Code QR frauduleux : la nouvelle arnaque qui se répand en Suisse
Une nouvelle arnaque discrète mais dangereuse
Vous les scannez partout : sur les menus de restaurant, les flyers publicitaires, les tickets de caisse ou les panneaux d'information. Les codes QR sont devenus un réflexe du quotidien. Les escrocs l'ont compris, et ils exploitent cette habitude pour vous piéger avec ce qu'on appelle le **quishing** — une contraction de "QR" et "phishing".
En Suisse, le Centre national de cybersécurité (OFCS) signale une augmentation significative de ces arnaques depuis 2023, notamment dans les parkings, les gares et même dans des courriers postaux imitant l'administration fédérale ou les CFF.
Comment fonctionne le quishing ?
Le faux code sur un parcmètre ou un parking
Des escrocs collent de faux codes QR sur des parcmètres ou des bornes de paiement. Quand vous scannez le code pour payer votre parking, vous êtes redirigé vers un faux site de paiement qui copie votre numéro de carte bancaire.
Le flyer dans la boîte aux lettres
Vous recevez un flyer qui semble provenir d'une société officielle (CFF, La Poste, une banque, Swisscom) avec un code QR à scanner pour "récupérer un colis", "valider votre abonnement" ou "obtenir un remboursement". Le code mène vers un site frauduleux.
Le faux code dans un email
Les filtres anti-phishing bloquent de plus en plus les liens frauduleux dans les emails. Les escrocs contournent ce problème en remplaçant les liens par des codes QR dans leurs emails. Vous scannez avec votre téléphone, qui n'a souvent pas de protection aussi forte.
Le code collé par-dessus l'original
Dans des lieux publics (restaurants, musées, offices de tourisme), des escrocs collent de faux codes QR par-dessus les vrais. L'original mène au menu ou au site officiel ; le faux mène à un site frauduleux.
Les signes qui doivent vous alerter
- Le code QR est sur un autocollant qui semble avoir été ajouté par-dessus
- L'URL qui s'affiche après le scan ne correspond pas au site attendu
- On vous demande d'entrer vos coordonnées bancaires ou votre mot de passe
- Le site ouvert ne semble pas professionnel ou contient des fautes
- Le code vient d'un email ou d'un SMS non sollicité
Les bons réflexes avant de scanner
- Regardez si le code est original** ou s'il semble avoir été collé par-dessus un autre
- Lisez l'URL avant d'ouvrir** — votre téléphone affiche l'adresse avant d'ouvrir le lien, vérifiez qu'elle correspond bien au site attendu
- En cas de doute, ne scannez pas** — tapez directement l'adresse du site dans votre navigateur
- N'entrez jamais vos données bancaires** sur un site auquel vous avez accédé via un code QR reçu de façon inattendue
Que faire si vous avez été piégé(e) ?
Si vous avez entré vos données bancaires :
- Appelez immédiatement votre banque pour bloquer votre carte
- Changez votre mot de passe e-banking depuis un appareil sûr
- Vérifiez vos transactions récentes
- Portez plainte à la police (117)
- Signalez l'arnaque à l'OFCS : www.ncsc.admin.ch
Pour signaler un faux code QR dans l'espace public :
- Photographiez-le sans le scanner
- Prévenez l'établissement ou la société concernée
- Signalez-le à la police ou à l'OFCS
Numéros et ressources utiles en Suisse
- Police** : 117
- Centre national de cybersécurité (OFCS)** : www.ncsc.admin.ch — 058 465 53 56
- Votre banque** : numéro au dos de votre carte
- CFF (signalement fraude)** : 0900 300 300
- La Poste (signalement)** : signalement@post.ch
**À retenir :** Un code QR est simplement un lien déguisé. Appliquez les mêmes règles qu'avec un lien internet : vérifiez toujours où il mène avant d'entrer la moindre information personnelle ou bancaire.