Un simple scan. Deux secondes. Et quelques heures plus tard, le compte en banque qui part en vrille. Le quishing — contraction de « QR code » et « phishing », n’est plus une menace abstraite réservée aux grandes métropoles françaises. Cette forme de fraude se répand en Belgique après que de nombreux cas aient déjà été enregistrés en France. Le mécanisme est d’une simplicité déconcertante, et c’est précisément ce qui le rend efficace.
À retenir
- Des fraudeurs apposent des faux QR codes sur des équipements publics et vous redirigent vers des sites qui clonent parfaitement les vrais
- Vous pensez payer votre stationnement ou recharger votre voiture, mais en réalité vous saisissez vos coordonnées bancaires sur un site d’arnaque
- Les conséquences ne s’arrêtent pas au premier débit : usurpation d’identité, abonnements frauduleux, vidage progressif du compte
Un autocollant. C’est tout ce qu’il faut.
Des fraudeurs créent de faux QR codes et les apposent sur des supports existants, à la place des vrais. Lorsque vous les scannez, vous êtes redirigés vers des sites frauduleux, qui ressemblent souvent beaucoup aux sites officiels. Pas besoin de pirater un système informatique, pas besoin de compétences techniques poussées. La technique tient en une phrase : « Ce n’est pas compliqué d’imprimer des stickers. Les attaquants copient l’interface officielle, créent leur propre site de paiement et collent leur QR code sur l’horodateur. »
La Belgique n’est pas épargnée. La zone de police Bruxelles Capitale Ixelles a indiqué avoir été victime sur certains horodateurs : « Des personnes malintentionnées ont développé un autocollant apposé sur certains horodateurs communaux. Celui-ci renvoie à un site web frauduleux demandant des informations bancaires et personnelles. » Le phénomène touche aussi les bornes de recharge pour véhicules électriques, les menus de restaurants, les caisses de magasins. Les parkings de grandes villes, les distributeurs de titres de transport et les menus de restaurants en terrasse sont les lieux les plus fréquemment signalés.
Ce qui frappe dans ce type d’arnaque, c’est la fluidité du piège. Des conducteurs ont été piégés en tentant de payer la recharge de leur voiture électrique via un QR code frauduleux apposé sur la borne. Le code renvoyait vers un faux site de paiement, très convaincant, sur lequel ils saisissaient leurs coordonnées bancaires. La recharge ne démarrait jamais, mais un petit montant était immédiatement débité. Petit montant d’abord, pour tester. Puis les débits s’enchaînent.
Pourquoi ce type de fraude contourne les protections classiques
Le « quishing » utilise des codes QR pour diriger les victimes vers des sites frauduleux ou exécuter des programmes malveillants sur leurs appareils. L’attaque repose sur un processus simple et redoutablement efficace : un code QR malveillant est créé, les escrocs génèrent un code QR redirigeant vers un site d’hameçonnage ou permettant le téléchargement de logiciels malveillants. Mais le vrai avantage pour les fraudeurs, c’est l’invisibilité du lien. Quand vous recevez un SMS ou un mail avec une URL suspecte, vous pouvez au moins lire l’adresse. Un QR code, lui, ne dit rien avant d’être scanné.
Les codes QR sont également utilisés pour installer des logiciels malveillants sur les ordinateurs des victimes afin de voler des données personnelles, leurs identifiants de connexion. Les conséquences ne se limitent donc pas à un paiement capturé sur un faux site : l’arnaque est rapide, souvent indolore sur le moment, mais les conséquences peuvent s’étendre sur plusieurs mois : abonnements frauduleux, usurpation d’identité, ou vidage progressif du compte.
La hausse des signalements en Belgique est éloquente. En moyenne, plus de 40 000 cas de phishing ont été signalés par jour à la plateforme suspect@safeonweb.be du Centre pour la cybersécurité en Belgique. C’est quasi deux fois plus que ce qui avait été observé en 2025. Le quishing fait partie de cette vague, et son intégration dans des gestes du quotidien, payer son stationnement, scanner un menu, recharger sa voiture — le rend particulièrement insidieux.
Ce que vous devez faire dans les minutes qui suivent
Vous avez scanné un QR code suspect et saisi vos données bancaires ? Chaque minute compte. Informez immédiatement votre banque et appelez Card Stop pour bloquer votre carte bancaire. Bloquez également votre compte bancaire, votre compte utilisateur et votre application bancaire, sinon l’escroc pourra continuer à opérer. En contactant rapidement votre banque, celle-ci peut également être en mesure d’arrêter ou de récupérer les montants qui n’ont pas encore été transférés.
En Belgique, le numéro Card Stop est le 078 170 170, accessible 24h/24. Faites une déposition auprès de votre bureau de police locale. Signalez également la fraude via ConsumerConnect. L’Inspection économique du SPF Economie analyse le signalement et peut décider d’ouvrir une enquête pour mettre fin à ces pratiques frauduleuses.
La question du remboursement mérite qu’on s’y arrête. La condition principale est qu’il s’agisse d’une opération de paiement non autorisée. Si vous avez effectué un paiement vous-même (par exemple, en payant une fausse facture) ou s’il y a eu négligence grave, la banque ne vous remboursera pas. C’est là que le quishing place les victimes dans une zone grise inconfortable : elles ont techniquement agi volontairement, sans savoir qu’elles étaient piégées. Si votre banque décide de ne pas vous indemniser, elle est obligée de communiquer cette décision par écrit au SPF Economie. Vous pouvez alors vous adresser au Service de Médiation des services financiers.
Trois réflexes pour ne plus tomber dans le piège
Le premier réflexe, c’est de regarder l’URL qui s’affiche après le scan, avant de taper quoi que ce soit. Si l’URL comporte des fautes d’orthographe, des inversions de lettre, des caractères inhabituels ou ne correspond pas au nom officiel de votre banque, fermez immédiatement la page. Le « https:// » et le petit cadenas dans la barre du navigateur ne suffisent pas pour identifier un site légitime. Cela signifie seulement que les données sont encryptées, vous ne savez pas pour autant qui va les réceptionner.
Le deuxième réflexe concerne le support physique lui-même. La qualité d’impression révèle souvent les faux : QR codes flous ou mal imprimés contrastent avec les codes officiels qui bénéficient d’une impression professionnelle. Un autocollant légèrement décollé sur le bord, une impression pixelisée, un code qui semble « rajouté » sur l’équipement existant : autant de signaux qui méritent qu’on s’arrête. Mieux vaut éviter de scanner un QR code collé directement sur un horodateur ou une borne. Les collectivités ou les prestataires passent généralement par des applications dédiées ou des numéros à composer.
Le troisième réflexe, plus systématique : en cas de doute sur un service public (stationnement, transport, recharge), effectuez une recherche sur un moteur officiel au lieu de scanner le code. Trente secondes de plus sur Google valent mieux qu’une heure au téléphone avec votre banque.
Une nuance importante, souvent ignorée : ces faux QR codes mènent vers des sites qui ressemblent beaucoup aux vrais sites bancaires. Là, les victimes sont amenées à saisir des données sensibles, ou à prendre d’autres mesures, comme utiliser un lecteur de carte ou confirmer via l’application itsme, largement utilisée en Belgique. L’arnaque exploite donc aussi la confiance que les Belges accordent à des outils d’authentification qu’ils considèrent comme des garanties, ce qui en fait, à ce stade, une des formes de fraude les plus sophistiquées du quotidien.
Sources : scolinfo.net | inc-conso.fr