Des fraudeurs utilisent de faux codes QR apposés sur des parcmètres et des avis de passage de la poste pour dérober des données bancaires, selon les autorités de police et les services postaux consultés ce mardi 23 juin 2026. Cette technique de « quishing » cible les utilisateurs pressés en les redirigeant vers des sites de paiement contrefaits.
Le fonctionnement du quishing sur la voie publique
Le « quishing », contraction de « QR code » et « phishing », consiste à remplacer ou recouvrir les codes QR officiels par des étiquettes frauduleuses. Lorsqu’un utilisateur scanne ces codes, pensant régler une amende de stationnement ou organiser la livraison d’un colis, il est dirigé vers une interface web imitant parfaitement les portails officiels des administrations ou des opérateurs postaux.
Selon les rapports des forces de l’ordre, ces sites factices demandent aux victimes de saisir leurs coordonnées bancaires pour régler un montant symbolique ou des frais de réexpédition. Une fois les données transmises, les fraudeurs utilisent ces informations pour effectuer des transactions non autorisées. La menace est particulièrement active en zone urbaine, où les parcmètres sont fréquemment utilisés par des automobilistes cherchant à payer rapidement via leur smartphone.
L’efficacité de cette méthode repose sur la confiance aveugle que les utilisateurs accordent à la technologie QR, devenue omniprésente depuis la crise sanitaire. Contrairement à un lien hypertexte reçu par courriel, qui peut être analysé par des passerelles de sécurité, le code QR agit comme une passerelle physique directe vers le navigateur de l’appareil mobile. Une fois le scan effectué, l’utilisateur est immédiatement redirigé, sans avoir le temps d’analyser l’URL réelle affichée dans la barre d’adresse, souvent masquée par l’interface mobile.
La vulnérabilité des avis de passage de la poste
Les services postaux ont émis des alertes concernant des courriers frauduleux déposés dans les boîtes aux lettres. Ces avis de passage, qui semblent authentiques, contiennent un code QR invitant le destinataire à reprogrammer une livraison en ligne.
« Les fraudeurs exploitent la confiance que les citoyens accordent aux communications officielles pour contourner les mécanismes de sécurité habituels », précise un porte-parole des services de sécurité informatique. Le risque est accru par la capacité des attaquants à reproduire les logos et le ton des messages officiels, rendant la détection visuelle difficile pour un utilisateur non averti.
Ces campagnes utilisent souvent le sentiment d’urgence comme levier psychologique. En suggérant qu’un colis est en attente ou qu’une amende doit être réglée sous peine de majoration, les fraudeurs poussent la victime à agir sans vérifier la légitimité du support physique. Cette technique, bien que rudimentaire dans sa mise en œuvre, tire parti du fait que les avis de passage papier sont des documents familiers, rarement scrutés pour des anomalies d’impression ou des éléments graphiques incohérents.
Mesures de protection et recommandations des autorités
Les autorités recommandent aux usagers de ne jamais scanner un code QR situé sur une étiquette autocollante apposée manuellement sur un parcmètre ou un équipement public. En cas de doute sur un avis de passage, il est conseillé de se rendre directement sur le site officiel de l’opérateur en saisissant l’adresse URL manuellement dans le navigateur, plutôt que de suivre le lien généré par le code QR.
Les experts en cybersécurité rappellent également que les administrations ne demandent jamais de coordonnées bancaires via un lien envoyé par SMS ou présent sur une étiquette collée à la hâte. En cas de suspicion de fraude, les victimes sont invitées à contacter immédiatement leur banque pour faire opposition sur leur carte et à signaler le site frauduleux sur les plateformes nationales dédiées à la cybermalveillance.
Il est également conseillé de vérifier physiquement l’état de l’étiquette QR. Sur les parcmètres officiels, ces codes sont généralement intégrés à l’habillage de la machine ou protégés par une vitre. Une étiquette légèrement décollée, un code QR qui semble avoir été ajouté par-dessus une surface existante, ou la présence de résidus de colle sont des signes avant-coureurs d’une manipulation frauduleuse.
Une menace en constante évolution
La recrudescence de ces pratiques soulève des questions sur la sécurité des interfaces numériques dans l’espace public. Contrairement aux campagnes de phishing par courriel, qui peuvent être filtrées par des logiciels antispam, le quishing repose sur une manipulation physique difficile à prévenir pour les gestionnaires d’infrastructures. Cette intrusion dans le domaine public oblige désormais les municipalités et les entreprises de logistique à renforcer la surveillance de leurs équipements.
La vigilance reste le principal rempart contre ces attaques. Les autorités judiciaires continuent de mener des enquêtes pour identifier les réseaux responsables de ces campagnes, bien que la nature décentralisée du quishing rende les arrestations complexes. Les usagers sont encouragés à signaler toute étiquette suspecte aux autorités locales afin de limiter la propagation de ces codes malveillants.
À mesure que les technologies de paiement sans contact se généralisent, la surface d’attaque pour les cybercriminels ne cesse de s’étendre. Le passage du phishing traditionnel vers le quishing marque une étape supplémentaire dans la sophistication des méthodes d’ingénierie sociale, où le monde physique devient le vecteur principal d’une escroquerie numérique. L’éducation des usagers aux bonnes pratiques numériques, incluant la vérification systématique de l’origine des liens, demeure l’enjeu majeur des mois à venir pour limiter l’impact de ces fraudes sur la population.
Find more reporting in our Sciences et technologies section.
