Question récurrente, surtout depuis que les QR codes sont partout : un QR peut-il être falsifié ? Réponse courte : oui, dans certains cas, et c’est exactement pour ça que comprendre la mécanique compte. Examinons les vraies attaques observées sur le terrain, et les défenses pratiques.
Ce que « falsifier » veut dire ici
Falsifier un QR code n’a pas le même sens que falsifier un billet de banque. Le QR code n’est pas en soi un objet sécurisé : c’est un encodage visuel d’une URL ou d’un texte. La question n’est donc pas « peut-on contrefaire le visuel ? » (oui, trivialement — il suffit de l’imprimer) mais « peut-on tromper la cible ? ». Et c’est là que les attaques deviennent intéressantes.
Attaque n°1 : le sticker qui en remplace un autre
L’attaque la plus simple et la plus courante : un attaquant imprime son propre QR code sur un sticker, et le colle par-dessus le QR légitime. Le visiteur scanne, atterrit sur la page de l’attaquant — typiquement un faux site de paiement ou un faux portail Wi-Fi.
Ce type d’attaque a été massivement documenté sur les bornes de paiement parking, les menus de restaurant, et les affiches publicitaires en lieu public. La défense est moins technique qu’opérationnelle : vérifier visuellement le support (un sticker collé par-dessus se voit), former les équipes terrain à inspecter les QR codes accessibles, et utiliser des supports physiquement protégés (laminage, intégration au mobilier) là où c’est possible.
Attaque n°2 : le QR phishing par email ou SMS
Le « quishing » — phishing par QR code — utilise le QR comme contournement des filtres anti-phishing classiques. Un mail contient une image avec un QR ; les filtres mail, qui scrutent les liens texte, ne voient rien d’anormal. L’utilisateur scanne avec son téléphone (souvent un appareil moins protégé que son PC) et atterrit sur le faux site.
Cette attaque a explosé entre 2022 et 2025. Les défenses : sensibilisation des équipes (un QR dans un mail est un signal de risque), filtres mail capables d’inspecter le contenu des images, politique d’authentification multifacteur sur les portails sensibles.
Attaque n°3 : la cible légitime qui devient malveillante
Cas plus subtil : un QR code statique pointe vers un domaine qui était légitime au moment de l’impression, mais dont le propriétaire change ensuite (rachat, expiration de domaine, compromission). Le QR continue de fonctionner, mais la cible est désormais hostile.
C’est l’argument le plus solide en faveur du QR code dynamique côté pro. Avec un QR dynamique, vous gardez la main sur la redirection : si la cible doit changer ou si vous détectez un abus, vous redirigez en quelques secondes. Avec un QR statique, le visuel imprimé est figé pour toujours.
Attaque n°4 : la copie de QR sur produit contrefait
Pour les marques qui utilisent un QR pour signaler l’authenticité d’un produit (luxe, cosmétique, vin, médicaments), un contrefacteur peut simplement copier le QR du produit authentique sur sa contrefaçon. Le QR seul n’authentifie rien — il pointe juste vers une page.
Les défenses sérieuses contre ce vecteur exigent une couche logique au-delà du QR : numéro de série unique encodé, lien avec un référentiel produit, signature cryptographique de la cible (idéalement via GS1 Digital Link avec authentification), ou couplage avec un élément physique non-reproductible (NFC, hologramme, marquage sécurisé). Le QR seul est nécessaire mais insuffisant.
Comment se protéger côté marque
Quatre pratiques font la différence sur la durée :
- Préférer les QR dynamiques pour tout usage durable, pour conserver la maîtrise de la cible.
- Utiliser un domaine maîtrisé pour la redirection (votre domaine de marque ou celui de votre fournisseur QR), jamais une URL anonyme.
- Surveiller les scans anormaux via les analytics (pic soudain depuis un pays inhabituel, scans nocturnes massifs).
- Inspecter physiquement les QR exposés en lieu public, à intervalle régulier.
Et côté consommateur ?
Trois réflexes simples : vérifier que l’URL qui s’affiche après le scan correspond à la marque attendue (et pas à une variante orthographique louche), ne jamais saisir un mot de passe ou un moyen de paiement après avoir scanné un QR sans avoir vérifié l’URL, et se méfier d’un QR qui semble avoir été collé par-dessus un autre support.
Le rôle d’une plateforme sérieuse
Sur un usage pro à grande échelle, la plateforme de génération QR n’est pas qu’un générateur d’images : elle est responsable de la résilience de toute la chaîne. Hébergement de la redirection sur infrastructure stable, monitoring en continu, journalisation complète des scans, possibilité de désactiver instantanément un QR compromis, conformité GS1 Digital Link pour les usages sensibles. C’est exactement le périmètre couvert par Unitag.
Le QR code n’est ni intrinsèquement sûr ni intrinsèquement dangereux — c’est un standard d’encodage. Ce qui le rend sûr ou pas, c’est la chaîne autour : qui contrôle la cible, qui surveille l’usage, qui peut intervenir en cas d’incident. C’est cette chaîne qui mérite l’attention, pas le visuel pixelisé.