- Les QR codes deviennent la nouvelle porte d’entrée créative des cybercriminels
- 26 millions de personnes pourraient déjà avoir été exposées
- Parmi les conseils pour rester en sécurité figure la mise à jour régulière du téléphone
Un QR code (Quick Response) a-t-il été scanné récemment ? Dans ce cas, mieux vaut observer de plus près cette matrice de pixels noirs et blancs, car il existe une probabilité non négligeable d’avoir déjà été attiré, sans le savoir, dans une arnaque via QR code, ou « quishing », alerte NordVPN.
Les QR codes sont omniprésents. Depuis leur apparition il y a plus de vingt ans, un nombre croissant de services, comme le paiement du stationnement, le retrait de colis, la réservation de billets de concert ou la commande d’une pizza, reposent de plus en plus sur ces codes-barres 2D polyvalents.
Les cybercriminels ont eux aussi identifié leur potentiel et recourent de plus en plus au « quishing » comme méthode de fraude financière et de vol de données. Des données préoccupantes issues du VPN le mieux noté par TechRadar suggèrent qu’une grande partie du public pourrait déjà en avoir été victime. En effet, jusqu’à 26 millions de personnes auraient pu être piégées par une tentative de phishing après avoir cliqué sur un QR code malveillant.
C'est un piège !
Au fil des années, commerçants, institutions financières et professionnels du marketing ont remplacé les codes-barres traditionnels par des QR codes, avec l’avantage de pouvoir stocker de grandes quantités de données et de rediriger instantanément les utilisateurs vers des sites web, des applications ou des contenus numériques via un smartphone.
Les fraudeurs les ont toutefois intégrés à la fois dans des arnaques physiques et numériques, renforcées par l’intelligence artificielle pour rendre ces attaques plus rapides et plus efficaces.
Marijus Briedis, directeur technique chez NordVPN, explique : « Contrairement aux e-mails de phishing traditionnels, dont les signes d’alerte sont désormais mieux connus, un QR code physique inspire spontanément confiance. »
Les escrocs exploitent ainsi de plus en plus une technique malveillante de commerce en ligne appelée « brushing ». Celle-ci consiste à envoyer des colis inattendus accompagnés de messages énigmatiques incitant les destinataires à scanner un QR code pour en savoir plus, avant d’être redirigés vers des sites de phishing.
Contrairement aux e-mails de phishing traditionnels, un QR code physique semble intrinsèquement digne de confiance.
Marijus Briedis, directeur technique de NordVPN
NordVPN précise que des cas concrets incluent des colis semblant provenir d’Amazon alors qu’aucune commande n’a été passée, avec un message QR invitant les destinataires à réclamer des récompenses inexistantes dans le cadre d’arnaques plus larges.
D’anciennes campagnes de quishing reposaient également sur de faux QR codes de paiement placés sur des parkings, conduisant les victimes à envoyer de l’argent à des criminels sans s’en rendre compte.
Une arnaque particulièrement manipulatrice sur le plan émotionnel pousse les victimes à scanner des QR codes en leur faisant croire qu’ils fourniront la preuve que leur partenaire les trompe.
En raison de la grande flexibilité des QR codes pour élaborer des tactiques frauduleuses créatives, leur utilisation dans les escroqueries a explosé. Selon des rapports d’experts en cybersécurité de KepNet, 26 % de tous les liens malveillants sont désormais intégrés à des QR codes.
NordVPN se positionne en première ligne dans la lutte contre les escroqueries, en renforçant ses fonctionnalités Threat Protection Pro, notamment la protection des e-mails qui analyse les liens à la recherche de tentatives de phishing. Le blocage des arnaques reste une priorité majeure pour 2026. La semaine dernière, le fournisseur de VPN a bloqué 92 % des sites malveillants lors de tests menés par AV-Comparatives.
Comment rester en sécurité ?
Bien qu’essentiel pour protéger les données, un réseau privé virtuel (VPN) n’empêche pas à lui seul de scanner un code malveillant. Même si des études montrent que les Britanniques savent relativement bien identifier les tentatives de phishing, NordVPN appelle à rester vigilant en appliquant quelques mesures préventives simples.
Le conseil de Briedis est sans équivoque : « Chaque code QR inattendu doit être traité avec le même niveau de méfiance qu’un lien provenant d’un expéditeur inconnu dans une boîte de réception. »
Avant de scanner un code QR, il convient de s’assurer de l’identité de l’expéditeur et de vérifier que l’entreprise à l’origine de la demande est digne de confiance.
Comme la plupart des smartphones permettent de prévisualiser les liens, il est recommandé de vérifier si l’URL semble inhabituelle ou suspecte.
Les dispositifs de sécurité doivent rester actifs, y compris la protection VPN, et la prudence s’impose face aux codes QR découverts dans des contextes ou des lieux inhabituels.
Et si ces informations paraissent déjà connues, le partage reste essentiel avec des personnes moins informées : après tout, un utilisateur averti de plus par jour peut suffire à tenir les escrocs à distance.
