What is a QR code scam (quishing)?

A QR code scam is any attack that uses a QR code as the delivery vehicle. The QR can be on a sticker, a flyer, an email, a hijacked dynamic QR, a screen at a kiosk, or printed on physical merchandise. The attacker's goal is usually one of three things: take you to a phishing site, join your phone to a malicious network, or get you to approve a transaction (crypto, payment, credential release) that benefits them. The term 'quishing' (QR phishing) is industry shorthand; the FBI and FTC have issued public advisories about it since 2024.

Are QR codes themselves dangerous?

No. A QR code is just an encoding of text, like a really compact way to type a URL. The danger is in what the text instructs your phone to do: open a URL, join a network, approve a transaction. The same scams are possible with a typed URL or a tap-to-pay terminal; QR just makes the attack faster because you scan without reading. The defense is the same defense as for any URL or terminal: read what's there before you act.

How do I check a QR before scanning?

Use a scanner that decodes the QR and shows you the destination BEFORE opening it. That's what our scanner at check.qr.abundera.ai does, drop the QR (image, paste, or camera), and it shows you the decoded payload, the redirect chain, who controls the destination, and reputation flags. Then you decide whether to open the URL or take the action. Most built-in phone scanners just open the URL; you want one that pauses first.

Which QR scams should I worry about most in 2026?

The biggest-volume scam is still sticker-swap on parking meters, restaurant menus, and EV chargers, physical sticker over the legitimate QR, link to a fake payment page. After that: evil-twin Wi-Fi at airports and conference centres; passkey-QR phishing where an attacker tricks you into pairing a passkey to their device; authenticator-export theft (someone borrowing your phone for 'a quick photo' to export your Google Authenticator codes); and crypto drainer QRs at NFT events. Boarding-pass photo posting on social media is also surprisingly common, IATA's barcode encodes the booking reference that lets attackers cancel or modify the trip.

Guide de terrain

Arnaques aux QR codes à surveiller en 2026

Un QR code est simplement une chaîne encodée. Le danger n'est pas le format, c'est ce que la chaîne demande à votre téléphone de faire, et que vous scannez généralement sans lire. Voici les dix attaques actuellement en cours, à quoi chacune ressemble sur le terrain et comment la repérer avant de taper.

Vérifier un QR maintenant → Standards QR que nous décodons →

1. Remplacement par autocollant sur parcmètres, menus et bornes de recharge VE

À quoi ça ressemble : Un petit autocollant adhésif placé soigneusement sur le QR légitime d'un parcmètre, d'un menu de restaurant, d'une borne de recharge VE ou d'une caisse automatique. Le QR de l'autocollant est identique à l'original. Scannez-le et vous atterrissez sur une page de paiement ressemblant à celle de la ville ou du restaurant. Payez, et l'argent va à l'attaquant. Plusieurs grandes villes américaines ont été touchées en 2023-2024 (San Antonio, Austin, Houston) ; les autocollants sur les bornes de recharge VE ont explosé en 2024-2025.

Comment le repérer : Regardez le QR. Est-il imprimé directement sur la surface (gravé, peint, intégré sous plastifiant) ? Ou est-ce un autocollant ? Passez un ongle sur un bord, s'il se soulève, c'est un autocollant. Les QR de parcmètre et de borne de recharge VE sont presque toujours permanents. Pour les menus, demandez au serveur quelle page de paiement est réelle ; les opérateurs légitimes confirment volontiers. Glissez aussi le QR dans notre scanner avant de taper pour payer, la destination décodée est révélatrice.

En savoir plus : QR de paiement marchand EMVCo →

2. Wi-Fi jumeau malveillant dans les aéroports, hôtels et centres de conférence

À quoi ça ressemble : Une carte imprimée ou un autocollant annonçant un Wi-Fi gratuit : « Airport_Free_WiFi », « Starbucks_Guest_2 », « ConferenceGuest ». Scannez le QR, votre téléphone rejoint le réseau, vous avez internet. Mais le réseau est le point d'accès d'un attaquant qui fonctionne dans la même salle. Il proxifie votre trafic vers le vrai internet pour que rien ne semble anormal, mais il voit les requêtes DNS, les noms d'hôte SNI, tout le trafic HTTP et peut servir de faux portails captifs demandant des identifiants.

Comment le repérer : Vérifiez que le SSID correspond à ce que le lieu affiche officiellement. Les aéroports indiquent le nom de leur Wi-Fi invité sur leur site officiel ; les hôtels le communiquent à la réception. Les noms similaires (caractères supplémentaires, lettres inversées, « Free » ajouté) sont la signature de l'attaque. Notre scanner signale les SSID ressemblants par rapport à une liste de noms de marques à fort risque d'imitation. En cas de doute, utilisez simplement les données mobiles.

En savoir plus : QR Wi-Fi de connexion →

3. Phishing par QR passkey

À quoi ça ressemble : Vous vous connectez à un site sur un ordinateur de bureau. Le site affiche un QR pour associer la passkey de votre téléphone. Un attaquant qui vous a attiré sur le mauvais site vous montre son QR, associant votre passkey à SA session active sur le vrai site. Il est maintenant connecté à votre compte. Le transport hybride CTAP 2.2 (le standard derrière les QR passkey) est cryptographiquement solide ; l'attaque est purement humaine : vous amener à scanner un QR depuis un écran qui n'est pas vraiment le site que vous croyez.

Comment le repérer : Avant de scanner un QR passkey, vérifiez l'URL de la page dans la barre d'adresse de votre navigateur. Les sites de phishing utilisent souvent un typosquat (trait d'union supplémentaire, lettres inversées, .co au lieu de .com). Le QR passkey lui-même est correct ; la question est de savoir si la page qui l'affiche est réelle. Aussi : les QR passkey sont de courte durée (généralement moins d'une minute), un QR affiché sur une page d'aide statique pendant des heures est suspect.

En savoir plus : QR FIDO2 passkey →

4. Vol d'export d'authentificateur

À quoi ça ressemble : Quelqu'un emprunte votre téléphone déverrouillé pour « une photo rapide ». Il ouvre Google Authenticator, appuie sur Transférer des comptes → Exporter, génère un QR et le photographie avec son téléphone. Il vous rend le vôtre. Ce QR contient toutes les seeds d'authentificateur (Google, AWS, GitHub, votre banque, votre exchange crypto) encodées en base64 dans un protobuf. Il peut maintenant générer vos codes à 6 chiffres pour chaque compte, indéfiniment, jusqu'à ce que vous réinitialisiez chacun.

Comment le repérer : La défense n'est pas de repérer le QR, c'est de ne jamais le laisser générer. Ne confiez pas un téléphone déverrouillé. Si vous devez partager quelque chose, faites-le vous-même. Aussi : la plupart des applications d'authentification exigent maintenant un déverrouillage biométrique lors de l'exportation, mais celle de Google ne l'imposait pas avant fin 2023 et les anciens téléphones peuvent toujours l'ignorer. Si vous suspectez que c'est arrivé, traitez-le comme une violation totale, réinitialisez la 2FA sur chaque compte dans l'authentificateur.

En savoir plus : QR otpauth-migration →

5. Publication de photos de carte d'embarquement

À quoi ça ressemble : Un voyageur publie une photo de sa carte d'embarquement sur Instagram ou LinkedIn, « direction Tokyo ! » Le code-barres PDF417 (ou QR) sur la carte encode la référence de réservation (PNR) et le numéro de billet en clair. Un attaquant qui capture la photo décode le code-barres, recherche la réservation sur le site de la compagnie aérienne (PNR + nom de famille suffit généralement), et peut annuler le voyage, changer le siège, consulter l'itinéraire complet ou déclencher des flux de remboursement.

Comment le repérer : Ne publiez pas de photos de cartes d'embarquement. Si vous le devez, floutez ou recadrez le code-barres ET la référence de réservation (généralement imprimée quelque part sous la forme d'un code alphanumérique de 6 caractères). Le QR / code-barres est une cible d'attaque parfaite car il est lisible par machine depuis n'importe quelle capture d'écran.

En savoir plus : QR de carte d'embarquement IATA BCBP →

6. Collecte de données via code-barres de permis de conduire

À quoi ça ressemble : Un bar, un club, une boutique de vape, un dispensaire ou un commerce à accès réservé scanne le code-barres PDF417 au dos de votre permis de conduire pour « vérifier votre âge ». Ce code-barres encode TOUS les attributs du permis en clair : nom, adresse, date de naissance, numéro de permis, taille, poids, couleur des yeux. Certains opérateurs conservent ces données, les vendent à des agrégateurs marketing ou se les font voler lors de violations. Un vrai videur a besoin de savoir une seule chose : êtes-vous majeur. Il n'a pas besoin de votre adresse.

Comment le repérer : Demandez ce qui est scanné et pourquoi. Certains lieux ont seulement besoin de confirmer l'âge ; d'autres (grandes discothèques dans certaines juridictions) sont légalement tenus de conserver les données. Refusez si le lieu est petit et informel. Si vous avez un permis de conduire mobile, utilisez-le, les mDL supportent la divulgation sélective (le bar peut demander juste « majeur ? oui/non » sans voir votre date de naissance).

En savoir plus : PDF417 permis de conduire AAMVA →

7. QR draineurs de crypto lors d'événements NFT et d'art physique

À quoi ça ressemble : Un QR lors d'un meetup NFT, d'un vernissage, d'un stand de conférence ou imprimé dans une œuvre d'art physique prétend vous offrir un NFT gratuit ou réclamer un airdrop. Scannez-le, le QR ouvre une session WalletConnect ou un lien profond vers votre application de portefeuille, et on vous demande de signer une transaction. La transaction approuve un contrat malveillant pour vider tous les tokens de votre portefeuille. Les kits draineurs sont des logiciels courants ; le QR n'est que le vecteur de livraison.

Comment le repérer : Lisez l'invite de transaction dans votre portefeuille avant de signer. Si elle demande des approbations de tokens (surtout setApprovalForAll ou un approve illimité) pour un contrat que vous ne reconnaissez pas, refusez. Les QR de réclamation de NFT gratuit sur des stands aléatoires ne valent pas le risque. Utilisez un portefeuille « chaud » séparé avec un solde minimal pour toutes les interactions en personne ; gardez vos vrais actifs dans un portefeuille que vous ne connectez jamais à des sessions QR.

8. Autocollant sur un QR de donation / association caritative

À quoi ça ressemble : Un flyer pour une vraie association est affiché dans un espace public. Un attaquant couvre le QR de donation avec son propre autocollant pointant vers un portefeuille qu'il contrôle, ou une fausse page de don. Les dons vont à l'attaquant. C'est le plus courant autour des catastrophes naturelles et des grands événements d'actualité, quand l'association légitime fait une communication intense et que l'attaquant en profite.

Comment le repérer : Comme pour le #1, le QR est-il un autocollant sur la version imprimée ou fait partie de l'impression d'origine ? Aussi, faites vos dons en tapant vous-même l'URL de l'association dans votre navigateur ou via l'application officielle de l'association. Les QR codes sont pratiques mais ne constituent pas une chaîne de confiance.

9. QR de passeport produit contrefait

À quoi ça ressemble : Un QR sur un textile, une batterie, un appareil électronique ou un meuble prétend être le Passeport numérique de produit UE (exigence ESPR, déploiement progressif 2027-2030). Scannez-le et une page web soignée vous présente la provenance du produit, le contenu recyclé, les revendications de durabilité. Rien n'est réel, le fabricant de la contrefaçon a juste payé pour une page d'accueil générique au style DPP. Avec le déploiement du DPP, attendez-vous à une multiplication : les régulateurs construisent encore le registre UE qui ancre l'authenticité.

Comment le repérer : Vérifiez si le champ émetteur du DPP correspond à un opérateur économique UE enregistré. La Commission européenne n'a pas encore publié le registre consolidé à mi-2026 ; en attendant, traitez les revendications DPP comme indicatives plutôt que vérifiées. Notre scanner extrait le champ émetteur et l'URL du serveur DPP pour que vous puissiez effectuer cette recherche.

En savoir plus : Passeport numérique de produit UE →

10. Vérificateur mDL hostile demandant trop d'informations

À quoi ça ressemble : Vous présentez votre permis de conduire mobile (mDL) dans un bar ou un commerce. Leur application de vérification demande le nom complet, la date de naissance complète, le numéro de permis, l'adresse ET la photo alors que la transaction ne nécessite qu'une vérification d'âge. Vous approuvez par habitude. Une petite entreprise possède maintenant votre identité complète, conservée on-ne-sait-combien de temps, vendue on-ne-sait-à-qui. La norme exige que le portefeuille vous affiche la liste des demandes, mais ne vous empêche pas d'approuver des divulgations globales.

Comment le repérer : Lisez l'invite de demande. Si le vérificateur veut plus que ce que la transaction nécessite (un bar demandant votre adresse, un caissier demandant votre numéro de permis), refusez et demandez la version minimale (age_over_21 uniquement). S'il refuse, vous avez une décision de politique à prendre : fournir plus que nécessaire ou partir. La norme est de votre côté ; l'écosystème côté vérificateur n'est pas encore réglementé.

En savoir plus : permis de conduire mobile (ISO 18013-5) →

Que faire si vous avez déjà scanné quelque chose de malveillant

Site de paiement : Si vous avez saisi les détails de votre carte, contactez votre banque maintenant pour signaler la transaction et émettre une nouvelle carte. N'attendez pas que la transaction soit débitée.
Wi-Fi : Oubliez le réseau sur votre téléphone. Vérifiez rapidement les applications récemment utilisées pour détecter des demandes de saisie d'identifiants. Changez les mots de passe de tout ce que vous avez utilisé pendant la connexion, en particulier tout ce qui est passé par HTTP.
Passkey : Connectez-vous au compte concerné, accédez aux paramètres de sécurité, listez les passkeys actives, supprimez tout ce que vous ne reconnaissez pas. Réinitialisez aussi votre mot de passe si le site le permet.
Export d'authentificateur : Traitez cela comme une violation totale. Réinitialisez la 2FA sur chaque compte présent dans l'authentificateur. Commencez par les plus importants (banque, e-mail, exchange crypto, GitHub, AWS).
Carte d'embarquement publiée : Contactez la compagnie aérienne, modifiez la référence de réservation si possible, configurez une alerte de statut de vol pour être informé de toute modification de la réservation.
Draineur crypto signé : Transférez immédiatement les actifs restants vers un nouveau portefeuille. Révoquez les approbations de contrats sur chaque chaîne utilisée (revoke.cash et outils similaires couvrent la plupart des chaînes). Les tokens drainés sont généralement irrécupérables.

Vérifiez avant de scanner

Déposez n'importe quel QR (image, collage ou caméra) dans notre scanner. Vous verrez le payload décodé, la chaîne de redirection s'il s'agit d'une URL, qui peut changer la destination à l'avenir, et les signaux de réputation. La décision vous appartient ; l'information est à l'écran avant que vous n'agissiez.

Ouvrir le scanner →