Sophie, 34 ans, travaille dans le Vieux-Port de Montréal. Un lundi matin en août 2025, elle stationne sa Civic sur Saint-Paul, voit un QR code collé sur le parcomètre avec le logo de la Ville de Montréal. Elle scanne, tombe sur une page « Paiement de stationnement », entre 8 $ pour 2 heures, sa carte Visa. Transaction refusée une fois, elle réessaie, ça marche. Reçu par courriel, tout propre.
Trois jours après : 4 800 $ prélevés sur sa Visa. Deux achats sur Amazon US, un transfert Apple Cash, trois commandes Uber Eats dans des villes qu’elle n’a jamais visitées.
Le QR code qu’elle avait scanné n’était pas celui de Montréal. C’était un sticker collé par-dessus. En dessous, le vrai parcomètre municipal acceptait les paiements sans contact — normalement. Sophie n’avait pas regardé. Elle était en retard pour une réunion.
La Ville de Montréal utilise l’app P$ Service Mobile, pas de QR code sur les parcomètres. Pas un seul. Sophie l’ignorait, comme 80 % des gens.
Cette arnaque a un nom : quishing. QR + phishing. Elle a explosé depuis 2024 et elle touche tout : stationnements, restaurants, bornes de recharge EV, factures, affiches publiques, emballages de produits. Voici ce qu’il faut savoir pour ne pas passer à la caisse.
Pourquoi le QR est devenu l’arme préférée des fraudeurs
Trois raisons simples :
Un. Depuis la pandémie, on a normalisé l’habitude de scanner des QR pour tout. Menu du resto, check-in à l’hôtel, paiement sans contact, vaccination, wifi gratuit, bornes interactives. Le réflexe de méfiance qu’on a avec un lien courriel, on l’a perdu avec un QR.
Deux. Un QR cache l’URL. Tu ne vois pas où tu vas avant de cliquer. C’est le contraire d’un lien qu’on voit dans un navigateur — tu ne peux pas faire l’analyse visuelle (est-ce que l’adresse se termine bien par .desjardins.com? ou par .desjardins-securite-xyz.net?).
Trois. Un sticker QR coûte 0,50 $ à imprimer. Le fraudeur passe une heure la nuit à coller 40 stickers dans le Vieux-Port ou sur une rue commerciale. Le retour sur investissement est absurde.
Selon le FBI et la GRC (rapports conjoints 2024-2025), les signalements de quishing ont augmenté de 587 % en 24 mois. Les pertes moyennes individuelles sont entre 300 $ et 5 000 $, mais certaines victimes y laissent 40 000 $+ quand l’attaque mène à un vol d’identité complet.
Les 6 endroits où un QR est le plus à risque en 2026
1. Parcomètres et horodateurs municipaux
Reste au courant de la règle locale :
- Montréal : app P$ Service Mobile, pas de QR.
- Ville de Québec : app PayByPhone (zones ciblées), PAS de QR sur les parcomètres.
- Laval : app P$ Service Mobile.
- Autres municipalités QC : vérifie le site de la ville AVANT ta première utilisation.
Si tu vois un QR sur un parcomètre municipal au Québec, considère-le comme frauduleux par défaut. Les fraudeurs misent sur la panique (« je suis en retard, je paye vite »).
Pour les stationnements privés (Indigo, Impark, stationnements d’hôpitaux), vérifie physiquement : le QR est-il intégré à l’affichage officiel peint ou imprimé, ou collé avec un sticker récent?
2. Menus de restaurant
Popularisé par la COVID, le menu QR est maintenant massif. Les fraudeurs collent un sticker sur la table ou le menu qui pointe vers un faux site avec commande en ligne. Tu entres tes infos de livraison et ta carte. Commande jamais livrée, carte compromise.
Comment vérifier : le menu QR légitime amène normalement vers une page du restaurant (son nom de domaine). Si ça te mène sur un domaine générique (« easyorder-resto-xyz.com »), ferme.
Mieux : demande le menu physique. Les serveurs en ont toujours en arrière.
3. Bornes de recharge pour véhicules électriques
Tesla Supercharger, FLO, Circuit électrique du Québec, ChargePoint. Les fraudeurs ciblent particulièrement les bornes rapides (50 kW+) parce que les utilisateurs paient directement via app. Un sticker QR « Payer ici » sur la borne redirige vers une fausse page qui demande compte FLO + carte.
Règle : paie toujours via l’app officielle téléchargée de l’App Store / Play Store. Jamais via un QR collé sur la borne.
4. Factures envoyées par courrier ou courriel
Les fraudeurs envoient un faux avis (Hydro-Québec, Vidéotron, Bell, Revenu Québec, Revenu Canada) avec un QR qui mène vers une fausse page de paiement.
Règle absolue : un vrai avis d’Hydro-Québec n’a pas de QR à scanner pour payer. Tu payes toujours via ton compte en ligne Hydro-Québec, accessible en tapant toi-même hydroquebec.com dans ton navigateur.
5. Affiches publicitaires et sauvegardes de concerts
Poster dans la rue qui dit « Concert gratuit, scan pour billets ». Affiche de promotion de restaurant. Pancarte de bienfaisance. Le fraudeur colle son QR.
Règle : pour tout ce qui implique un paiement ou des données personnelles, vérifie via un autre canal (site officiel Google, appel à l’organisation).
6. Emballages de produits et étiquettes
Hausse récente : faux QR sur emballages de produits électroniques (supposément pour « activer la garantie ») ou sur produits alimentaires (« participer au concours »). Souvent, c’est une demande d’infos personnelles pour le vol d’identité.
Les 3 types d’attaques derrière un QR frauduleux
Type 1 — Phishing financier (le plus courant)
Le QR amène vers une fausse page qui ressemble à un site de paiement légitime. Tu entres :
- Ton numéro de carte + CVV + date d’expiration
- Optionnel : ton nom complet, adresse, date de naissance
La transaction passe (ou fait semblant de passer). Le fraudeur a tout ce qu’il faut pour utiliser ta carte ailleurs, et souvent assez d’infos pour faire un vol d’identité complet.
Type 2 — Credential harvesting (identifiants bancaires)
Le QR amène vers une fausse page de connexion bancaire (fausse Desjardins, faux RBC, faux Tangerine). Tu entres tes identifiants. Le fraudeur les utilise ou les revend 50-200 $ selon le type de compte.
Type 3 — Installation de malware
Le QR amène vers le téléchargement d’une app. Deux cibles :
Android : téléchargement d’un APK (fichier d’installation). Si ton Android autorise les « sources inconnues » (ou si tu l’actives à la demande de la page), l’APK s’installe et peut devenir un cheval de Troie bancaire (type Anatsa, Hydra, Octo) qui lit tes SMS de 2FA bancaire et vide ton compte.
iPhone : installation d’un profil MDM (Mobile Device Management) abusif. Dans certains cas, le QR amène vers un lien qui demande « Voulez-vous installer ce profil? ». Si l’utilisateur accepte, le fraudeur peut forcer un faux certificat racine, intercepter le trafic HTTPS, et voir tout ce qui passe par l’iPhone.
Sur iPhone, Apple a rendu ça plus difficile depuis iOS 15, mais pas impossible — surtout avec des utilisateurs qui cliquent rapidement sans lire.
Comment vérifier un QR AVANT de le scanner
Étape 1 — Inspection physique (5 secondes)
Regarde le QR code lui-même :
- Est-il imprimé directement sur un panneau officiel, ou c’est un sticker?
- Si sticker : voit-on un autre QR dessous (bords visibles, bulles d’air)?
- Le sticker semble-t-il neuf alors que le panneau est ancien et usé?
- Y a-t-il des coquilles (fautes d’orthographe) sur le texte autour?
Si un seul de ces signes apparaît, ne scanne pas.
Étape 2 — Scanner avec aperçu d’URL
iPhone (iOS 11+) : ouvre l’app Appareil photo, pointe le QR. Une notification apparaît en haut avec l’URL. NE TAPE PAS sur la notif. Lis l’URL en entier d’abord.
Android : la plupart des Android récents font la même chose avec Google Lens intégré à l’appareil photo.
Apps dédiées qui montrent l’URL avant d’ouvrir :
- Trend Micro QR Scanner (gratuit, détecte aussi les URL malveillantes connues)
- Kaspersky QR Scanner (gratuit)
Désinstalle les apps gratuites « QR Scanner » trouvées sur le Play Store — beaucoup sont bourrées de publicités et certaines enregistrent ton historique de scan.
Étape 3 — Analyse de l’URL
Si l’URL commence par :
- Un raccourcisseur (bit.ly, tinyurl, t.co, lnkd.in) → très suspect pour un contexte officiel
- Un domaine qui ressemble mais n’est pas exactement celui attendu (hydroquebec-securite.com, desjardins-paiement.net) → phishing
- Un domaine en .xyz, .top, .work, .click, .info (avec un contexte pro) → très suspect
- Un IP brute (http://192.x.x.x) → probable malware
Si l’URL est directement celle de l’organisation légitime (ex: hydroquebec.com, stm.info, spvm.qc.ca, quebec.ca, sequr.ca), OK.
Comment réagir si t’as déjà scanné et entré des infos
T’as entré ta carte de crédit
- Appelle la ligne 24/7 derrière ta carte (Desjardins 1-800-CAISSES, RBC, TD, etc.) et fais bloquer la carte immédiatement.
- Demande une nouvelle carte.
- Surveille les transactions pendant 90 jours.
- Signale au Centre antifraude du Canada : 1-888-495-8501 ou antifraudcentre-centreantifraude.ca.
- Alerte Equifax et TransUnion pour mettre une alerte de fraude sur ton dossier (gratuit, renouvelable).
T’as entré tes identifiants bancaires
- Change immédiatement ton mot de passe bancaire depuis un autre appareil (pas le cellulaire où tu as scanné).
- Active la 2FA (authentification à deux facteurs) si ce n’est pas déjà fait.
- Appelle ta banque pour signaler la possible compromission.
- Surveille les transactions.
T’as téléchargé un fichier (APK Android ou profil iPhone)
Android : va dans Paramètres > Apps, cherche toute app que tu ne reconnais pas (surtout celles avec « Banque », « Payer », « Support »), désinstalle. Fais un scan avec Malwarebytes gratuit. Si doutes persistants : réinitialiser le téléphone aux paramètres d’usine.
iPhone : Réglages > Général > VPN et gestion de l’appareil. Si tu vois un profil inconnu, supprime. Si t’es pas sûr : réinitialiser tous les réglages.
Comme règle : change tous les mots de passe utilisés récemment sur le même appareil
Si un malware s’est installé, il a pu enregistrer d’autres identifiants. Passe tout ce qui est critique : courriel, banque, SAAQ, Clic Revenu, comptes employeur.
Pour les commerçants — comment protéger tes clients
Si t’as un restaurant, un stationnement privé, ou tout autre commerce qui utilise des QR :
- Utilise des QR imprimés directement sur ton matériel (pas des stickers). Plus dur à couvrir.
- Vérifie chaque matin tes QR publics (qu’il n’y ait pas de sticker collé dessus).
- Affiche l’URL du QR à côté du QR, en texte lisible (« Scannez ou visitez mon-resto.ca/menu »). Ça rassure et ça complique le travail des fraudeurs.
- Utilise ton propre domaine (restaurant-lebistroducoin.ca/menu) au lieu d’un service tiers anonyme.
Cas réels documentés au Canada et au Québec (2024-2026)
Pour bien saisir l’ampleur, voici quelques cas publics :
Toronto, été 2024 : stickers QR frauduleux sur 40+ parcomètres de la ville. Pertes cumulées estimées à 180 000 $. La Ville a dû publier un communiqué pour rappeler que leurs bornes n’utilisent pas de QR.
Calgary, printemps 2025 : arnaque sur les bornes de recharge EV d’un fournisseur privé. Les victimes pensaient payer leur session de charge — elles payaient 85 $ à un compte offshore, puis la carte se faisait débiter plusieurs fois les semaines suivantes.
Montréal, automne 2024 : série de signalements au SPVM sur des QR collés sur des vélos Bixi (dirigeant vers un faux site de « location d’essai »). Bixi a confirmé ne jamais utiliser de QR sur ses vélos pour les paiements.
Québec, hiver 2025 : une clinique dentaire victime d’une fraude indirecte — un QR dans leur salle d’attente (supposément pour remplir un formulaire pré-rendez-vous) a été remplacé par un QR qui téléchargeait une fausse app « Dossier santé » sur Android. Plusieurs patients ont vu leur compte bancaire drainé.
Ces cas sont typiques mais rarement publicisés à grande échelle. Les victimes ont honte, les organisations visées (villes, commerces) évitent les communications pour ne pas créer de panique. Résultat : la majorité des gens pensent que c’est « un problème américain ». Ce ne l’est pas.
Signaler pour aider
Si tu vois un QR qui semble collé/frauduleux dans ta ville :
- Prends une photo (avec l’environnement visible — quel parcomètre, quelle rue).
- Si c’est un parcomètre ou équipement municipal : appelle le 311 ta ville (Montréal, Québec, Laval, etc.).
- Si c’est dans un commerce : informe le gérant sur place.
- Signale au Centre antifraude du Canada (en ligne ou 1-888-495-8501), même si tu n’as pas été victime — ils utilisent ces données pour cartographier les zones chaudes.
Chaque signalement aide à faire décoller les alertes publiques. La sensibilisation est le meilleur vaccin contre ce type d’arnaque.
La règle mentale en 2 secondes
Avant de scanner n’importe quel QR public, demande-toi :
Est-ce que ce QR me demande de payer ou d’entrer des infos personnelles?
Si oui, refuse par défaut. Trouve un autre moyen (app officielle téléchargée toi-même, site tapé dans le navigateur, appel téléphonique à l’organisation).
Si non (c’est juste un menu, un site d’info, un wifi public), le risque est plus faible mais vérifie quand même l’URL avant d’ouvrir.
Et si ça t’est arrivé
Si t’es tombé dans un quishing, te sens pas niaiseux. Ça arrive à des comptables, des avocats, des ingénieurs, des gens qui travaillent en cybersécurité eux-mêmes. L’arnaque est conçue pour passer sous le radar — elle exploite la pression (« je suis en retard »), le contexte (« je suis à un parcomètre, ça doit être légitime »), et l’absence de validation visuelle de l’URL.
Ce qu’on peut faire ensuite :
- Limiter les dégâts (carte bloquée, mots de passe changés, appareil nettoyé)
- Signaler pour prévenir d’autres victimes (Centre antifraude du Canada, police locale)
- Comprendre ce qui s’est passé pour l’éviter la prochaine fois
Si tu veux un coup de main pour nettoyer ton appareil, vérifier si des infos ont fuité, ou sécuriser tes comptes après une arnaque QR, on fait ça tous les jours — appelle ou va sur sequr.ca. On travaille à distance, partout au Québec, et on n’a pas de forfait caché.
Entre deux scans, respire 3 secondes. Regarde l’URL. C’est ta seule vraie défense.
