Statistiques alarmantes sur le hameçonnage par code QR que vous devez connaître en 2026

Par: Ashley P.Mettre à jour: May 06, 2026

Cette compilation de statistiques sur le phishing par code QR met en lumière les menaces de sécurité préoccupantes que le quishing impose aux entreprises et aux particuliers.

Personne ne peut nier les avantages d'utiliser un code QR (Quick Response), et autant que nous détestons l'admettre, les criminels en ligne le savent aussi.

Mais, si vous vous familiarisez avec les menaces en cybersécurité et adoptez des mesures de sécurité en conséquence, vous pouvez entraver leur succès.

Avec cela à l'esprit, nous avons rassemblé des faits clés et des tendances sur le phishing par code QR dont tout le monde devrait rester vigilant en 2026.

Apprenez ce que disent ces statistiques, les cas du monde réel, les actions que vous pouvez prendre, et le meilleur générateur de code QR pour vous aider à créer des codes QR infaillibles.

Table des matières

Qu'est-ce qui rend le quishing (hameçonnage par code QR) si dangereux ?
Les dernières statistiques et tendances en matière de phishing par code QR
Exemples de code de phishing réel utilisant des codes QR
Les codes QR sont-ils sûrs ?
Ce que vous devez faire pour éviter les attaques de phishing
Créez des codes QR sûrs et fiables avec QR TIGER

Qu'est-ce qui rend le quishing (phishing par code QR) si dangereux ?

Le phishing est une cyberattaque malveillante visant à voler des informations personnelles, telles que des noms d'utilisateur en ligne, des mots de passe et même des informations financières, à des fins malveillantes.

Ce type d'attaque repose sur la tromperie, ce qui amène la victime à fournir volontairement mais sans le savoir ces détails elle-même.

Aujourd'hui, une nouvelle technique pour ces cybercriminels a émergé : le quishing.

Quishing est l'acte de Phishing utilisant des codes QR codes-barres bidimensionnels que toute personne peut facilement scanner à l'aide d'un smartphone.

Les codes QR peuvent-ils être dangereux ? Pas du tout. Cependant, selon le motif du créateur, le lien ou le contenu intégré peut être nuisible aux autres.

C'est aussi encore plus difficile à identifier. Arnaque au code QR peut être transmis par e-mail, conduisant les destinataires vers un document avec un code QR qui redirige vers un site malveillant qui vole finalement leurs informations.

C'est pourquoi le quishing est si dangereux. Les mauvais acteurs peuvent simplement recouvrir les codes QR légitimes avec des faux, et peuvent même cibler des anxiétés comme la façon dont Les prêts affectent la cote de créditpour inciter les destinataires à les scanner.

Selon Hoxhunt, les incidents de hameçonnage augmentent de 25 % d'une année sur l'autre.

Les dernières statistiques et tendances en matière de phishing par code QR

Les codes QR sont des outils pratiques pour partager des informations, mais avec des cyberattaques comme le quishing, un code QR malveillant menace sérieusement la personne moyenne.

Pour les entreprises, le hameçonnage est une préoccupation majeure qui peut leur coûter des milliers, voire des millions de dollars pour s'en débarrasser. Pour information, les données d'IBM indiquent que les violations de données résultant du hameçonnage par code QR peuvent coûter en moyenne 4,45 millions de dollars (USD).

Si vous voulez éviter de devenir une cible, il est important de familiarisez-vous avec la cybersécurité et comprendre comment ces attaques se déroulent généralement.

Examinons les dernières statistiques qui le prouvent.

Quishing est le vecteur d'attaque en plus forte croissance au début de 2026.

Au cours du premier trimestre de 2026, Microsoft Threat Intelligence et l'équipe de recherche en sécurité de Microsoft Defender ont constaté que les e-mails de phishing représentaient 78 % de l'activité totale des e-mails, les codes QR de phishing voyant une augmentation de leur utilisation malveillante.

En janvier, 7,6 millions de ces attaques ont utilisé des codes QR pour compromettre des e-mails. Ce nombre passerait à 18,7 millions en mars, marquant une augmentation de 146 % de l'utilisation.

Beaucoup de ces codes QR se trouvent dans des fichiers joints aux e-mails. Selon les données, 65 % des e-mails avec des pièces jointes en janvier utilisent des fichiers PDF pour diffuser des codes QR malveillants. En revanche, les fichiers DOC et DOCX ont été utilisés dans 31 % des e-mails de phishing le même mois.

Ces chiffres changeraient en mars, car les fichiers PDF avec codes QR ont connu une augmentation de 70 % de leur utilisation, tandis que l'utilisation des fichiers DOC et DOCX a chuté de 24 %.

Les attaquants ont également eu recours à insérer directement des codes QR dans le corps de l'e-mail, une méthode qui a connu une augmentation de 336% en mars. Cependant, les données montrent également que ce vecteur ne représente que 5% de toutes les tentatives de phishing détectées.

La recrudescence des tentatives de hameçonnage met en lumière un défi des systèmes de sécurité des e-mails actuels. Bien qu'ils soient efficaces pour détecter les menaces provenant de textes et de liens, les attaquants ont réalisé qu'ils ne sont pas aussi fiables pour détecter les liens de hameçonnage dans du contenu basé sur des images comme les codes QR.

Les attaques de phishing par code QR ont augmenté de 51%

Selon une étude de ReliaQuest, les attaques de phishing par code QR ont augmenté de 51 % en septembre 2023. Il s'agit d'une augmentation significative par rapport au chiffre cumulatif de janvier à août 2023.

De plus, 12 % des incidents de quishing observés impliquaient le fait de cacher le code QR dans un fichier PDF ou JPEG attaché à un e-mail.

Ces attaques ont pu contourner les filtres d'e-mails car l'e-mail malveillant n'avait souvent pas d'éléments cliquables dans le corps du message, ce que les filtres autorisent généralement.

Il y a eu plus de 8 000 incidents de quishing en 3 mois en 2023.

Mettant en lumière la dépendance aux codes QR des cybercriminels et des escrocs, Keepnet a constaté que 8 878 incidents de hameçonnage par QR code ont été signalés sur une période de 3 mois en 2023.

Observé de juin à août, le premier mois a été celui où la tendance a atteint son pic avec un total de 5 063 cas signalés.

Près de 2 % de tous les codes QR scannés sont malveillants

Une analyse récente de Keepnet a révélé que près de 2 % de tous les codes QR scannés étaient considérés comme malveillants. Cela inclut les codes QR de phishing ainsi que ceux intégrant des liens vers des logiciels malveillants et des virus.

Demandez-vous : "Combien de codes QR est-il possible de créer ?" et vous pourriez arriver à un nombre dans les millions. La vérité est bien plus grande que cela, tellement que ce nombre ne pourrait pas tenir dans une calculatrice.

Nous n'avons même pas encore approché ce chiffre, donc 2% est insignifiant dans l'ensemble des choses.

Pourtant, les effets de codes QR malveillants Sont trop nuisibles pour être ignorés. Comme cette forme de code-barres devient de plus en plus populaire dans différentes applications, nous pouvons nous attendre à ce que ce nombre augmente également.

Seulement 36 % des incidents de phishing par code QR ont été correctement identifiés et signalés.

Malgré un nombre impressionnant d'incidents de hameçonnage par code QR dans les dernières statistiques, les rapports indiquent que seuls 36 % d'entre eux sont correctement identifiés et signalés.

Ce faible taux de détection et de signalement est une lacune en matière de sécurité que toute entreprise devrait traiter.

26% des campagnes de phishing utilisent des liens malveillants intégrés dans des codes QR

Il existe différents types d'attaques de phishing, mais la méthode la plus populaire passe par les e-mails. Selon des données supplémentaires de Keepnet, 26 % des liens malveillants dans les campagnes de phishing par e-mail étaient intégrés dans un code QR.

Avec autant de liens intégrés dans des codes QR, il est évident que les cybercriminels utilisent leur efficacité pour nuire aux autres.

Cela est confirmé par une augmentation de 587 % des incidents de hameçonnage en 2023. Pendant cette période, 22 % de toutes les attaques de hameçonnage ont utilisé des codes QR.

Half a million emails with phishing QR codes are embedded in PDF documents

Cette découverte stupéfiante a été faite par les chercheurs en intelligence des menaces de Barracuda. Les fichiers PDF avaient normalement une ou deux pages, et les e-mails eux-mêmes ne contenaient aucun autre lien externe ou document intégré.

Près de 90% des attaques de codes QR visent à voler des informations de connexion et d'autres données sensibles.

Alors qu'il existe de nombreuses façons créatives de causer des dommages avec des codes QR, Keepnet affirme que environ 89,3% des attaques détectées sont réalisées pour capturer des données personnelles.

La raison de cela peut résider dans le fait que les codes QR sont faciles et pratiques à utiliser. Beaucoup de gens peuvent oublier de vérifier le lien avant d'être redirigés.

Avec la plupart des attaques de codes QR étant des tentatives de phishing, cela souligne le besoin d'une plus grande connaissance et sensibilisation à la sécurité des codes QR et à la mise en place de mesures de sécurité améliorées.

Les pages de banque en ligne sont également sujettes aux attaques de hameçonnage.

Les dépenses mondiales avec les codes QR devraient dépasser les 3 billions de dollars d'ici 2025, ce qui signifie que nous pouvons nous attendre à une augmentation des tentatives de fraude utilisant les paiements par code QR.

Cela est confirmé par la même étude de ReliaQuest, qui a découvert que 18 % des incidents de hameçonnage impliquaient des voleurs utilisant des pages de banque en ligne pour voler des informations.

Si vous utilisez des codes QR pour payer dans des magasins physiques et en ligne, vérifiez s'il y a des signes de manipulation sur le code QR. Si vous en avez la possibilité, demandez au magasin de vous fournir directement leur numéro de compte et le nom complet du titulaire du compte pour des transactions sécurisées.

Les cadres d'entreprise rencontrent 42 fois plus d'attaques de phishing que les employés

Selon les données de 2023 d'Abnormal Security, les cadres sont 42 fois plus susceptibles d'être ciblés par des e-mails de hameçonnage que leurs employés.

Cela nous indique que les cybercriminels savent que cibler les cadres peut leur donner accès à des informations sensibles et rentables ainsi qu'à beaucoup de pouvoir au sein des entreprises.

Cela signifie également qu'il pourrait y avoir des vulnérabilités dans la sécurité d'une organisation que les dirigeants devraient trouver et corriger.

Microsoft et Adobe font partie des marques qui sont imitées pour le hameçonnage

Les chercheurs en intelligence sur les menaces de Barracuda ont également découvert que, dans la plupart des incidents analysés, les cybercriminels ont usurpé l'identité de grandes entreprises telles que Microsoft et Adobe.

Plus de la moitié des attaques impliquaient une impersonation de Microsoft. Les attaquants imitent la marque de l'entreprise en utilisant son logo, sa police et ses avertissements.

D'autres incidents impliquaient des escrocs se faisant passer pour le service des ressources humaines de l'entreprise actuelle de la victime.

27% des attaques de quishing sont des avis frauduleux liés à l'authentification multi-facteurs (MFA).

L'authentification multi-facteurs peut être la norme en matière de sécurisation des identités numériques, mais une seule erreur de cliquer sur un e-mail et de scanner un code QR d'un avis MFA frauduleux permet aux attaquants de contourner cette protection.

Selon Abnormal, un pourcentage significatif de 27 % des tentatives de hameçonnage utilisent de fausses alertes MFA pour tromper les utilisateurs en les incitant à scanner un code QR pour une réauthentification.

56% des e-mails de quishing impliquaient des réinitialisations d'authentification à deux facteurs (2FA) de Microsoft

Selon une étude de ReliaQuest en septembre 2023, la forme la plus populaire de quishing impliquait l'envoi d'e-mails pour réinitialiser ou activer l'authentification à deux facteurs (2FA) de Microsoft.

Cette attaque était si répandue qu'elle représentait plus de la moitié de toutes les méthodes utilisées sur une année.

Les faux avis d'authentification à deux facteurs peuvent constituer une menace sérieuse pour votre sécurité. Ainsi, si vous recevez des e-mails inopportuns de ce type, contactez immédiatement Microsoft ou d'autres fournisseurs de services auxquels vous êtes abonné.

Les acteurs quishing imitent les e-mails liés aux ressources humaines et à l'informatique.

Un rapport de phishing de KnowBe4 a révélé que 48,6 % des e-mails de phishing liés aux ressources humaines et à l'informatique sont les plus dangereux pour les professionnels.

La plupart de ces e-mails qui imitent ceux des ressources humaines et des administrateurs utilisent des codes QR.

Par exemple, les acteurs de la menace les utilisent pour diriger les destinataires vers la signature urgente d'un document, les inviter à une réunion Zoom ou télécharger un fichier pour des révisions de politique.

Les codes QR contenant des liens malveillants peuvent entraîner des cyberattaques telles que la compromission des e-mails professionnels (BEC), le piratage de systèmes et les logiciels de rançon.

Le secteur de l'énergie reçoit 29 % des e-mails de phishing, tandis que le commerce de détail reste le plus vulnérable.

Alors que toute industrie peut être exposée à des attaques de phishing, deux semblent être des cibles fréquentes.

Le premier est l'industrie de l'énergie. Selon les données, le secteur de l'énergie reçoit 29 % des plus de 1 000 e-mails de hameçonnage infectés par des logiciels malveillants.

Le deuxième secteur vulnérable à l'attaque de quishing est le secteur de la vente au détail. L'analyse montre que cette industrie présente le taux d'échec le plus élevé, ce qui signifie que les employés de la vente au détail ont souvent du mal à détecter et à signaler les codes QR malveillants aux autorités.

D'autres secteurs qui sont des cibles populaires pour les campagnes de phishing sont la fabrication, l'assurance, la technologie et les services financiers.

Un grand nombre d'incidents au sein de ces industries indique que les cibler s'est avéré lucratif pour de nombreux cybercriminels.

Exemples de code de phishing réel utilisant des codes QR

Malgré un faible taux de détection et de signalement, des milliers d'incidents sont encore découverts. Cependant, ne pas savoir comment ces escroqueries peuvent se produire aide seulement les criminels à obtenir plus d'informations personnelles des victimes innocentes.

Nous avons recueilli des exemples majeurs de phishing par code QR que vous pouvez étudier et éviter lorsque vous en rencontrez un vous-même.

Faux contraventions de stationnement à San Francisco

Au deuxième trimestre de 2023, les citoyens de San Francisco ont reçu des contraventions de stationnement sur leurs véhicules.

Ces billets comportaient un code QR qui dirigeait les scanners vers une page de l'Agence des transports municipaux de San Francisco (SFMTA) où les conducteurs pouvaient immédiatement régler leurs amendes.

Malheureusement, la SFMTA n'a pas utilisé les codes QR de cette manière.

Pire, les escrocs ont reproduit le site web officiel de la SFMTA, rendant le faux site crédible.

Alors que l'agence n'a pas pu confirmer le nombre de rapports qu'ils ont reçus, ils ont tout de même exhorté les conducteurs à vérifier si un billet est authentique en le recherchant sur leur site officiel.

Code QR infecté par un logiciel malveillant dans une boutique de thé

Un autre cas d'escroquerie par hameçonnage utilisant un code QR s'est produit à Singapour, où une femme de 60 ans a perdu 20 000 $ après avoir rempli une fausse enquête en ligne.

Selon la victime, cette enquête était censée donner droit à une tasse de thé au lait gratuite dans un salon de thé local. Le code était affiché sur la vitrine du magasin, donnant l'impression qu'il s'agissait d'une promotion de l'entreprise elle-même.

Ce qui est unique à propos de cette arnaque, c'est qu'elle télécharge une application tierce sur le téléphone après avoir scanné le code QR. Cette application demandera l'accès au microphone et à la caméra du téléphone.

L'application malveillante a également demandé l'accès au service d'accessibilité Android, une application Android dédiée à l'assistance des utilisateurs handicapés. L'accès à cette application permet au fraudeur de voir et de contrôler l'écran de la victime.

Selon M. Beaver Chua, le responsable du département de lutte contre la fraude de la banque OCBC, l'escroc attendrait que la victime utilise son application bancaire mobile et note ses identifiants de connexion et son mot de passe.

Avec ces informations, l'escroc n'a qu'à prendre le contrôle du téléphone au bon moment et transférer de l'argent hors du compte de la victime.

Codes QR pour voler des identifiants à l'Université de Washington

En septembre 2023, des étudiants et des membres du corps professoral de l'Université de Washington à St. Louis (WUSTL) sont devenus des cibles de cybercriminels utilisant des codes QR d'hameçonnage.

Selon un article de blog, la campagne de phishing utilisait des e-mails avec un code QR malveillant en pièce jointe. Lorsqu'il était scanné, le code QR redirigeait les membres de la communauté vers une fausse page de connexion WUSTL Key.

Mais comment le fraudeur convaincrait-il les utilisateurs de scanner le code? En les faisant croire que leurs comptes seraient résiliés s'ils ne le font pas.

Parce qu'il ressemblait à un e-mail officiel, il est assez facile de tromper les membres du corps professoral et les étudiants de WUSTL sans méfiance en les incitant à conserver leurs comptes en scannant le code.

Heureusement, l'équipe de sécurité de l'information de l'université a informé la communauté de l'arnaque, empêchant ainsi plus de personnes de tomber dans le piège.

Code QR malveillant couvrant un code QR légitime à Teesside, Angleterre

En novembre de la même année, un autre exemple de code de phishing a également été lancé à la gare de Thronaby à Teesside, en Angleterre. Tout comme le code QR de l'enquête sur le salon de thé, cela a entraîné au moins une victime perdant des milliers de ses économies durement gagnées.

Le code QR a été placé sur un authentique dans le parking de la gare. Lorsque la victime, une femme de 71 ans qui souhaitait rester anonyme, a scanné l'un de ces codes QR falsifiés Pour payer le stationnement, elle a involontairement offert ses informations bancaires aux fraudeurs.

Sa banque a bloqué sa transaction. Malheureusement, les criminels se sont fait passer pour le personnel de la banque et l'ont convaincue de contracter un prêt de 7 500 livres.

Ensuite, ils ont changé ses informations bancaires, commandé de nouvelles cartes, accumulé des dettes qui entraîneraient une perte totale de 13 000 £ pour la victime, et mis en place un compte bancaire en ligne.

Selon VirginMoney, le prêt de la victime serait finalement annulé tandis que toutes les transactions frauduleuses seraient remboursées.

Le code QR de l'e-mail d'expiration de la fausse authentification à deux facteurs de Microsoft

Cet escroquerie est un exemple parfait de la façon dont l'industrie de l'énergie est ciblée par des attaques de quishing.

Au cours du même mois que le faux code QR de Teesside, Microsoft a envoyé un e-mail à une entreprise du secteur industriel et de l'énergie. L'e-mail indiquait que l'authentification à deux facteurs (2FA) du destinataire était sur le point d'expirer.

Selon l'e-mail, renouveler cette mesure de sécurité aurait nécessité de scanner le code QR attaché. Comme Microsoft n'envoie pas ce type d'e-mail, il était clair que cet e-mail était destiné à recueillir les identifiants de l'entreprise.

La nature frauduleuse de l'e-mail était également évidente pour les employés attentifs grâce aux diverses erreurs grammaticales trouvées dans le texte. Même un générateur de code QR avec intégration de logo ne peut pas sauver cela.

Codes QR de DocuSign illégitimes

DocuSign est la plateforme n°1 pour les signatures électroniques. Malheureusement, cela en a aussi fait un favori parmi les cybercriminels, en particulier ceux qui préfèrent l'utiliser pour mener des escroqueries de phishing.

Lorsqu'un mauvais acteur imite la plateforme de DocuSign pour lancer des attaques de hameçonnage, ils copient généralement les communications officielles de l'entreprise pour que leurs e-mails frauduleux aient l'air authentiques.

Et comme les e-mails de DocuSign peuvent être personnalisés pour correspondre à la marque utilisant leurs services, il devient plus facile de masquer les véritables intentions du fraudeur.

Les codes QR peuvent renforcer la tromperie en "accordant" l'accès au document qui doit être signé. En réalité, le code QR envoie les scanners vers un site Web malveillant qui capture toutes les informations personnelles saisies.

Cette méthode peut sérieusement affecter la confiance des gens envers les codes QR, les amenant à se demander : "Les codes QR sont-ils sûrs ?"

Code QR Malicious OneService Lite à Singapour

Début 2023, le Bureau des services municipaux (MSO) de Singapour a commencé à recevoir des signalements d'un faux code QR imitant le code QR légitime de OneService Lite.

OneService est une plateforme lancée par le gouvernement singapourien qui aide les citoyens à soumettre leurs commentaires à un portail unique. Cela facilite le processus de retour d'information car les citoyens concernés n'ont pas besoin de chercher quelle agence ou quel conseil municipal contacter.

Malheureusement, le faux code QR redirige les gens vers un formulaire de feedback où ils doivent soumettre leurs informations personnelles.

Cela a incité le MSO à lancer des enquêtes sur la question. Ils et divers conseils municipaux ont également initié des vérifications de chaque code QR OneService Lite et ont conseillé au public de vérifier l'adresse web du code QR avant de soumettre toute information.

Les codes QR sont-ils sûrs ?

Avec toutes ces statistiques et ces exemples concrets de quishing, il est facile de penser que les codes QR sont trop dangereux à utiliser. Mais cela ne pourrait pas être plus éloigné de la vérité.

Alors que les codes QR peuvent donner accès à des liens malveillants, ils ne nuisent pas aux personnes. Tout comme une porte, leur seul but est de vous laisser entrer, même si la "pièce" dans laquelle vous entrez peut être dangereuse.

Avec un générateur de code QR dynamique En ligne, vous pouvez garantir des codes QR sûrs et fiables. Les meilleurs utilisent souvent les outils de sécurité les plus avancés, tels que l'authentification à deux facteurs, les audits internes et la surveillance 24/7.

Comment d'autre code QR sécurisé et être en sécurité ? En utilisant une autre fonctionnalité dynamique appelée protection par mot de passe. Les codes QR dynamiques sont plus avancés, ils sont accompagnés d'un mot de passe.

Si le mot de passe que vous connaissez ne fonctionne pas, vous serez empêché d'accéder au contenu du code QR. En ce qui concerne les faux codes QR, cela vous protégera.

Les scanners de codes QR affichent également des aperçus des liens intégrés dans les codes QR, ce qui constitue une autre couche de sécurité que vous pouvez utiliser pour éviter les attaques malveillantes.

Pour repérer un lien sécurisé, recherchez un symbole de "verrou" lors de l'aperçu. Ce symbole signifie que le lien est crypté et sécurisé par une certification Secure Sockets Layer (SSL).

Ce que vous devez faire pour éviter les attaques de phishing

Pour éviter de devenir victime d'attaques de quishing, gardez à l'esprit les points suivants avant de scanner des codes QR :

Évitez de scanner les codes QR situés dans des endroits aléatoires ou suspects.
Si vous êtes dans un lieu public, vérifiez s'il y a des signes de manipulation du code QR.
Recherchez les indicateurs courants d'une arnaque dans les e-mails contenant des codes QR (mauvaise grammaire, fautes de frappe, images floues)
Si le code QR demande des informations sensibles, réfléchissez à la nécessité d'obtenir ce que le code est censé vous donner.
Pour ceux qui gèrent leurs finances, comprendre l'importance de l'établissement d'un budget est essentiel, et vous pouvez trouver utile conseils de budgétisation pour aider à naviguer à travers les défis financiers.
Vérifiez toujours l'adresse URL que votre appareil photo ou votre scanner de code QR vous montre après avoir scanné un code QR. Si le lien semble suspect, ne l'ouvrez pas.

Créez des codes QR sûrs et fiables avec QR TIGER

Si vous envisagez d'utiliser des codes QR dans votre vie personnelle ou professionnelle, vous devriez toujours vous assurer que les codes que vous générez sont sûrs et sécurisés.

Nous avons vu comment faire cela. Ce que vous devez faire ensuite, c'est trouver une plateforme de codes QR sûre, sécurisée et fiable.

Le système de QR TIGER est conforme aux réglementations GDPR et CCPA ainsi qu'aux normes de sécurité de l'ISO-27001, vous offrant des codes QR sécurisés, modifiables et traçables.

Nous proposons également toute une gamme d'autres fonctionnalités : protection par mot de passe pour vos codes QR et authentification à deux facteurs pour votre compte. Avec cela, vous pouvez être sûr que vos scans sont en sécurité avec nous.

Armé de statistiques et d'exemples clés sur le phishing par code QR, vos codes QR seront sûrs à utiliser et feront confiance à tous.