What is a merchant payment QR?

The QR on a restaurant table, market stall, parking meter, or invoice that you scan to pay. Globally, almost every one of these uses EMVCo's MPM (Merchant-Presented Mode) or CPM (Consumer-Presented Mode) format, a Tag-Length-Value text payload that carries the merchant name, city, country, currency, amount, recipient account, and a 4-character CRC checksum.

What is the sticker-swap attack?

The highest-volume QR fraud globally. An attacker covers a legitimate merchant's QR (on a parking meter, a restaurant table, a market stall, a charity collection box) with a sticker carrying their own QR. Every customer who scans the sticker pays the attacker. The display in the customer's wallet usually says the merchant name encoded in the swapped QR, which the attacker controls, so the user has no easy way to tell it's not the real merchant.

How does the CRC checksum help?

EMVCo MPM payloads carry a CRC-16/CCITT-FALSE checksum in the last 4 characters (tag 63). When the QR is altered, the checksum no longer matches. Our scanner validates the CRC and flags the verdict as suspicious when it fails, a strong indicator that the QR was tampered with or printed incorrectly. Note that an attacker can recompute the CRC after substituting their own merchant info, so a valid CRC doesn't prove authenticity; an invalid one definitely proves tampering or corruption.

What's the safest way to pay a merchant QR?

Verify the merchant name and city our scanner extracts MATCH the storefront you're physically standing in. Use a payment app that shows the recipient's name BEFORE confirming the transfer. Look at the QR's physical integrity, is the sticker peeling, freshly applied, on top of another sticker? If anything is off, pay another way (card, cash, or the merchant's app directly).

Standards · EMVCo merchant payment QR

Ce QR de paiement commerçant est-il sûr à régler ?

Le QR sur une table de restaurant, un horodateur ou un étal de marché fonctionne presque toujours avec le format TLV d’EMVCo. Il contient le nom du commerçant, la ville, le pays, la devise, un montant facultatif et une somme de contrôle CRC-16 qui échoue si la charge utile a été modifiée. L’attaque par substitution d’autocollant, qui consiste à recouvrir le QR d’un vrai commerçant par celui de l’attaquant, est la fraude au QR la plus répandue dans le monde. Décoder le QR avant de payer vous montre qui vous payez réellement.

Scanner un QR commerçant → Toutes les normes →

Quel est le format

La norme est la EMVCo QR Code Specification, publiée par le même consortium EMVCo qui a défini les cartes à puce avec code PIN. Deux variantes partagent l’essentiel du format :

MPM (Merchant-Presented Mode) : le commerçant affiche le QR, vous le scannez et payez. C’est ce que vous voyez dans les restaurants, sur les étals de marché et aux horodateurs.
CPM (Consumer-Presented Mode) : votre portefeuille affiche le QR, le commerçant le scanne. Moins courant ; utilisé à certaines caisses avec personnel et aux portiques tarifaires des transports.

Presque tous les systèmes de paiement instantané nationaux reposent sur EMVCo MPM, avec quelques balises propres à chaque pays ajoutées par-dessus :

Pix (Brésil), le plus important au monde en volume de transactions
UPI (Inde), le plus important au monde par nombre d’utilisateurs
PromptPay (Thaïlande) · PayNow (Singapour) · DuitNow (Malaisie) · QRIS (Indonésie)
Bizum (Espagne) · Swish (Suède) · BLIK (Pologne) · MB WAY (Portugal)
Wero (multi-pays UE) et plusieurs dizaines d’autres, l’équivalent de 54 pays dans le catalogue de notre analyseur

Le format est du texte Tag-Length-Value, sans chiffrement, décodable par n’importe quel scanner de QR. L’identité du commerçant est encodée en clair et c’est ce qu’affiche votre application de portefeuille.

Anatomie d’un QR de paiement commerçant

Toute charge utile EMVCo commence par 000201 (Payload Format Indicator). Ce qui suit est une séquence d’enregistrements TLV : balise de deux caractères, longueur sur deux chiffres, valeur de cette longueur, le tout répété.

Balise 01, Point of Initiation

11 = QR statique (réutilisable, vous saisissez vous-même le montant).
12 = QR dynamique (à usage unique, montant pré-rempli par le terminal du commerçant).

Balises 26-51, Merchant Account Info

Identifiant du bénéficiaire propre au pays. Clé Pix (CPF / CNPJ / e-mail / téléphone / UUID EVP), Virtual Payment Address UPI, téléphone ou pièce d’identité nationale PromptPay, etc.

Balise 52, Merchant Category Code (MCC)

Catégorie à 4 chiffres ISO 18245. 5812 = restaurant, 5411 = épicerie, 7011 = hébergement, 5541 = station-service, etc.

Balise 53, Devise

Code numérique ISO 4217. 840 = USD, 978 = EUR, 826 = GBP, 986 = BRL (real brésilien), 356 = INR (roupie indienne).

Balise 54, Montant

Facultatif. Présent dans les QR dynamiques (le commerçant l’a pré-rempli), absent des QR statiques (vous le saisissez vous-même).

Balises 55-57, Pourboire / Frais de service

Facultatif. 55 indique si une invite de pourboire doit apparaître ; 56 / 57 portent des frais de service à montant fixe ou en pourcentage.

Balise 58, Pays

Code pays ISO 3166-1 alpha-2. Utile lorsque les applications de paiement prennent en charge les virements transfrontaliers.

Balise 59, Nom du commerçant

Jusqu’à 25 caractères. C’est le champ que votre application de portefeuille affiche sous la forme « vous payez ___ ». Le commerçant contrôle entièrement ce qui y figure. Un attaquant qui crée une substitution d’autocollant y inscrit la chaîne de son choix.

Balise 60, Ville du commerçant

Jusqu’à 15 caractères. Là où le commerçant est situé.

Balise 61, Code postal

Facultatif mais utile pour la détection de fraude : un commerçant américain dont le code postal ne correspond pas à la ville est un signal d’alerte.

Balise 62, Champ de données additionnelles

Sous-TLV. À l’intérieur : numéro de facture, numéro de mobile, libellé du magasin, numéro de fidélité, libellé de référence, libellé client, libellé du terminal, objet de la transaction.

Balise 63, Somme de contrôle CRC

CRC-16/CCITT-FALSE sur tout ce qui précède (y compris l’en-tête « 6304 » du TLV de CRC lui-même). Si cela ne correspond pas, le QR a été modifié ou corrompu.

L’attaque par substitution d’autocollant, fraude au QR n°1 dans le monde

La technique est d’une simplicité déprimante :

L’attaquant imprime un QR pointant vers son propre compte de paiement.
Il met le QR imprimé sur un autocollant (ou l’imprime directement sur du papier adhésif).
Il parcourt un marché, un quartier de restaurants ou une zone d’horodateurs, et colle le QR de substitution par-dessus le QR légitime du commerçant.
Chaque client qui scanne paie l’attaquant.

Le commerçant ne s’en aperçoit qu’au moment du rapprochement de la journée, lorsque la caisse manque de recettes. Le client ne remarque rien parce que son portefeuille indique « vous avez payé », et l’attaquant peut inscrire le vrai nom du commerçant dans la balise 59. Ou quelque chose d’approchant (« Joe’s Pizz4 », « Joe’s Pizzeria 2 »), de légères variations qu’un client pressé ne repère pas.

Cette fraude a été documentée dans tous les pays où les paiements mobiles sont répandus : Brésil (substitution d’autocollant Pix aux horodateurs), Inde (substitution UPI aux stations-service), Chine (substitution WeChat Pay sur les vitrines), Singapour (PayNow dans les centres de restauration), Royaume-Uni (substitution de QR de boîtes à dons), États-Unis (horodateurs à Austin, San Francisco, LA).

Comment vérifier un QR de paiement avant de payer

Ce que notre scanner vous montre :

Nom du commerçant + ville + pays : cela correspond-il à la boutique devant laquelle vous vous trouvez physiquement ? Lisez attentivement, la fraude par substitution d’autocollant utilise souvent des quasi-correspondances.
Devise + montant : le montant du QR correspond-il à l’addition ?
Statique ou dynamique : s’il est statique, votre portefeuille vous demandera de saisir le montant. S’il est dynamique, le montant est verrouillé.
Catégorie MCC : le code de catégorie du commerçant est-il cohérent avec ce qu’il vend ? Un QR de restaurant avec le MCC 7995 (jeux d’argent) est suspect.
Système national : Pix, UPI, PromptPay, etc. reconnu à partir de la balise de pays.
Résultat de la validation CRC : si elle est invalide, le QR a été modifié ou corrompu. Ne payez pas.
Informations sur le compte bénéficiaire : la clé Pix, le VPA UPI, l’ID PromptPay, etc. vers lequel l’argent sera acheminé. Si vous avez déjà payé ce commerçant, cela correspond-il ?

Indices physiques à inspecter avant de scanner :

Autocollant qui se décolle aux coins ? Récent et peut-être ajouté par un attaquant.
Autocollant posé PAR-DESSUS un autre autocollant ? Substitution possible.
QR imprimé sur du papier bon marché et scotché par-dessus le QR imprimé à l’effigie du commerçant ? Presque certainement une fraude.
QR placé à un endroit que le commerçant ne vérifie peut-être pas souvent (au dos d’un horodateur, derrière un comptoir) ? Risque de substitution plus élevé.

Systèmes nationaux que nous identifions

Notre analyseur reconnaît la balise de pays et étiquette le verdict avec le nom du système local lorsqu’il s’applique. Il couvre actuellement 54 pays, y compris tous les principaux systèmes de paiement instantané. Consultez le centre des normes pour la liste complète avec les détails par système.

À voir aussi

Vérifiez avant de payer

Déposez le QR dans notre scanner. Le verdict indique le commerçant, la ville, le pays, le montant, la devise et si la somme de contrôle CRC est valide. Cela prend quelques secondes. Cela pourrait vous épargner le prix d’un dîner, ou le budget de stationnement d’un mois entier.

Ouvrir le scanner →