Pourquoi vous ne devez jamais scanner un QR Code sur un horodateur ou une borne de recharge

Le paiement sans contact devait nous simplifier la vie. En réalité, il attire une nouvelle génération de malfaiteurs spécialisés dans les arnaques de rue. Depuis l'explosion des usages post-Covid, le "quishing" est reconnu par les autorités de cybersécurité comme une variante physique du redoutable hameçonnage.

Face à plus de 1,2 million de signalements pour hameçonnage sur Cybermalveillance.gouv.fr en 2024, la vigilance est de mise. Quelle est cette méthode qui s'attaque directement à votre portefeuille sur l'espace public ?

Comprendre le quishing : quand payer son stationnement devient un piège

Le quishing (contraction de QR Code et Phishing) s'installe désormais massivement sur la voie publique. Des automobilistes, pensant honnêtement payer leur place de parking ou leur session de recharge, se retrouvent redirigés vers des sites miroirs après avoir scanné un simple petit carré noir.

Des alertes se multiplient dans les grandes villes françaises, notamment à Nice, Marseille (en avril 2025) ou encore Monaco. Pratique pour les escrocs à l'approche des grandes vacances... Comme le définit Roole Média, "le quishing [...] désigne une escroquerie qui utilise les codes QR pour piéger les utilisateurs".

Le préjudice financier s'avère immédiat et souvent douloureux. Les victimes saisissent leurs données bancaires sur une interface imitant parfaitement les services officiels. Une victime étrangère a ainsi perdu jusqu'à 1 000 euros après cette manipulation trompeuse, rapporte Notre Temps.

Décrypter l'arnaque : un piratage visuel aux lourdes conséquences

Le quishing repose sur un support physique extrêmement basique. Les malfaiteurs collent de faux autocollants par-dessus les codes authentiques ou sur les façades métalliques des horodateurs. Ce camouflage passe totalement inaperçu pour un œil non averti, se fondant dans l'habillage de la machine.

L'escroquerie fonctionne à plein régime car elle cible des usagers pressés. "Ce genre de fraude joue sur deux leviers : la confiance dans l'outil et l'urgence de la situation", souligne Roole Média.

Le véritable problème survient après le vol des coordonnées. En cas de fraude, les établissements bancaires se montrent très réticents à rembourser les sommes disparues. "Les banques considèrent que la transaction a été réalisée par le client lui-même via son smartphone", précise Valeurs Actuelles.

Bon à savoir : la menace évolue et s'attaque aussi à vos pare-brise. De faux avis de contravention fleurissent sur les véhicules en stationnement. Retenez bien que l'ANTAI ne place jamais de QR code sur ses avis déposés sur les essuie-glaces.

Éviter la fraude : les 3 réflexes pour sécuriser vos paiements

Suivez le guide pour ne pas tomber dans le panneau lors de votre prochain stationnement en ville :

• l'inspection physique ou test du doigt : avant de scanner, touchez la surface. Si vous sentez une surépaisseur ou un bord qui rebique, fuyez, c'est un autocollant suspect. Les dispositifs officiels sont souvent intégrés à l'écran numérique ou protégés sous une vitre inviolable.
• le recours aux applications officielles : n'utilisez plus l'appareil photo natif de votre smartphone. Ouvrez directement vos applications de paiement habituelles (PayByPhone, Flowbird, EasyPark). "Nous vous recommandons d'utiliser exclusivement les applications pour vos paiements mobiles", conseille Parking.brussels (05/09/2025).
• la vérification de l'adresse web : Si vous devez absolument scanner une borne, contrôlez l'URL qui s'affiche en haut de votre navigateur. Elle doit correspondre à la virgule près au site de la mairie ou du prestataire officiel.

En cas de doute, la solution la plus sûre reste le retour aux fondamentaux : insérez votre carte bancaire directement dans la machine ou glissez-y vos pièces de monnaie. Si vous repérez une tentative de fraude, signalez-la immédiatement sur la plateforme Cybermalveillance.gouv.fr pour protéger les autres usagers.