Un QR peut contenir un lien web, votre mot de passe Wi-Fi, un paiement, une carte de contact, une carte d'embarquement, un dossier de vaccination, un permis de conduire, un code d'appairage maison connectée et des dizaines d'autres choses. La plupart des vérificateurs de sécurité ne contrôlent que les liens web. Nous identifions et vérifions tout, en langage clair.
Chargement…
Pour chaque type de QR, nous vous indiquons ce que c'est, ce qu'il contient et s'il est sûr d'agir dessus, sans jamais vous renvoyer vos informations personnelles dans le processus.
Le QR sur une affiche, un parcmètre ou une table de restaurant. Nous suivons chaque redirection, identifions le propriétaire du raccourcisseur (Bitly, Linktree, TinyURL, marque propre) et signalons les domaines imitateurs et les sites de phishing connus. Si le lien peut changer après l'impression du QR, nous le précisons : c'est ainsi que fonctionnent les arnaques par substitution d'autocollant.
Le QR que vous donne votre hôtel ou café. Nous affichons le nom du réseau, le type de sécurité et le mot de passe, et signalons les faux « Starbucks WiFi » / « Airport Free WiFi » qui tentent de vous faire connecter à un faux point d'accès.
QR de paiement dans les restaurants, marchés et parcmètres. Nous affichons le nom du commerçant, la ville, le pays, le montant et la devise avant que vous payiez, pour vérifier que vous payez bien la bonne personne. Couvre 54 pays : PIX (Brésil), UPI (Inde), PromptPay (Thaïlande), PayNow (Singapour), Bizum (Espagne), Swish (Suède) et bien d'autres.
Bitcoin, Ethereum, Solana, Lightning Network, Cashu et plus encore. Nous validons l'adresse, décodons le montant et avertissons clairement lorsqu'un QR demande à votre portefeuille d'appeler une fonction de contrat intelligent (souvent le début d'une arnaque de vidange) plutôt qu'un simple envoi.
Le QR « enregistrer mon contact » sur une carte de visite. Nom, téléphone, email, organisation, adresse, profils sociaux, anniversaire, notes — affichés sous forme de fiche structurée que vous pouvez ajouter à votre téléphone en un tap. Les noms ressemblant à des marques connues sont signalés.
QR d'événements provenant de sites de mariage, badges de conférence, billetterie. Titre, début, fin, récurrence (hebdomadaire, mensuelle), lieu, organisateur, participants — tout décodé pour que vous voyiez exactement ce qui sera ajouté à votre calendrier avant d'appuyer sur Accepter.
QR pour appeler, envoyer un SMS ou un email en un tap. Nous signalons les numéros surtaxés (qui vous facturent à la minute), les codes courts internationaux utilisés pour la fraude, et les sujets d'email préremplis qui tentent de vous faire envoyer des informations sensibles.
Le QR que votre banque, Google ou votre application professionnelle vous affiche lors de la configuration d'un authentificateur. Nous décodons l'émetteur et le compte afin que vous puissiez confirmer ce à quoi vous vous inscrivez, et nous alertons clairement lorsque quelqu'un tente de partager l'intégralité de son bundle Google Authenticator (un seul QR contenant tous ses codes 2FA).
Le QR que votre ordinateur affiche pour que votre téléphone finalise une connexion passkey. Nous avertissons clairement si vous n'êtes pas à l'origine d'une connexion : scanner le QR d'un inconnu le connecte lui à votre compte. Détecte également la même technique sur WhatsApp Web, Telegram, Microsoft 365, Google, GitHub, AWS, Steam, Discord, Slack et Apple ID.
Le code-barres au dos des permis de conduire américains et canadiens (celui que les bars et clubs scannent), ainsi que les permis de conduire mobiles délivrés par les DMV des États et le portefeuille d'identité numérique de l'UE. Nous affichons l'émetteur, le type de document et les attributs qu'il contient, sans jamais renvoyer le nom, l'adresse ou la date de naissance du titulaire.
Lire : que contient le code-barres au dos d'un permis de conduire ?
Les cartes de santé SMART (dossiers de vaccination, ordonnances, résultats de laboratoire) et les certificats COVID numériques de l'UE. Nous identifions la nature du document et son émetteur, mais nous ne décodons délibérément pas le nom du patient, la date de naissance ni aucun détail médical. Votre application de portefeuille est le bon endroit pour les consulter, pas une page de scanner publique.
Le QR de votre carte d'embarquement. Numéro de vol, itinéraire, date, siège, séquence, tout est décodé pour vous permettre de vérifier le billet. Nous masquons par défaut la référence de réservation (PNR) car toute personne disposant de votre nom et du PNR peut accéder à votre réservation. Ne publiez pas de photos de carte d'embarquement en ligne.
Lire : que contient le code-barres d'une carte d'embarquement ?
Les QR d'appairage Matter et Apple HomeKit que vous scannez pour ajouter un nouvel appareil à votre domicile. Nous décodons le fabricant, le produit, le code de configuration et les types de réseaux auxquels l'appareil tentera de se connecter, afin qu'un autocollant substitué ne puisse pas discrètement enrôler un appareil sur un réseau que vous ne contrôlez pas.
Le QR que vous scannez pour installer un forfait téléphonique. Nous affichons le serveur opérateur auquel il se connectera, le code d'activation et si un code de confirmation est requis. Avertissement important : un eSIM installé peut intercepter les SMS, y compris les codes 2FA reçus par message texte.
Les QR de configuration WireGuard. Nous affichons l'adresse du serveur, les IP autorisées et le DNS, et signalons les configurations tunnel complet qui feraient transiter l'intégralité de votre trafic via le serveur d'un tiers. La clé privée du QR est masquée par défaut.
Les QR GS1 Digital Link sur les produits emballés, le format appelé à remplacer les codes-barres traditionnels d'ici 2027. Nous décodons le code produit (GTIN), le numéro de lot, la date d'expiration et le numéro de série, pour vérifier l'authenticité d'un produit en un coup d'œil.
Le QR des factures suisses. Nous décodons l'IBAN, le nom et l'adresse du créancier, le montant, la devise et la référence, pour que vous puissiez l'ouvrir dans votre application bancaire en voyant clairement à qui vous payez.
Certains formats QR ne doivent jamais s'exécuter après un scan : javascript:, les URI de fichiers exécutables et les blobs de données encodés en JavaScript. Nous bloquons ces formats et vous expliquons pourquoi. Le bouton d'action est désactivé intentionnellement.
Les tokens ecash Cashu sont littéralement de l'argent : toute personne qui photographie le QR peut les dépenser. Nous le signalons clairement. Les endpoints LNURL (connexion Lightning, retrait, paiement) sont décodés pour que vous voyiez où votre portefeuille se connectera avant d'appuyer.
Lorsque le QR contient simplement du texte, nous vérifions quand même la présence d'URL intégrées, de secrets exposés (clés API, JWT, clés SSH), de motifs d'injection de prompt IA visant des assistants en aval, et de caractères Unicode imitateurs qui dissimulent des liens dangereux.
« qr.abundera.ai/r/abc → walmart.com, propre ✓ »
Vrai à cet instant précis. Mais le QR collé sur un parcmètre passe d'abord par un raccourcisseur. Le titulaire du compte peut changer la destination à tout moment. Imprimez un QR propre aujourd'hui, remplacez la cible par une page de phishing demain : chaque scan ultérieur du même autocollant physique aboutit sur du phishing. Le vérificateur d'URL ne vous a jamais dit que c'était possible.
« Passe par un raccourcisseur. Le titulaire du compte peut changer la destination après impression. Mène aujourd'hui vers walmart.com (propre). »
Deux réponses en un seul verdict. Maintenant : est-ce sûr aujourd'hui ? Plus tard : qui peut modifier la destination demain ? Les deux comptent pour un QR sur un support imprimé que vous ne pouvez pas désimprimer.
Pour les documents d'identité et les justificatifs, nous identifions le type de QR que vous avez scanné, mais nous ne décodons délibérément pas les informations personnelles qu'il contient.
Lorsque vous scannez un export d'application d'authentification ou un code de configuration, nous l'identifions et vous avertissons si vous le scannez au mauvais endroit, mais les graines secrètes réelles ne sont jamais décodées par notre serveur. Elles vont dans votre application d'authentification, pas chez nous.
Dossiers de vaccination et certificats de santé : nous affichons l'émetteur (gouvernement ou autorité sanitaire) et le type de document. Votre nom, date de naissance et antécédents médicaux restent dans le document, jamais renvoyés par notre scanner.
Nous affichons les informations de vol pour que vous puissiez vérifier le billet, mais masquons la référence de réservation derrière un tap pour révéler, afin qu'une capture d'écran de notre verdict ne permette pas d'accéder à votre réservation.
Les clés privées WireGuard et SSH sous forme de QR sont affichées en champs masqués que vous pouvez révéler d'un tap sur votre appareil. Elles ne sont envoyées à aucun tiers.
Quelques formats QR émergents que nous suivons. Nous les intégrerons au fur et à mesure que les standards se stabilisent.
Le portefeuille d'identité numérique transfrontalier de l'UE (eIDAS 2.0) est en cours de déploiement 2024-2026. Nous décodons déjà le format de permis de conduire mobile étroitement apparenté ; la variante du portefeuille européen sera intégrée une fois les déploiements des États membres stabilisés.
La réglementation européenne exige que chaque produit de consommation porte un passeport numérique (durabilité, origine, informations de réparation) d'ici 2027. Le format est déjà une URL GS1 Digital Link, que nous décodons aujourd'hui ; la surface complète du passeport s'enrichira à mesure que les fabricants publieront leurs données.
Le Bluetooth SIG standardise un format QR pour la mise en service des réseaux maillés (les QR d'appairage actuels sont spécifiques aux fabricants). Nous ajouterons le support à la publication du standard.
QR Code, Aztec (cartes d'embarquement mobiles), PDF417 (permis de conduire américains), Data Matrix (pharma + grande distribution), Code 128/39/93, Codabar, EAN-13/8 (épicerie), UPC-A/E (grande distribution US), ITF (cartons), MaxiCode (étiquettes d'expédition UPS), GS1 DataBar + DataBar Expanded (produits frais, coupons). Pointez la caméra sur l'un de ces formats et nous décodons et classifions le contenu de la même façon que pour les QR.
Nous suivons chaque format de code-barres que les utilisateurs pourraient rencontrer. Ces formats sont sur notre radar mais inaccessibles en JavaScript navigateur aujourd'hui : soit aucun décodeur de production n'existe, soit le standard est réservé à la recherche, soit le format est abandonné. Nous ajouterons le support dès qu'une voie viable s'ouvrira (bibliothèque navigateur, application native ou décodage côté serveur).
Symbologie 2D nationale chinoise (GB/T 21049-2007). Utilisée pour la logistique industrielle et les documents gouvernementaux. Aucun décodeur JavaScript de production n'existe aujourd'hui ; un support expérimental existe dans zxing-cpp, qui sera intégré lorsque nous lancerons l'application native Abundera QR Check (prévu).
Code-barres 2D couleur standardisé par le BSI allemand pour les emballages anti-contrefaçon. L'implémentation de référence est du code C réservé à la recherche ; aucun portage JavaScript n'existe. Nous suivons l'évolution dans l'attente d'un portage maintenu.
Format d'impression industrielle haute vitesse utilisé par les secteurs du tabac et de la pharmacie. Aucun décodeur JavaScript ne le lit de manière fiable aujourd'hui, même avec des fixtures de qualité. Sur le radar pour la pile d'applications natives.
PostNet, PLANET, Intelligent Mail (USPS), RM4SCC (Royal Mail), KIX (Pays-Bas), Australia Post 4-State. Suffisamment de niche pour qu'aucune bibliothèque JavaScript maintenue n'existe. Si un cas d'usage client émerge, nous évaluerons un décodeur natif ou côté serveur.
Microsoft a abandonné ce format de code-barres couleur en 2015 avec son SDK de scanner. Non supportable ; inclus ici pour information, afin que quiconque détient d'anciens supports marketing sache qu'ils ne scanneront pas.
Formats 2D industriels de niche. Aucun décodeur JavaScript de production. Chacun est suffisamment rare que nous n'investirions que si un client vérifié en faisait la demande.