des sites de phishing ou déclenchent des téléchargements malveillants. Avant de scanner un QR code inconnu, il est possible de vérifier son contenu sans risque en utilisant le Scanner QR de WikiPlus sur une image du code, sans ouvrir la destination.
La menace du QR phishing (quishing)
Le quishing est une technique d'attaque qui utilise des QR codes pour diriger les victimes vers des sites de phishing. Les attaquants placent des QR codes malveillants sur des affichages publics (parking, restaurants, tables), dans des emails d'entreprise (se faisant passer pour le département IT ou la comptabilité) ou sur des flyers. La victime scanne le code, qui dirige vers une page de connexion frauduleuse imitant Microsoft 365, sa banque ou un service de livraison. Selon les rapports de cybersécurité 2025, les attaques de quishing ont augmenté de 156 % entre 2023 et 2025. Les filtres anti-phishing des emails repèrent moins facilement les QR codes que les liens texte, ce qui les rend particulièrement dangereux dans les communications professionnelles.
Comment vérifier un QR code suspect
La procédure sécurisée pour vérifier un QR code inconnu est la suivante. Étape 1 : photographiez ou capturez le QR code sans le scanner avec votre téléphone (utilisez la caméra en mode photo, pas scan). Étape 2 : importez l'image dans le Scanner QR WikiPlus depuis votre ordinateur. Étape 3 : le contenu du QR code apparaît : si c'est une URL, examinez-la avant de cliquer. Vérifiez le domaine (est-ce le site officiel de l'entreprise ou un domaine similaire suspect ?). Vérifiez la présence de HTTPS. Vérifiez que l'URL ne contient pas de paramètres suspects ou de redirections. Étape 4 : si l'URL vous semble légitime, ouvrez-la dans un onglet isolé ou utilisez un service de prévisualisation de lien comme URLScan.io. Étape 5 : si l'URL vous semble suspecte, signalez le QR code aux autorités ou à l'organisme concerné.
Signaux d'alerte d'un QR code malveillant
Plusieurs indices suggèrent qu'un QR code peut être malveillant. Le QR code est un autocollant collé par-dessus un QR code officiel (pratique documentée dans les parkings et stations de paiement). L'URL décodée utilise un raccourcisseur de lien (bit.ly, tinyurl) qui cache la destination réelle. L'URL décodée contient un domaine différent du site officiel attendu (microsoft-login.site au lieu de microsoft.com). Le QR code dans un email professionnel vous demande de 'vérifier votre identité' ou de 'confirmer vos informations de paiement'. Le QR code promet un gain (prix, remboursement) et exige vos coordonnées bancaires. Dans tous ces cas, n'ouvrez pas le lien et signalez le code suspect.
Bonnes pratiques pour les professionnels
Pour les professionnels qui manipulent régulièrement des QR codes dans un contexte d'entreprise, quelques règles de sécurité s'imposent. Ne jamais scanner de QR code dans un email non sollicité demandant une action urgente. Vérifier systématiquement les QR codes de factures ou demandes de paiement avant de les utiliser. Former les équipes comptables et RH aux risques du quishing, car ils sont particulièrement ciblés par les attaques de QR codes de virement bancaire frauduleux. Utiliser le Scanner QR WikiPlus comme outil de vérification préalable avant tout scan dans un contexte professionnel sensible. Signaler tout QR code suspect au RSSI (Responsable de la Sécurité des Systèmes d'Information) ou à l'IT.
Questions fréquemment posées
- Le Scanner QR WikiPlus peut-il détecter automatiquement les URLs malveillantes ?
- Non. Le Scanner décode le contenu du QR code et l'affiche, mais n'effectue pas d'analyse de sécurité de l'URL. C'est à l'utilisateur d'examiner l'URL affichée et de juger de sa légitimité. Pour une analyse automatique, copiez l'URL décodée dans URLScan.io ou VirusTotal pour une vérification de réputation.
- Que faire si je trouve un QR code suspect dans un lieu public ?
- Ne le scannez pas avec votre téléphone. Photographiez-le et analysez-le via le Scanner QR WikiPlus sur votre ordinateur. Si vous confirmez qu'il est malveillant (URL de phishing), signalez-le au propriétaire du lieu et/ou à la police (cybercriminalité). En France, vous pouvez signaler via la plateforme Pharos du gouvernement (internet-signalement.gouv.fr).
- Les QR codes Wi-Fi peuvent-ils être dangereux ?
- Oui. Un QR code Wi-Fi peut connecter votre appareil à un réseau Wi-Fi malveillant contrôlé par un attaquant, qui peut alors intercepter votre trafic non chiffré. Méfiez-vous des QR codes Wi-Fi dans les lieux publics qui vous proposent un réseau avec un nom évoquant l'établissement (Free_Airport_Wifi, McD_Guest) mais qui peuvent être des hotspots frauduleux. Vérifiez le SSID et le type de sécurité avec le Scanner QR WikiPlus avant de confirmer la connexion.