Un lien HTTPS direct vers un site Abundera en propre. Pas de raccourcisseurs, pas de redirections. Verdict idéal : Validé, avec une mutabilité statique et un plancher bas de mutabilité du serveur de destination.
https://qr.abundera.ai/
Défenseur contre le quishing · Sécurité QR + URL + raccourcisseurs
Ne faites pas confiance à un QR avant qu'il soit validé.
Un QR code, c'est un inconnu qui vous tend une enveloppe. Idem pour toute URL raccourcie, un bit.ly, un t.co ou un lien reçu en message privé. L'ouvrir sans vérifier peut vous mener sur une page de phishing de credentials, un piège WiFi ouvert, une transaction de drainage de portefeuille ou une intention Android qui installe un logiciel malveillant. Nous traçons la chaîne, inspectons la destination et indiquons qui peut la modifier après impression du QR — la question qui détermine si un autocollant de parcomètre, une URL raccourcie transmise, un menu de restaurant ou un flyer MFA d'entreprise est réellement sûr.
Sans inscription, sans compte Payload jamais persisté Décodage caméra reste local Apps Mac, Windows, iOS, Android bientôt
Partager cet outil · ou sauvegarder un lien court pour revenir
Scannez un QR code avec votre caméra, importez une image, collez une image ou collez du texte décodé.
La caméra et le décodage d'image se font dans votre navigateur. Seul le texte décodé est envoyé à notre analyseur.
Paramètres du scanner
Téléchargement du décodeur avancé… 0 %
Historique des scans
Stocké sur cet appareil uniquement, jamais envoyé à nos serveurs. Les 25 derniers scans, les plus anciens supprimés automatiquement. L'historique de scan synchronisé dans le cloud (multi-appareils, 30 jours) est prévu dans la feuille de route pour les niveaux Personal+.
Voir en action
Appuyez sur « Essayer ce scan » pour le lancer ici, ou pointez l'appareil photo de votre téléphone sur le QR — il transite par notre scanner et le verdict s'affiche sur votre téléphone. Inutile de visiter quoi que ce soit au préalable.
Un QR qui transite par notre propre raccourcisseur avant d'atteindre sa destination finale. Le verdict indique qui peut modifier la destination après impression, l'axe de mutabilité qu'aucun autre scanner ne montre.
https://aqr.net/demo-walmart
Un lien garanti de résoudre dans un pays différent du vôtre (le JS permute la cible après détection de votre région). Illustre la puce de pays par saut ; une chaîne franchissant des frontières de façon inattendue est un signal de confiance plus fort qu'un seul saut isolé.
https://www.bundestag.de/
Google maintient cette URL spécifiquement comme fixture de test Safe Browsing. Elle est classée SOCIAL_ENGINEERING par Safe Browsing, utile pour démontrer que l'agrégateur de réputation et l'escalade de verdict fonctionnent réellement, sans pointer vers un vrai site de phishing.
https://testsafebrowsing.appspot.com/s/phishing.html
Comment ça fonctionne
- 1
Décodage
Votre navigateur décode le QR localement (jsQR). L'image ne quitte jamais votre appareil. Nous ne voyons que le payload textuel.
- 2
Dispatch
Le payload est classifié par schéma URI, préfixe de format structuré ou heuristique de contenu dans l'une des 48 catégories d'analyseur qui reconnaissent ensemble 222 variantes de payload : URL HTTP (avec des dizaines de reconnaisseurs spécifiques à l'hôte), WiFi, vCard, téléphonie, mail, intention Android, cryptomonnaie, contenu adressé, données en ligne, calendrier, géolocalisation, appairage Bluetooth, intégration Matter, paiement marchand EMV (PIX, PayNow, PromptPay, UPI et plus de 30 schémas nationaux), configuration WireGuard, carte de santé numérique, activation eSIM, appairage WalletConnect, passkey hybride FIDO, schéma bloqué en dur ou texte brut. Chaque catégorie est dirigée vers son analyseur dédié.
- 3
Traçage + classification
Pour les URL HTTP, nous traçons la chaîne de redirections à travers les services d'indirection (Bitly, Linktree, QR Tiger et environ 80 autres), enregistrons les intermédiaires par saut, classifions la mutabilité (statique / dynamique simple / dynamique chaîné / interstitiel publicitaire / cyclique) et attribuons le contrôle à chaque opérateur de service d'indirection. En parallèle, nous vérifions la destination auprès de Google Safe Browsing et URLhaus.
- 4
Unification
Nous composons une forme de verdict unique invariante selon les types de payload :
threat_class,mutability,chain,attribution,sub_payloads,disclosureen langage naturel. Les sous-payloads embarqués dans un parent (URL dans un champ NOTE vCard, SSID contenant un lien, etc.) sont dispatchés récursivement.
Ce que nous détectons que les outils URL-only manquent
Les scanners de menaces de classe URL couvrent une des 48 catégories de payload qu'un QR peut transporter, et un seul reconnaisseur à l'intérieur de la catégorie URL. Nous reconnaissons 222 variantes de payload sur l'ensemble des 48. Un aperçu ci-dessous ; la liste complète et la feuille de route Tier 2 se trouvent sur la page de couverture.
Chaîne de redirections et mutabilité
Tracez chaque saut. Détectez les chaînes Bitly et Linktree. Identifiez les opérateurs de services d'indirection. Faites apparaître les parties pouvant modifier la destination après impression.
QR de configuration WiFi
SSID et chiffrement analysés et normalisés. Réseaux ouverts, WEP faible ou masqués signalés. Décodage des confusables pour que les SSID sosies apparaissent dans le résultat.
Draineurs de portefeuilles crypto
Validation du format d'adresse et du checksum par chaîne. Détection du sélecteur de fonction EVM (approve, setApprovalForAll, permit). Réputation via Chainabuse.
Mise en service Matter pour maison connectée
Décode les payloads d'intégration base-38 MT:. Extrait l'identifiant fabricant et l'identifiant produit. Met en évidence le cadrage « ceci connecte un appareil à votre réseau domestique » pour qu'un autocollant substitué ne rejoigne pas discrètement un réseau attaquant.
Substitution de QR de paiement EMV
Analyse les payloads EMVCo MPM/CPM (SGQR, PromptPay, PayNow, DuitNow, UPI). Validation CRC et surface du nom de commerçant, détecte l'attaque par substitution d'autocollant, la fraude QR la plus répandue dans le monde.
Détournement de compte par QR-login
Reconnaît les points d'accès QR-login pour WhatsApp Web, Telegram, Signal, Microsoft 365, Google, GitHub et AWS. Avertit que scanner ce QR donne à son générateur l'accès à votre compte.
Un QR propre aujourd'hui, une page de phishing demain
Une fois qu'un QR est imprimé sur un autocollant, un menu ou un flyer, on ne peut pas défaire l'impression. Le verdict qui compte n'est donc pas seulement « le lien est-il sûr maintenant ? », mais « qui peut modifier sa destination une fois l'encre sèche ? ». C'est la mutabilité.
QR statique
walmart.com encodé directement dans la matrice QR
La destination est inscrite dans le motif de points lui-même. Aucun tiers ne peut modifier la cible. Ce que vous scannez aujourd'hui sera identique dans un an.
QR dynamique (le risque)
aqr.net/demo-walmart → un raccourcisseur → walmart.com
Le QR encode une URL raccourcisseur ; le titulaire du compte raccourcisseur choisit la destination au moment du scan et peut la changer en 30 secondes. Sain aujourd'hui, phishing demain, même autocollant physique. Nous affichons la chaîne, nommons l'opérateur du service d'indirection et indiquons si l'asset imprimé est tenu en laisse.
Tarifs
Gratuit pour un usage personnel, sans inscription. Formules payantes pour les particuliers, familles, équipes, marques et déploiements en entreprise.
MEMBRE FONDATEUR Votre tarif. Bloqué. Pour toujours. Économisez 34 % sur les formules payantes, facturation annuelle, disponible jusqu'au 1er septembre 2026.
Applications natives bientôt disponibles
Même moteur, natif sur macOS, Windows, Linux, iOS et Android. La lecture par caméra reste sur l'appareil ; la classification passe par le même point d'accès. abundera.app →
Questions
Qu'est-ce que le quishing ?
Le quishing est le phishing par QR code : un attaquant imprime, colle, envoie par e-mail ou en message privé un QR code qui, une fois scanné, ouvre une page de vol de credentials, une transaction de drainage de portefeuille, un piège WiFi ouvert ou une intention Android qui installe un logiciel malveillant. Le QR lui-même n'est qu'une image, donc les filtres anti-liens des e-mails et les avertissements du navigateur ne le voient jamais — jusqu'à ce que le téléphone de la victime ait déjà ouvert la destination. La défense doit intervenir au moment du scan, avant que le téléphone ne suive le lien.
En quoi le quishing diffère-t-il du phishing classique ?
Trois différences. Le vecteur d'attaque est physique ou visuel — un autocollant sur le QR d'un parcomètre, un flyer imprimé imitant une inscription MFA, un menu de restaurant dont le QR a été remplacé du jour au lendemain — ce qui contourne entièrement les passerelles e-mail. Les victimes font davantage confiance aux QR codes qu'aux liens dans un e-mail ; un QR semble pointer vers une destination choisie par celui qui a imprimé le support. Et les QR codes dynamiques acheminés via un raccourcisseur peuvent être redirigés vers une destination de phishing après distribution de l'asset imprimé, donc un QR sain à l'impression peut devenir hostile des mois plus tard. Les scanners de liens statiques répondent à « cette URL est-elle malveillante maintenant ? », pas à « qui peut modifier sa destination ? ».
Comment vérifier qu'un QR code est sûr avant de le scanner ?
Ne pointez pas l'appareil photo natif de votre téléphone dessus, cela ouvre immédiatement la destination. À la place, ouvrez check.qr.abundera.ai sur votre téléphone, scannez le QR via la caméra intégrée à la page (le décodage se fait localement ; l'image ne quitte jamais votre appareil) et lisez le verdict. Nous parcourons chaque saut de redirection, classifions si la destination est contrôlable par un tiers après impression du QR, et vérifions la réputation auprès de Google Safe Browsing et d'autres agrégateurs. Les verdicts Validé sont sûrs à ouvrir ; les verdicts Prudence et Ne pas continuer expliquent pourquoi.
Quels sont des exemples concrets de quishing ?
Les autocollants sur parcomètres et bornes de recharge VE qui recouvrent le QR légitime par un autre pointant vers une page de vol de données bancaires — schéma le plus signalé en 2024-2025, observé à Austin, San Antonio et à travers le Royaume-Uni. Les QR de menus de restaurant remplacés par des pages de phishing du jour au lendemain par un attaquant changeant physiquement le présentoir. Les flyers d'inscription MFA d'entreprise dans les toilettes de bureaux qui semblent officiels mais enrôlent l'appareil de l'attaquant. Les QR de faire-part de mariage distribués des mois avant l'événement, où une compromission du compte raccourcisseur permet à un attaquant de réorienter des milliers de cartes imprimées. Les QR de paiement crypto sur les terminaux point de vente recouverts de l'adresse de portefeuille de l'attaquant. Le fil conducteur : le QR imprimé est identique au QR sain.
En quoi est-ce différent de Google Safe Browsing ou VirusTotal ?
Les outils existants classifient si une URL est actuellement malveillante. Nous classifions en plus si la destination est contrôlable par un tiers après impression du QR — une propriété que nous appelons mutabilité. Un QR dynamique propre acheminé via un raccourcisseur reste à haut risque pour un autocollant de parcomètre ou un faire-part de mariage : le titulaire du compte raccourcisseur peut modifier la destination à tout moment. Nous exposons cette posture de contrôle comme un champ de verdict de premier niveau, aux côtés du verdict de contenu menaçant.
Conservez-vous le QR que j'ai scanné ?
Non. Le payload décodé transite vers notre serveur via HTTPS pour nous permettre de parcourir la chaîne et d'interroger les bases de réputation — c'est une nécessité fonctionnelle, pas un choix — mais il n'est jamais persisté. Les verdicts sont mis en cache via un hachage SHA-256 d'un discriminateur par type de payload concaténé avec un salt secret côté serveur. Le payload d'origine ne peut être reconstruit à partir d'aucune entrée de cache.
Pourquoi un domaine distinct de qr.abundera.ai ?
qr.abundera.ai est un générateur qui promet tout-côté-client : rien ne quitte votre appareil. Ce vérificateur de sécurité transmet le payload décodé au serveur par nécessité. Nous séparons les deux surfaces pour que la promesse client-only reste nette sur le domaine générateur, et que la surface au modèle de confidentialité inversé soit clairement étiquetée ici.
Qu'est-ce que la fonction d'alerte de mutation ?
Niveau Pro. Soumettez un QR pour le suivi et nous re-parcourons la chaîne périodiquement. Notification par e-mail dès que les cibles de redirection, la destination finale ou l'ensemble des opérateurs de services d'indirection change. Cela détecte le schéma de quishing le plus courant : imprimer un QR propre, puis basculer la destination vers du phishing des mois plus tard pour récolter les scans de l'asset imprimé.
Puis-je l'intégrer dans mon produit de sécurité ?
Oui, au niveau Pro. L'API est RESTful et retourne un verdict JSON structuré avec type de payload, classe de menace, mutabilité, chaîne de redirection, attribution de contrôle par saut et résultats des sous-payloads. Conçu pour l'intégration dans des applications de portefeuille, des suites de sécurité mobile, le filtrage d'URL en entreprise et les enrichisseurs de prévisualisation de liens Slack/Teams.
Open source ?
Pas pour l'instant. Le classifieur est en source fermée pendant que les travaux brevets sous-jacents sont en cours d'instruction. Nous pourrons publier des implémentations de référence des algorithmes divulgués après obtention du brevet. Le contrat API est public et stable.