Le QR code s’est imposé comme un outil du quotidien pour payer son stationnement ou lancer une recharge électrique. Mais cette simplicité peut aussi coûter très cher. Derrière certains de ces petits carrés se cache désormais une arnaque bien rodée : le quishing.
Le quishing, contraction de QR code et phishing, désigne une escroquerie qui utilise les codes QR pour piéger les utilisateurs. Très simple à mettre en place, cette méthode frauduleuse s’invite de plus en plus souvent dans le quotidien des automobilistes. En cause : la banalisation des paiements via smartphone, que ce soit pour régler son stationnement ou démarrer une recharge électrique par exemple. Mais derrière certains de ces petits carrés bien pratiques peut se cacher une arnaque.
Sites contrefaits imitant les services officiels, QR codes collés à la va-vite sur des bornes ou sur des horodateurs, faux avis de contravention glissés sous l’essuie-glace : ces escroqueries ciblent directement les automobilistes. Et leur progression inquiète, aussi bien en France qu’à l’étranger.
À Lorris, dans le Loiret, une escroquerie au QR code avait déjà été repérée dès janvier 2024. Des conducteurs avaient été piégés en tentant de payer la recharge de leur voiture électrique via un QR code frauduleux apposé sur la borne. Le code renvoyait vers un faux site de paiement, très convaincant, sur lequel les automobilistes saisissaient leurs coordonnées bancaires. La recharge ne démarrait jamais, mais un petit montant était immédiatement débité.
Ce genre de fraude joue sur deux leviers : la confiance dans l’outil et l’urgence de la situation. L’automobiliste pense régler un service habituel, à un moment où il est pressé, sans imaginer être ciblé par une arnaque. D’autant que les sommes débitées sont souvent modestes, donc peu susceptibles d’alerter immédiatement la victime.
Dans ce contexte, il est essentiel de vérifier que le QR code fait bien partie intégrante de l’écran de la borne, et qu’il ne s’agit pas d’un autocollant apposé manuellement. De plus en plus de stations de recharge affichent un QR code numérique directement à l’écran, justement pour éviter les remplacements frauduleux. « La recharge doit rester simple et sûre. Quelques réflexes suffisent déjà pour éviter la plupart des risques : passer uniquement par l’application officielle, vérifier l’URL avant tout paiement, éviter le Wi-Fi public et signaler toute anomalie. La cybersécurité n’est pas un frein à la mobilité électrique, c’est la condition de sa confiance », explique Rafael Ferreira, cofondateur de miio, start-up spécialisée dans la mobilité électrique.
Les cybercriminels ne se contentent plus de piéger les automobilistes : ils visent désormais directement les opérateurs de recharge. Comme le rapporte miio, en novembre 2024, une vaste fuite de données a été repérée sur le dark web après le piratage de plusieurs réseaux de recharge insuffisamment sécurisés. Plus de 116 000 enregistrements y auraient circulé, comprenant notamment des noms, des numéros de série de véhicules ainsi que la localisation précise des bornes utilisées. Face à ce type de risque, les utilisateurs ont tout intérêt à surveiller régulièrement les moyens de paiement associés à leurs comptes et à rester vigilants vis-à-vis des messages et alertes émanant officiellement de leurs opérateurs.
Autre scénario de plus en plus courant : celui de la fausse amende. Sur le pare-brise (ou même directement dans la boîte aux lettres), l’automobiliste découvre ce qu’il croit être un avis de contravention. Le ton est officiel, les mentions légales sont présentes, et surtout : un QR code permet de régler la somme rapidement. Mais le lien renvoie vers un faux site, imitant celui de l’ANTAI ou d’un service de stationnement local.
À Melun, plusieurs cas ont été signalés en 2025. Des automobilistes, pensant régulariser une situation administrative, ont saisi leurs coordonnées bancaires. Leurs données ont alors été récupérées par les fraudeurs. Ici encore, le mode opératoire est soigné : le document imprimé est crédible et joue sur l’envie d’en finir rapidement, pour éviter majoration ou poursuites.
Pour ne pas se faire piéger, il est essentiel de vérifier certains détails. Une véritable contravention contient toujours un numéro d’avis, que vous pouvez entrer manuellement sur le site officiel de l’ANTAI. Si un QR code figure sur le document, il ne doit jamais être le seul moyen de paiement proposé. En cas de doute, mieux vaut saisir soi-même l’adresse du site de l’administration concernée dans son navigateur, plutôt que de suivre le lien du QR code.
Dans certaines villes, les fraudeurs collent un QR code directement sur l’horodateur ou sur un panneau de stationnement. L’utilisateur, pressé ou peu attentif, scanne et se retrouve sur un site piégé. Les informations bancaires sont alors aspirées.
Au Royaume-Uni, plus de 1 300 plaintes ont été enregistrées pour ce type de fraude depuis 2024. Dans certains cas, les victimes, après avoir payé en ligne, ont reçu des appels prétendant venir de leur banque, les incitant à transférer leurs fonds « sur un compte sécurisé ». Les pertes peuvent alors atteindre plusieurs milliers d’euros.
Pour éviter de tomber dans le piège, mieux vaut éviter de scanner un QR code collé directement sur un horodateur. Les collectivités ou les prestataires de stationnement passent généralement par des applications dédiées ou des numéros à composer. Si un QR code vous semble mal positionné ou inhabituel, il est plus prudent de l’ignorer. Préférez une application que vous connaissez déjà, ou recherchez la zone de stationnement via un site officiel.
Les escroqueries par QR code ne se limitent pas à l’espace public. Elles circulent aussi via SMS, e-mails ou même courriers postaux. Le message prétend venir d’un organisme officiel : amendes.gouv.fr, stationnement.gouv.fr, ou un prestataire de services. Le ton est pressant, le lien semble crédible, mais il mène à une page de phishing. Avec l’intelligence artificielle, ces attaques sont de plus en plus convaincantes : logos officiels, URL proches de celles des administrations, contenus sans faute. L’objectif reste le même : récupérer des données personnelles et bancaires.
C’est pourquoi il est essentiel de ne jamais cliquer sur un lien ou un QR code reçu par SMS si vous ne l’attendiez pas. En cas de doute, mieux vaut taper vous-même l’adresse du service concerné dans votre navigateur ou contacter l’organisme pour vérifier l’authenticité du message.
Certaines attaques sont plus techniques. Scanner un QR code peut parfois ne pas vous rediriger vers un site, mais lancer le téléchargement d’une application. Une app censée gérer votre recharge, votre stationnement ou votre abonnement. En réalité, il s’agit d’un malware déguisé, capable d’intercepter vos données, surveiller vos usages ou accéder à vos identifiants. Ce type d’arnaque reste encore rare en France, mais des cas ont été recensés en Allemagne, en Espagne ou au Royaume-Uni. L’essor des services numériques automobiles rend toutefois cette arnaque de plus en plus menaçante.
En cas d’arnaque, le réflexe à adopter est immédiat : contactez votre banque pour faire opposition et surveillez attentivement vos relevés. Plus l’alerte est donnée tôt, plus les chances de limiter les dégâts sont grandes. Pensez également à signaler l’escroquerie sur les plateformes officielles comme cybermalveillance.gouv.fr ou internet-signalement.gouv.fr. Une plainte peut aussi être déposée auprès de la police ou de la gendarmerie, notamment si vos données personnelles ont été compromises.
Une nouvelle fois, pour éviter de tomber dans le piège, quelques réflexes simples s’imposent. Ne scannez jamais un QR code dont l’origine vous semble incertaine, qu’il soit collé sur une borne, imprimé sur une amende suspecte ou reçu par SMS. Vérifiez toujours qu’il est intégré à l’interface numérique d’un service officiel. Refusez d’installer une application à partir d’un QR code inconnu, et privilégiez systématiquement les stores officiels comme le Play Store ou l’App Store. Enfin, en cas de doute, saisissez vous-même l’adresse du site dans votre navigateur : un geste simple qui peut faire toute la différence.
