Un appel de la banque, le soir même. Un montant débité que vous ne reconnaissez pas. Et en retraçant mentalement votre journée, ce moment vous revient : le QR code sur l’horodateur, scanné machinalement entre deux réunions. Ce scénario n’est pas une fiction — il se répète dans plusieurs villes françaises depuis 2024, et il a même un nom technique : le quishing.
À retenir
- Des fraudeurs posent discrètement des autocollants avec des faux QR codes sur les bornes de paiement depuis octobre 2024
- L’arnaque s’étend rapidement : de Monaco à Marseille en six mois, avec des sites contrefaits d’une redoutable crédibilité
- Les traces physiques du piège sont souvent visibles, mais les vraies conséquences peuvent dépasser le simple débit bancaire
Un autocollant, un faux site, et vos données bancaires aspirées en trente secondes
Le quishing, contraction de « QR code » et « phishing », désigne une escroquerie qui utilise les codes QR pour piéger les utilisateurs. Le principe est d’une redoutable simplicité. Des fraudeurs posent discrètement un autocollant avec un faux QR code sur l’horodateur. À première vue, ces autocollants n’ont rien d’inhabituel : placés directement sur les bornes de paiement, ils imitent les visuels officiels et redirigent vers un site qui semble légitime.
En réalité, ce QR code dirige l’utilisateur vers une page frauduleuse, qui ressemble pourtant à une page officielle. L’usager pense fournir ses données bancaires pour payer son stationnement, mais il les délivre en fait à des escrocs. Et le pire dans cette histoire ? Son stationnement n’est pas réglé, ce qui peut l’exposer à une amende. Double peine.
Ce genre de fraude joue sur deux leviers : la confiance dans l’outil et l’urgence de la situation. L’automobiliste pense régler un service habituel, à un moment où il est pressé, sans imaginer être ciblé par une arnaque. D’autant que les sommes débitées sont souvent modestes, donc peu susceptibles d’alerter immédiatement la victime. C’est précisément ce qui rend ce piège aussi efficace : on ne se méfie pas d’un geste qu’on a déjà fait cent fois.
De Monaco à Marseille, une vague qui s’étend
Les escroqueries ont débuté à Monaco en octobre 2024 avant d’affecter des automobilistes à Nice fin mars 2025, et le dernier incident a été signalé à Marseille le 14 avril dernier. La progression géographique est rapide. La ville de Saint-Laurent-du-Var a également mis en garde les automobilistes contre cette arnaque aux faux QR codes collés sur les horodateurs.
La réaction des villes touchées ne s’est pas fait attendre. À Marseille, dès la détection des QR codes frauduleux, une vérification complète de tous les horodateurs de la ville a été lancée, et les agents ont reçu pour consigne de supprimer manuellement tous les autocollants suspects. À Nice, plus de 750 appareils ont été inspectés, et l’unité de lutte contre les délits numériques du commissariat de Nice Est suit désormais l’affaire.
Un hacker éthique interrogé par France Info a d’ailleurs illustré la facilité avec laquelle ces pièges se fabriquent. En moins d’une heure, il a créé une fausse application de stationnement et le QR code correspondant, et France Télévisions a pu choisir une durée de stationnement et payer directement en ligne par carte bancaire. La contrefaçon était parfaitement crédible.
Comment repérer le piège avant de sortir votre carte
La bonne nouvelle, c’est que les faux QR codes laissent souvent des traces physiques visibles. Un QR code frauduleux est souvent un autocollant posé par-dessus un autre : le papier peut paraître légèrement bombé ou ne pas être aligné parfaitement avec l’interface de l’horodateur. Un logo trop brillant ou un QR code sans mention légale devrait aussi alerter.
Les QR codes des prestataires officiels sont toujours incrustés dans le visuel de l’autocollant et ne sont jamais collés par-dessus. C’est un détail simple, mais c’est le critère le plus fiable. Avant de scanner, regardez si le code semble « rajouté » après coup, un léger relief, une bordure qui dépasse, une texture différente du reste du panneau. Si c’est le cas, passez votre chemin.
Avant de scanner, vérifiez systématiquement l’URL vers laquelle le QR code vous redirige. Si l’URL comporte des fautes d’orthographe, des inversions de lettres, des caractères inhabituels ou ne correspond pas au nom officiel du prestataire de stationnement, fermez immédiatement la page. Pour payer en toute sérénité, privilégiez le paiement par carte bancaire insérée directement dans la machine ou en pièces. Si vous préférez le smartphone, ne téléchargez les applications que via l’App Store ou Google Play, les applications légitimes de stationnement s’y trouvent toutes.
Que faire si vous êtes déjà tombé dans le piège
Votre banque vous appelle, un débit suspect apparaît sur votre relevé : chaque minute compte. Si vous avez communiqué vos coordonnées bancaires, contactez immédiatement votre banque pour faire opposition. Signalez également la fraude à la plateforme Perceval, accessible via service-public.fr avec FranceConnect. Ce signalement facilite les enquêtes et renforce votre dossier de remboursement, téléchargez le récépissé et transmettez-le à votre conseiller bancaire.
Sur le plan légal, vous n’êtes pas totalement sans recours. Vous disposez de 13 mois après le débit pour contester les opérations frauduleuses et demander le remboursement. Si votre code confidentiel a été utilisé par les fraudeurs, une franchise de 50 € maximum peut s’appliquer. Votre banque peut en revanche refuser le remboursement en cas de négligence grave prouvée, par exemple si vous avez communiqué volontairement vos données bancaires. La nuance est importante : avoir saisi son numéro de carte sur un faux site sans vérifier l’URL peut être retenu contre vous.
Les informations bancaires volées peuvent également être revendues sur le dark web, exposant les comptes à d’autres tentatives d’escroquerie bien après l’incident initial. C’est pourquoi, même si vous récupérez l’argent débité, changez vos identifiants bancaires et activez les notifications de transaction en temps réel sur votre application bancaire. Dans certains cas, des victimes ont même reçu après la fraude des appels prétendant venir de leur banque, les incitant à transférer leurs fonds « sur un compte sécurisé », les pertes peuvent alors atteindre plusieurs milliers d’euros. Un QR code sur un horodateur peut donc n’être que la première étape d’une escroquerie bien plus élaborée.
Sources : saintlaurentduvar.fr | media.roole.fr