Question r\u00e9currente, surtout depuis que les QR codes sont partout : un QR peut-il \u00eatre falsifi\u00e9 ? R\u00e9ponse courte : oui, dans certains cas, et c’est exactement pour \u00e7a que comprendre la m\u00e9canique compte. Examinons les vraies attaques observ\u00e9es sur le terrain, et les d\u00e9fenses pratiques.<\/p>\n\n\n\n
Falsifier un QR code n’a pas le m\u00eame sens que falsifier un billet de banque. Le QR code n’est pas en soi un objet s\u00e9curis\u00e9 : c’est un encodage visuel d’une URL ou d’un texte. La question n’est donc pas \u00ab peut-on contrefaire le visuel ? \u00bb (oui, trivialement \u2014 il suffit de l’imprimer) mais \u00ab peut-on tromper la cible ? \u00bb. Et c’est l\u00e0 que les attaques deviennent int\u00e9ressantes.<\/p>\n\n\n\n
L’attaque la plus simple et la plus courante : un attaquant imprime son propre QR code sur un sticker, et le colle par-dessus le QR l\u00e9gitime. Le visiteur scanne, atterrit sur la page de l’attaquant \u2014 typiquement un faux site de paiement ou un faux portail Wi-Fi.<\/p>\n\n\n\n
Ce type d’attaque a \u00e9t\u00e9 massivement document\u00e9 sur les bornes de paiement parking, les menus de restaurant, et les affiches publicitaires en lieu public. La d\u00e9fense est moins technique qu’op\u00e9rationnelle : v\u00e9rifier visuellement le support (un sticker coll\u00e9 par-dessus se voit), former les \u00e9quipes terrain \u00e0 inspecter les QR codes accessibles, et utiliser des supports physiquement prot\u00e9g\u00e9s (laminage, int\u00e9gration au mobilier) l\u00e0 o\u00f9 c’est possible.<\/p>\n\n\n\n
Le \u00ab quishing \u00bb \u2014 phishing par QR code \u2014 utilise le QR comme contournement des filtres anti-phishing classiques. Un mail contient une image avec un QR ; les filtres mail, qui scrutent les liens texte, ne voient rien d’anormal. L’utilisateur scanne avec son t\u00e9l\u00e9phone (souvent un appareil moins prot\u00e9g\u00e9 que son PC) et atterrit sur le faux site.<\/p>\n\n\n\n
Cette attaque a explos\u00e9 entre 2022 et 2025. Les d\u00e9fenses : sensibilisation des \u00e9quipes (un QR dans un mail est un signal de risque), filtres mail capables d’inspecter le contenu des images, politique d’authentification multifacteur sur les portails sensibles.<\/p>\n\n\n\n
Cas plus subtil : un QR code statique pointe vers un domaine qui \u00e9tait l\u00e9gitime au moment de l’impression, mais dont le propri\u00e9taire change ensuite (rachat, expiration de domaine, compromission). Le QR continue de fonctionner, mais la cible est d\u00e9sormais hostile.<\/p>\n\n\n\n
C’est l’argument le plus solide en faveur du QR code dynamique<\/strong> c\u00f4t\u00e9 pro. Avec un QR dynamique, vous gardez la main sur la redirection : si la cible doit changer ou si vous d\u00e9tectez un abus, vous redirigez en quelques secondes. Avec un QR statique, le visuel imprim\u00e9 est fig\u00e9 pour toujours.<\/p>\n\n\n\n Pour les marques qui utilisent un QR pour signaler l’authenticit\u00e9 d’un produit (luxe, cosm\u00e9tique, vin, m\u00e9dicaments), un contrefacteur peut simplement copier le QR du produit authentique sur sa contrefa\u00e7on. Le QR seul n’authentifie rien \u2014 il pointe juste vers une page.<\/p>\n\n\n\n Les d\u00e9fenses s\u00e9rieuses contre ce vecteur exigent une couche logique au-del\u00e0 du QR : num\u00e9ro de s\u00e9rie unique encod\u00e9, lien avec un r\u00e9f\u00e9rentiel produit, signature cryptographique de la cible (id\u00e9alement via GS1 Digital Link avec authentification), ou couplage avec un \u00e9l\u00e9ment physique non-reproductible (NFC, hologramme, marquage s\u00e9curis\u00e9). Le QR seul est n\u00e9cessaire mais insuffisant.<\/p>\n\n\n\n Quatre pratiques font la diff\u00e9rence sur la dur\u00e9e :<\/p>\n\n\n\n Trois r\u00e9flexes simples : v\u00e9rifier que l’URL qui s’affiche apr\u00e8s le scan correspond \u00e0 la marque attendue (et pas \u00e0 une variante orthographique louche), ne jamais saisir un mot de passe ou un moyen de paiement apr\u00e8s avoir scann\u00e9 un QR sans avoir v\u00e9rifi\u00e9 l’URL, et se m\u00e9fier d’un QR qui semble avoir \u00e9t\u00e9 coll\u00e9 par-dessus un autre support.<\/p>\n\n\n\n Sur un usage pro \u00e0 grande \u00e9chelle, la plateforme de g\u00e9n\u00e9ration QR n’est pas qu’un g\u00e9n\u00e9rateur d’images : elle est responsable de la r\u00e9silience de toute la cha\u00eene. H\u00e9bergement de la redirection sur infrastructure stable, monitoring en continu, journalisation compl\u00e8te des scans, possibilit\u00e9 de d\u00e9sactiver instantan\u00e9ment un QR compromis, conformit\u00e9 GS1 Digital Link pour les usages sensibles. C’est exactement le p\u00e9rim\u00e8tre couvert par Unitag<\/a>.<\/p>\n\n\n\n Le QR code n’est ni intrins\u00e8quement s\u00fbr ni intrins\u00e8quement dangereux \u2014 c’est un standard d’encodage. Ce qui le rend s\u00fbr ou pas, c’est la cha\u00eene autour : qui contr\u00f4le la cible, qui surveille l’usage, qui peut intervenir en cas d’incident. C’est cette cha\u00eene qui m\u00e9rite l’attention, pas le visuel pixelis\u00e9.<\/p>\n","protected":false},"excerpt":{"rendered":" Stickers superpos\u00e9s, quishing, domaines d\u00e9tourn\u00e9s, contrefa\u00e7ons : les quatre attaques observ\u00e9es sur le terrain et les d\u00e9fenses pratiques c\u00f4t\u00e9 marque et consommateur.<\/p>\n","protected":false},"author":5,"featured_media":19,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"content-type":"","footnotes":""},"categories":[14],"tags":[],"class_list":["post-380","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tutorials"],"_links":{"self":[{"href":"https:\/\/www.unitag.io\/blog\/wp-json\/wp\/v2\/posts\/380","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.unitag.io\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.unitag.io\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.unitag.io\/blog\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.unitag.io\/blog\/wp-json\/wp\/v2\/comments?post=380"}],"version-history":[{"count":1,"href":"https:\/\/www.unitag.io\/blog\/wp-json\/wp\/v2\/posts\/380\/revisions"}],"predecessor-version":[{"id":395,"href":"https:\/\/www.unitag.io\/blog\/wp-json\/wp\/v2\/posts\/380\/revisions\/395"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.unitag.io\/blog\/wp-json\/wp\/v2\/media\/19"}],"wp:attachment":[{"href":"https:\/\/www.unitag.io\/blog\/wp-json\/wp\/v2\/media?parent=380"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.unitag.io\/blog\/wp-json\/wp\/v2\/categories?post=380"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.unitag.io\/blog\/wp-json\/wp\/v2\/tags?post=380"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Attaque n\u00b04 : la copie de QR sur produit contrefait<\/h2>\n\n\n\n
Comment se prot\u00e9ger c\u00f4t\u00e9 marque<\/h2>\n\n\n\n
Et c\u00f4t\u00e9 consommateur ?<\/h2>\n\n\n\n
Le r\u00f4le d’une plateforme s\u00e9rieuse<\/h2>\n\n\n\n