Quishing : les différentes arnaques au QR code qui visent les automobilistes

Le quishing, contraction de QR code et phishing, désigne une escroquerie qui utilise les codes QR pour piéger les utilisateurs. Très simple à mettre en place, cette méthode frauduleuse s’invite de plus en plus souvent dans le quotidien des automobilistes. En cause : la banalisation des paiements via smartphone, que ce soit pour régler son stationnement ou démarrer une recharge électrique. Mais derrière certains de ces petits carrés bien pratiques peut se cacher une arnaque bien rodée.

Sites contrefaits imitant les services officiels, QR codes collés à la va-vite sur des bornes ou sur des horodateurs, faux avis de contravention glissés sous l’essuie-glace : ces escroqueries ciblent directement les automobilistes. Et leur progression inquiète, aussi bien en France qu’à l’étranger.

À Lorris, dans le Loiret, une escroquerie au QR code avait déjà été repérée dès janvier 2024. Des conducteurs avaient été piégés en tentant de payer la recharge de leur voiture électrique via un QR code frauduleux apposé sur la borne. Le code renvoyait vers un faux site de paiement, très convaincant, sur lequel les automobilistes saisissaient leurs coordonnées bancaires. La recharge ne démarrait jamais, mais un petit montant était immédiatement débité.

Ce genre de fraude joue sur deux leviers : la confiance dans l’outil et l’urgence de la situation. L’automobiliste pense régler un service habituel, dans un moment pressant, sans imaginer être ciblé par une arnaque. D’autant que les sommes débitées sont souvent modestes, donc peu susceptibles d’alerter immédiatement la victime.

Dans ce contexte, il est essentiel de vérifier que le QR code fait bien partie intégrante de l’écran de la borne, et qu’il ne s’agit pas d’un autocollant apposé manuellement. De plus en plus de stations de recharge affichent un QR code numérique directement à l’écran, justement pour éviter les remplacements frauduleux. En cas de doute, mieux vaut utiliser l’application officielle de l’opérateur ou saisir manuellement l’URL connue du service.

Autre scénario de plus en plus courant : celui de la fausse amende. Sur le pare-brise (ou même directement dans la boîte aux lettres) l’automobiliste découvre ce qu’il croit être un avis de contravention. Le ton est officiel, les mentions légales sont présentes, et surtout : un QR code permet de régler la somme rapidement. Mais le lien renvoie vers un faux site, imitant celui de l’ANTAI ou d’un service de stationnement local.

À Melun, plusieurs cas ont été signalés en 2025. Des automobilistes, pensant régulariser une situation administrative, ont saisi leurs coordonnées bancaires. Leurs données ont alors été récupérées par les fraudeurs. Ici encore, l’illusion est soignée : le document est bien imprimé, crédible. Et joue sur l’envie d’en finir rapidement, pour éviter majoration ou poursuites.

Pour ne pas se faire piéger, il est essentiel de vérifier certains détails. Une véritable contravention contient toujours un numéro d’avis, que vous pouvez entrer manuellement sur le site officiel de l’ANTAI. Si un QR code figure sur le document, il ne doit jamais être le seul moyen de paiement proposé. En cas de doute, mieux vaut entrer soi-même l’adresse du site de l’administration concernée dans son navigateur, plutôt que de suivre le lien directement.

Dans certaines villes, les fraudeurs collent un QR code directement sur l’horodateur ou sur un panneau de stationnement. L’utilisateur, pressé ou peu attentif, scanne et se retrouve sur un site piégé. Les informations bancaires sont alors aspirées.

Au Royaume-Uni, plus de 1 300 plaintes ont été enregistrées pour ce type de fraude depuis 2024. Dans certains cas, les victimes, après avoir payé en ligne, ont reçu des appels prétendant venir de leur banque, les incitant à transférer leurs fonds « sur un compte sécurisé ». Les pertes peuvent alors atteindre plusieurs milliers d’euros.

Pour éviter de tomber dans le piège, mieux vaut éviter de scanner un QR code collé directement sur un horodateur. Les collectivités ou les prestataires de stationnement passent généralement par des applications dédiées ou des numéros à composer. Si un QR code vous semble mal positionné ou inhabituel, il est plus prudent de l’ignorer. Préférez une application que vous connaissez déjà, ou recherchez la zone de stationnement via un site officiel.

Les escroqueries par QR code ne se limitent pas à l’espace public. Elles circulent aussi via SMS, e-mails ou même courriers postaux. Le message prétend venir d’un organisme officiel : amendes.gouv.fr, stationnement.gouv.fr, ou un prestataire de services. Le ton est pressant, le lien semble crédible, mais il mène à une page de phishing.

Avec l’aide de l’intelligence artificielle, ces attaques sont de plus en plus convaincantes : logos officiels, URL proches de celles des administrations, contenus sans faute. L’objectif reste le même : récupérer des données personnelles et bancaires.

C’est pourquoi il est essentiel de ne jamais cliquer sur un lien ou un QR code reçu par SMS si vous ne l’attendiez pas. En cas de doute, mieux vaut taper vous-même l’adresse du service concerné dans votre navigateur, ou contacter directement l’organisme pour vérifier l’authenticité du message.

Certaines attaques sont plus techniques. Scanner un QR code peut parfois ne pas vous rediriger vers un site, mais lancer le téléchargement d’une application. Une app censée gérer votre recharge, votre stationnement ou votre abonnement. En réalité, il s’agit d’un malware déguisé, capable d’intercepter vos données, surveiller vos usages ou accéder à vos identifiants.

Ce type d’arnaque reste encore rare en France, mais des cas ont été recensés en Allemagne, en Espagne ou au Royaume-Uni. L’essor des services numériques automobiles rend toutefois cette menace de plus en plus crédible.

N’installez jamais une application à partir d’un QR code inconnu. Téléchargez uniquement les applications depuis le Play Store ou l’App Store. Si une installation démarre automatiquement après un scan, annulez-la immédiatement.

En cas d’arnaque, le réflexe à adopter est immédiat : contactez votre banque pour faire opposition et surveillez attentivement vos relevés. Plus l’alerte est donnée tôt, plus les chances de limiter les dégâts sont grandes. Pensez également à signaler l’escroquerie sur les plateformes officielles comme cybermalveillance.gouv.fr ou internet-signalement.gouv.fr. Une plainte peut aussi être déposée auprès de la police ou de la gendarmerie, notamment si vos données personnelles ont été compromises.

Pour éviter de tomber dans le piège, quelques réflexes simples s’imposent. Ne scannez jamais un QR code dont l’origine vous semble incertaine, qu’il soit collé sur une borne, imprimé sur une amende suspecte ou reçu par SMS. Vérifiez toujours qu’il est intégré à l’interface numérique d’un service officiel. Refusez d’installer une application à partir d’un QR code inconnu, et privilégiez systématiquement les stores officiels comme le Play Store ou l’App Store. Enfin, en cas de doute, saisissez vous-même l’adresse du site dans votre navigateur : un simple geste qui peut faire toute la différence.