Un QR code est-il dangereux par nature ?

Non. Le risque vient surtout du lien ou de la page qu’il ouvre, pas du format QR en lui-même.

Que vérifier en premier avant de scanner ?

Le contexte : support officiel ou autocollant ajouté, cohérence du lieu, et raison claire pour laquelle ce QR code est là.

Que faire si la page ouverte demande un paiement ou des données ?

Stoppez, ne validez rien, puis vérifiez par un autre canal officiel avant de reprendre.

Et si j’ai déjà scanné un faux QR code ?

Agissez vite : banque si paiement, changement de mot de passe si connexion, conservation des preuves et signalement adapté.

QR codes : le réflexe de 5 secondes qui évite pas mal d’ennuis

On scanne presque sans penser : menu au restaurant, paiement sur une borne, ticket, affiche, mail, carton glissé dans une boîte aux lettres. Le QR code a gagné parce qu’il va vite. C’est justement pour ça qu’il mérite une micro-pause avant qu’on lui ouvre la porte.

Le bon point de départ, c’est de ne pas diaboliser l’outil. Les QR codes ont des usages parfaitement légitimes, mais Cybermalveillance.gouv.fr rappelle qu’ils servent aussi de support à du hameçonnage, et le rapport d’activité 2024 de Cybermalveillance montre que le sujet fait désormais partie des menaces suivies de près.

Le bon réflexe commence avant le scan, pas après

Les cinq secondes utiles servent d’abord à regarder le contexte. Sur une borne de recharge, un horodateur, une affiche ou un courrier, demandez-vous si le code fait corps avec le support ou s’il ressemble à un ajout. Le cas des faux autocollants sur des points de paiement revient régulièrement, et Numerama l’illustre très bien sur les bornes de recharge.

Autre repère utile : le QR code ne doit pas vous priver d’informations normales. Dans certains contextes, les autorités rappellent d’ailleurs qu’un professionnel ne peut pas tout faire reposer sur lui seul. C’est le cas des obligations d’affichage en restauration, détaillées par la DGCCRF, ce qui aide aussi à remettre le scan à sa juste place : un accès pratique, pas un blanc-seing.

Borne publique avec QR code vérifié visuellement avant utilisation — Avant le scan, le contexte matériel du code donne souvent déjà un premier signal utile.

Après le scan, regardez l’atterrissage, pas juste l’image

Le deuxième réflexe consiste à lire la page qui s’ouvre comme on lit un mail douteux. L’URL, le domaine, la cohérence du nom affiché, la qualité de la page et la demande formulée comptent plus que le QR en lui-même. La CNIL et Service-Public.fr sur le hameçonnage rappellent le même principe : ce qui semble familier peut très bien être faux.

À partir du moment où la page réclame un paiement pressé, une connexion à un compte, des coordonnées bancaires ou une pièce d’identité, le doute doit gagner tout de suite. Les conseils de la DGCCRF sur l’usurpation d’identité d’institutions et les ressources de la CNIL sur les réflexes cybersécurité convergent : on coupe, on vérifie par un autre canal, et on ne se laisse pas pousser par l’urgence.

Smartphone affichant une page ouverte après scan d’un QR code — Le moment décisif n’est pas le scan lui-même, mais ce que la page demande ensuite.

Si vous avez déjà cliqué, le bon geste n’est pas la honte

Beaucoup de gens pensent qu’une fois le scan fait, tout est joué. Pas forcément. Si vous avez payé, transmis des données ou téléchargé quelque chose, il faut agir vite : contacter la banque, changer le mot de passe concerné, conserver les éléments, puis signaler. Service-Public.fr sur l’escroquerie et la page dédiée aux arnaques sur internet orientent ensuite vers les bons circuits.

La bonne nouvelle, c’est que cette sécurité-là ne demande pas un arsenal compliqué. Elle tient surtout à une habitude minuscule : regarder avant de scanner, puis relire avant d’agir. C’est moins spectaculaire qu’une appli miracle, mais c’est souvent plus solide dans la vraie vie numérique.

Article créé en collaboration avec l’IA.

Pour aller plus loin : IA pour écrire : la check-list qualité (sources, ton, erreurs) avant publication.