Ils ont eu leur heure de gloire il y a quelques années, puis ils sont tombés en désuétude. Mais depuis quelque temps, il semble qu’ils reviennent en force. Les QR codes se sont installés partout dans notre quotidien : sur les menus des restaurants ; les affiches publicitaires ; pour valider des paiements ou s’inscrire à des services en un clin d’œil. Mais derrière leur aspect pratique et ludique, ces carrés noirs peuvent dissimuler une vraie menace. Voici un tour d’horizon des dangers potentiels des QR codes et des bons réflexes à adopter pour les utiliser sereinement.

Un outil pratique, devenu omniprésent

Créé à l’origine pour tracer des pièces automobiles, le QR code (Quick Response Code) s’est démocratisé dans le monde entier. Grâce aux smartphones, il suffit de pointer l’appareil photo pour accéder instantanément à une page web, à une vidéo, ou à une information sans avoir à taper quoi que ce soit.

Cette simplicité d’usage explique son succès. Mais c’est justement cette facilité d’usage qui en fait une cible privilégiée pour les cybercriminels.

Des risques souvent ignorés

Redirections vers des sites malveillants

Un QR code peut contenir une URL vers un faux site : une page de connexion qui imite une banque, un espace client EDF, ou un service public. Une fois vos identifiants saisis, ils tombent dans les mains de pirates.

Téléchargement de logiciels malveillants

Certains QR codes pointent vers un fichier à télécharger, comme une application ou un PDF. En réalité, il peut s’agir d’un malware, capable d’espionner vos données, voire de prendre le contrôle de votre appareil.

Déclenchement d’actions automatiques

Moins connu : un QR code peut contenir des instructions pour se connecter à un réseau Wi-Fi, envoyer un SMS, composer un numéro, ou ouvrir une application spécifique. Certains QR codes sont conçus pour profiter de failles ou de configurations trop permissives.

Vol d’identité et de données personnelles

Un QR code peut aussi conduire à un faux formulaire d’inscription ou à une fausse offre de remboursement. Vous y laissez vos coordonnées, adresse mail, voire informations bancaires.

Des cas concrets et troublants

Des arnaques aux QR codes ont déjà été rapportées : des QR codes frauduleux collés sur les horodateurs, redirigeant vers un faux site de paiement ; des affiches culturelles ou sanitaires modifiées avec un autocollant QR malveillant ;  des campagnes de phishing basées sur des QR codes reçus par mail ou SMS, imitant des services officiels.

Dans la plupart des cas, les victimes ne se doutent de rien : un simple scan, et la machine est lancée.

Voir par exemple ici pour une arnaque au paiement du stationnement.

Pourquoi ces risques sont souvent négligés ?

Le QR code est perçu comme un simple “lien visuel”, un objet neutre, comme un code-barres. Or, contrairement à un lien cliquable, on ne peut pas en deviner le contenu sans outil spécifique. Beaucoup d’utilisateurs scannent sans réfléchir, par habitude ou curiosité. Et les pirates l’ont bien compris.

Alors comment se protéger ?

✅ Toujours vérifier la source. Un QR code dans un lieu public ? Demandez-vous s’il est officiel ou ajouté par-dessus. Évitez de scanner ceux qui sont collés ou isolés, sans contexte clair.
✅ Utilisez une application de scan qui affiche l’URL. Certaines applications (ou navigateurs sécurisés) affichent le lien complet avant de l’ouvrir. Cela vous permet de repérer une adresse suspecte. Si l’application que vous utilisez ne propose pas cette option, alors c’est simple, changez en. Il ne faut jamais naviguer vers le lien sans avoir vérifié son contenu.
✅ De même, ne téléchargez rien depuis un QR inconnu. Un QR code vous invite à installer une application pour votre téléphone ? Méfiez-vous. Passez plutôt par une source de confiance.
✅ Ne communiquez jamais de données sensibles sans vérifier l’URL. Mais bon, ce point est valable tout le temps. Un formulaire qui s’ouvre après le scan ? Vérifiez l’adresse du site, et demandez-vous si vous donneriez ces infos si le lien vous était envoyé par mail.

Conclusion : utile, mais pas anodin

Le QR code est un outil formidable, mais il mérite d’être traité avec les mêmes précautions qu’un lien inconnu. Ne les scannez pas “machinalement”, et adoptez les bons réflexes pour éviter les pièges. Et dans le doute, abstenez-vous.