Sécurité des QR Codes : Comment Éviter les Arnaques de Quishing en 2026
En 2024, les attaques de phishing par QR code — connues sous le nom de « quishing » — ont augmenté de plus de 500 % selon les entreprises de cybersécurité qui suivent cette tendance. Fin 2025, le quishing était devenu l'un des vecteurs d'attaque à la croissance la plus rapide dans le paysage du phishing. Alors que les QR codes deviennent omniprésents dans les restaurants, les parcmètres, les cartes de visite et le réseautage professionnel, comprendre les risques n'est plus une option — c'est une nécessité.
Qu'est-ce que le quishing ?
Le quishing est du phishing via QR code. Au lieu d'intégrer un lien malveillant dans un e-mail ou un SMS, les attaquants encodent le lien dans un QR code. Lorsque vous scannez le code avec votre téléphone, il ouvre l'URL malveillante dans votre navigateur — souvent une fausse page de connexion convaincante conçue pour voler vos identifiants.
La raison pour laquelle le quishing fonctionne si bien est que les QR codes sont opaques. Contrairement à un lien hypertexte où vous pouvez survoler pour prévisualiser l'URL, un QR code ne révèle rien de sa destination tant que vous ne l'avez pas scanné. Cette opacité est ce qui rend les QR codes à la fois utiles et dangereux.
Comment fonctionnent les attaques par quishing
- Autocollant superposé : Les attaquants placent un autocollant avec un QR code malveillant par-dessus un code légitime — sur un parcmètre, une table de restaurant ou une affiche publique.
- Intégration dans un e-mail : Un QR code est inclus dans un e-mail de phishing, contournant les filtres de sécurité basés sur le texte qui analysent les URL mais ne peuvent pas lire les QR codes.
- Fausses cartes de visite : Une carte de visite contrefaite avec un QR code qui mène à une page de collecte d'identifiants au lieu d'un profil LinkedIn.
- Exploitation lors d'événements : Lors de conférences et salons professionnels, les attaquants distribuent des prospectus ou des badges avec des QR codes renvoyant vers des téléchargements de malwares.
L'ampleur du problème
Les chiffres sont alarmants. Selon un rapport de 2025 de SlashNext, les attaques par quishing sont passées de 0,8 % de toutes les attaques de phishing en 2023 à plus de 4,8 % en 2025 — une multiplication par 6. Abnormal Security a rapporté que 89 % des attaques par quishing visent le vol d'identifiants, les pages de connexion Microsoft 365 et Google Workspace étant les plus fréquemment imitées.
Le FBI a émis un avertissement public en 2024 concernant la fraude par QR code sur les parcmètres et les stations-service aux États-Unis. Au Royaume-Uni, Action Fraud a signalé une augmentation de 300 % des plaintes liées aux arnaques par QR code entre 2023 et 2025.
Comment repérer un faux QR code
Bien que les QR codes ne puissent pas être « lus » visuellement, plusieurs signaux d'alerte doivent attirer votre attention :
- Autocollants superposés : Si un QR code semble être un autocollant collé par-dessus une autre surface — en particulier sur un parcmètre, un distributeur automatique ou un menu de restaurant — ne le scannez pas. Les QR codes légitimes sont généralement imprimés directement sur la surface.
- Contexte inattendu : Un QR code dans un e-mail non sollicité, un SMS ou un prospectus doit être traité avec méfiance. Les entreprises légitimes demandent rarement de scanner un QR code pour « vérifier votre compte » ou « réclamer un prix ».
- URL incohérente : Après avoir scanné, vérifiez l'URL avant de cliquer. Si le QR code figurait sur une carte de visite LinkedIn mais que l'URL ne contient pas
linkedin.com, n'allez pas plus loin. - URL raccourcies : Méfiez-vous des QR codes qui renvoient vers bit.ly, tinyurl ou d'autres raccourcisseurs d'URL. Ceux-ci masquent la véritable destination. Les QR codes professionnels légitimes renvoient directement vers la cible.
- Qualité d'impression médiocre : Des QR codes flous, décentrés ou de taille inhabituelle sur des supports par ailleurs professionnels peuvent indiquer une falsification.
Comment vous protéger
1. Prévisualisez avant de cliquer
La plupart des appareils photo de smartphones modernes affichent un aperçu de l'URL lorsque vous pointez vers un QR code. Lisez attentivement l'URL avant de cliquer. Recherchez les fautes d'orthographe (comme linkedln.com au lieu de linkedin.com), les domaines inhabituels ou les chemins suspects.
2. Utilisez un scanner QR avec des fonctions de sécurité
Certaines applications de scanner QR vérifient les URL dans des bases de données de phishing connues avant de les ouvrir. Des applications comme Kaspersky QR Scanner et Norton Snap (ou les applications appareil photo intégrées sur iOS 17+ et Android 14+) fournissent des aperçus d'URL et des vérifications de sécurité de base.
3. N'entrez jamais d'identifiants après un scan
Si un QR code vous amène à une page de connexion, arrêtez-vous. Ouvrez le service directement depuis votre navigateur ou votre application. Les QR codes LinkedIn légitimes vous amènent à une page de profil publique — ils ne vous demandent jamais de vous connecter.
4. Vérifiez les QR codes physiques
Si vous êtes dans un commerce ou un lieu public, demandez au personnel si le QR code est légitime. Lors d'événements, ne scannez que les QR codes provenant de supports officiels — pas de prospectus ou de tracts aléatoires.
5. Gardez votre téléphone à jour
iOS et Android corrigent régulièrement des vulnérabilités de sécurité qui pourraient être exploitées via des sites web malveillants. Maintenir à jour le système d'exploitation et le navigateur de votre téléphone est une défense élémentaire mais essentielle.
Pourquoi les QR codes LinkedIn sont plus sûrs
Tous les QR codes ne présentent pas le même niveau de risque. Les QR codes LinkedIn générés par des outils comme notre générateur gratuit disposent de plusieurs avantages de sécurité intégrés :
- URL directe : Le QR code pointe directement vers
linkedin.com/in/votre-profil— aucune redirection, aucun raccourcisseur d'URL, aucun pixel de suivi. - Destination reconnaissable : Toute personne scannant le code voit une URL
linkedin.comdans l'aperçu, facile à vérifier. - Aucune collecte de données : Les QR codes statiques (comme les nôtres) ne transitent par aucun serveur tiers. L'URL est encodée directement dans le motif du QR code.
- Génération côté client : Votre URL LinkedIn ne quitte jamais votre navigateur lors de la génération — il n'y a aucun serveur à compromettre.
- Signal de confiance visuel : Les QR codes avec le logo LinkedIn intégré (comme les nôtres) fournissent un indice visuel immédiat sur la destination.
Check-list de sécurité des QR codes
| Vérification | Sûr | Suspect |
|---|---|---|
| Aperçu de l'URL | Affiche le domaine attendu | Domaine inconnu ou mal orthographié |
| Emplacement physique | Imprimé sur le support | Autocollant sur un code existant |
| Destination | Page publique ou informative | Page de connexion ou téléchargement |
| Format de l'URL | Lien direct | Raccourcisseur d'URL |
| Contexte | Emplacement prévu | E-mail ou prospectus non sollicité |
En résumé
Les QR codes ne sont pas intrinsèquement dangereux — mais ils sont intrinsèquement opaques. La même praticité qui les rend utiles pour le réseautage les rend aussi attrayants pour les attaquants. La défense est simple : prévisualisez avant de cliquer, vérifiez l'URL, et n'entrez jamais d'identifiants sur une page atteinte via un scan de QR code. Lorsque vous créez vos propres QR codes, utilisez des outils qui génèrent des URL directes et transparentes sans serveur intermédiaire — comme notre générateur de QR code LinkedIn.
Générez un QR Code LinkedIn Sécurisé
Créez un QR code qui connecte directement à votre profil LinkedIn vérifié.
Aller au Générateur →