QR Codes : Comment se prémunir de l’arnaque qui vous guette au moment de scanner ?

EMBARGO MERCREDI 23 9h00

Que cache le QR code que vous vous apprêtez à scanner à l’aide de votre smartphone ? Le menu du restaurant où vous avez pris place, le site Internet d’une marque qui vous plaît, la possibilité de régler une transaction ? Oui, certainement. Mais pas que. Avec la technique dite du quishing, les cybercriminels ont trouvé comment vous arnaquer à l’aide de ces QR codes qui ont envahi nos vies. Mais bonne nouvelle, il existe désormais une parade pour éviter d’y laisser des plumes. L’éditeur de logiciels de sécurité McAfee lance aujourd’hui à l’échelle mondiale le QR code scam checker, son remède anti-arnaques. Une solution ultime ?

La technique du « quishing » pour nous arnaquer

Nés en 1994, mais apparus massivement durant les années Covid, les QR codes (pour Quick Response Codes) sont d’une commodité sans équivalent. Il suffit de les scanner à l’aide de l’appareil photo de son smartphone pour déclencher une action automatique : accès à un site Web ou une page spécifique ; lecture d’un menu dans un restaurant ; accès à un formulaire d’inscription. C’est simple, rapide, efficace. Sauf que… il y a désormais des QR code partout et que les cybercriminels ont bien compris tous les bénéfices qu’ils pouvaient tirer d’un tel système. C’est la technique du quishing.

15 % des Français face à un danger

Son principe : un QR code fallacieux, collé sur un vrai QR code, ou un QR code dont l’un des petits carrés noirs ou blancs qui le compose aura été modifié. En les scannant, le quidam est orienté vers un lien URL qui n’est pas le bon et qui sert à collecter des informations. « Selon nos études*, 66 % des Français ont scanné un QR code durant les 3 derniers mois et 15 % ont atterri sur un site suspect ou dangereux », explique à 20 Minutes Vonny Gamot, vice-présidente Europe ventes et du global partner marketing chez McAfee. Et selon elle, les plus jeunes, ultra-connectés, sont les principaux concernés par le quishing : « 26 % des 18-24 ans scannent des QR codes quotidiennement, contre 1 % des 65 - 74 ans », précise Vonny Gamot. De quoi s’inquiéter.

Avec son QR code scam checker, McAfee ajoute donc une nouvelle couche à ses suites de protection McAfee + et McAfee Total Protection, sans frais supplémentaire.

Une vérification instantanée

Vendus à partir de 44,95 euros par an la première année, ces logiciels vont désormais jouer le rôle de filtre lorsque l’on scanne un QR code. Là où avant, il fallait (comme avec la plateforme cybersecurité.orange.fr) recopier l’URL obtenu et le copier/coller dans un champ de recherche pour que le sérieux de l’adresse soit vérifié instantanément, McAfee intervient immédiatement. « Nous vérifions ainsi en temps réel que l’URL ne pointe pas vers un site délictueux. L’utilisateur sait immédiatement à qui il a affaire », indique Vonny Gamot de McAfee. Précision : « Avec les faux QR codes, l’objectif des cybercriminels est de monétiser l’information collectée. Si l’on se fait prendre, la tentative d’arnaque s’effectuera le plus souvent à postériori, dans une attaque massive qui vous reviendra en boomerang ».

Bon point enfin : pour un accès immédiat, le widget de QR code spam checker peut être directement intégré au panneau Mission Control des iPhone (et son équivalent sous Android). De quoi rassurer, certes, mais aussi éduquer. Car selon McAfee, 39 % des Français ne prendraient pas la moindre précaution au moment de scanner un QR code. Une méconnaissance que le gouvernement avait aussi mis en évidence en septembre 2025 à l’occasion du Cybermois 2025. Une étude Ipsos** révélait alors que seulement 6 % des Français savaient expliquer ce qu’était le quishing…

Reste que d’autres menaces guettent actuellement les utilisateurs de smartphones. Grâce à l’intelligence artificielle, les cybercriminels lancent des appels téléphoniques dont le seul but et de scanner la voix de la personne qui décrochera. Un simple échantillonnage qui permet de créer un clone vocal qui pourra être utilisé pour de nouvelles arnaques… « Comme en recevant l’appel de votre enfant -ou supposé tel- vous annonçant qu’il vient d’avoir un accident », décrypte la vice-présidente Europe ventes et du global partner marketing chez McAfee. Si l’éditeur sait décrypter ces deepfakes vocaux, ce n’est pour le moment qu’en anglais et en espagnol. En attendant de pouvoir les détecter en français, Vonny Gamot conseille : « Lorsque vous décrochez un appel téléphonique, attendez quatre secondes avant de parler ». Quatre secondes, c’est le temps qu’il faut à l’IA au bout du fil pour scanner votre voix avant de la reproduire quasi à l’identique…

*Étude réalisée en ligne par McAfee en novembre 2025 auprès de 7.592 adultes âgés de 18 ans et plus, répartis dans sept pays, dont la France, sur les arnaques et leur impact sur les consommateurs.

**Étude Ipsos. Digital réalisée pour Cybermalveillance.gouv.fr du 16 au 26 mai 2025 juillet sur
un échantillon de 2.000 Français de 18 à 75 ans.