QR Codes : Comment éviter l’arnaque lors du scan.

66 % des Français ont scanné un QR code durant les 3 derniers mois et 15 % ont atterri sur un site suspect ou dangereux, selon Vonny Gamot, vice-présidente Europe ventes et du global partner marketing chez McAfee. De plus, 39 % des Français ne prendraient pas la moindre précaution au moment de scanner un QR code, d’après McAfee.

EMBARGO MERCREDI 23 9h00

Que cache le QR code que vous vous apprêtez à scanner avec votre smartphone ? Le menu d’un restaurant où vous êtes installé, le site Internet d’une marque que vous appréciez, ou la possibilité de régler un achat ? Oui, probablement. Mais cela ne s’arrête pas là. Grâce à la technique du quishing, des cybercriminels ont trouvé comment vous escroquer à travers ces QR codes qui sont devenus omniprésents. Toutefois, une bonne nouvelle se présente : il existe maintenant une solution pour éviter d’y perdre de l’argent. L’éditeur de logiciels de sécurité McAfee annonce aujourd’hui le lancement mondial du QR code spam checker, un outil destiné à lutter contre les arnaques. Est-ce une solution miracle ?

La technique du « quishing » pour nous escroquer

D’abord créés en 1994, les QR codes (pour Quick Response Codes) se sont largement répandus durant la pandémie de Covid. Leur utilité est indéniable : il suffit de les scanner avec l’appareil photo d’un smartphone pour engager une action automatique, comme accéder à un site Web, consulter le menu d’un restaurant ou remplir un formulaire d’inscription. C’est simple, rapide et efficace. Néanmoins, avec la prolifération des QR codes, les cybercriminels ont compris comment exploiter ce système à leur avantage. C’est ce qu’on appelle le quishing.

15 % des Français exposés à un danger

Le principe est simple : un QR code trompeur est apposé sur un véritable QR code, ou bien un code a été modifié par un des petits carrés noirs ou blancs. En le scannant, l’utilisateur est redirigé vers un lien URL incorrect qui sert à collecter des informations. « Selon nos études*, 66 % des Français ont scanné un QR code au cours des trois derniers mois, et 15 % ont été dirigés vers un site suspect ou dangereux », déclare à 20 Minutes Vonny Gamot, vice-présidente Europe ventes et du global partner marketing chez McAfee. Les jeunes, particulièrement connectés, semblent être les plus touchés par le quishing : « 26 % des 18-24 ans scannent des QR codes quotidiennement, contre 1 % des 65-74 ans », précise Vonny Gamot. Cela soulève des inquiétudes.

Avec le QR code spam checker, McAfee ajoute une nouvelle fonctionnalité à ses solutions de protection McAfee + et McAfee Total Protection, sans frais supplémentaires.

Une vérification instantanée

Proposés à partir de 44,95 euros la première année, ces logiciels vont désormais agir comme un filtre lors du scan d’un QR code. Alors qu’auparavant il fallait (comme avec la plateforme cybersecurite.orange.fr) recopier l’URL obtenue pour vérifier sa fiabilité, McAfee effectue cette vérification immédiatement. « Nous vérifions ainsi en temps réel que l’URL ne dirige pas vers un site frauduleux. L’utilisateur est informé immédiatement de la fiabilité de l’adresse », explique Vonny Gamot de McAfee. À noter que « les faux QR codes ont pour but de monétiser les informations collectées. Si une personne se fait piéger, l’escroquerie se produira souvent a posteriori, dans le cadre d’une attaque massive qui pourrait lui revenir comme un boomerang ».

Autre point positif : pour un accès immédiat, le widget du QR code spam checker peut être intégré directement au panneau Mission Control des iPhones (et son équivalent sous Android). Cela devrait rassurer, mais aussi sensibiliser. En effet, selon McAfee, 39 % des Français ne prendraient aucune précaution en scannant un QR code. Cette ignorance avait également été mise en lumière par le gouvernement en septembre 2025 lors de l’événement Cybermois 2025. Une étude Ipsos** avait révélé à ce moment-là que seuls 6 % des Français savaient expliquer ce qu’était le quishing…

Notre dossier «Cybercriminalité»

Cependant, d’autres menaces pèsent sur les utilisateurs de smartphones. Grâce à l’intelligence artificielle, des cybercriminels lancent des appels téléphoniques dans le but exclusif de scanner la voix de la personne qui décroche. Un simple échantillonnage peut permettre de créer un clone vocal utilisé pour de nouvelles arnaques… « Comme lorsque vous recevez un appel d’un enfant -ou prétendument tel- vous disant qu’il a eu un accident », souligne la vice-présidente Europe ventes et du global partner marketing chez McAfee. Bien que l’éditeur puisse détecter ces deepfakes vocaux, cela n’est actuellement possible qu’en anglais et en espagnol. En attendant de pouvoir détecter ces arnaques en français, Vonny Gamot conseille : « Lorsque vous décrochez un appel téléphonique, attendez quatre secondes avant de parler ». Quatre secondes, c’est le temps nécessaire à l’IA pour scanner votre voix avant de la reproduire presque à l’identique…

*Étude réalisée en ligne par McAfee en novembre 2025 auprès de 7.592 adultes âgés de 18 ans et plus, répartis dans sept pays, dont la France, sur les arnaques et leur impact sur les consommateurs.

**Étude Ipsos. Digital réalisée pour Cybermalveillance.gouv.fr du 16 au 26 mai 2025 sur un échantillon de 2.000 Français de 18 à 75 ans.