Senior lisant un courrier contenant un QR code suspect © SeniorActu
Le « quishing », une arnaque qui explose en ce début d'année
Les cybercriminels ont trouvé une nouvelle porte d'entrée pour atteindre leurs victimes : la boîte aux lettres. Depuis plusieurs semaines, une vague d'escroqueries par courrier postal déferle sur la France. Le principe est redoutable de simplicité : un courrier d'apparence officielle contenant un QR code piégé qui, une fois scanné, redirige vers un faux site conçu pour voler vos données bancaires.
Cette technique porte un nom : le « quishing », contraction de « QR code » et « phishing » (hameçonnage). Selon les experts en cybersécurité, ce type d'attaque représente désormais 25% des tentatives de phishing, en forte progression depuis 2024. L'avantage pour les escrocs ? Les filtres anti-spam des messageries électroniques ne peuvent pas analyser une image imprimée sur papier. Le QR code échappe donc à toutes les protections numériques classiques.
Concrètement, lorsque vous scannez le code avec votre smartphone, vous êtes redirigé vers un site qui imite parfaitement celui de votre banque, de l'Assurance Maladie ou d'un transporteur. L'interface est soignée, les logos sont présents, rien ne semble suspect. C'est précisément là que le piège se referme : on vous demande de saisir vos identifiants, vos mots de passe, voire vos coordonnées bancaires. En quelques secondes, les escrocs récupèrent tout ce dont ils ont besoin pour vider votre compte.
Cette technique porte un nom : le « quishing », contraction de « QR code » et « phishing » (hameçonnage). Selon les experts en cybersécurité, ce type d'attaque représente désormais 25% des tentatives de phishing, en forte progression depuis 2024. L'avantage pour les escrocs ? Les filtres anti-spam des messageries électroniques ne peuvent pas analyser une image imprimée sur papier. Le QR code échappe donc à toutes les protections numériques classiques.
Concrètement, lorsque vous scannez le code avec votre smartphone, vous êtes redirigé vers un site qui imite parfaitement celui de votre banque, de l'Assurance Maladie ou d'un transporteur. L'interface est soignée, les logos sont présents, rien ne semble suspect. C'est précisément là que le piège se referme : on vous demande de saisir vos identifiants, vos mots de passe, voire vos coordonnées bancaires. En quelques secondes, les escrocs récupèrent tout ce dont ils ont besoin pour vider votre compte.
⚠️ Fausse carte bancaire
Courrier imitant votre banque
Carte factice jointe + QR code « d'activation »
⚠️ Faux courrier CPAM
« Sécurisation compte Ameli »
Délai 72h imposé + QR code « officiel »
⚠️ Faux avis de passage
Imitation La Poste/Chronopost
QR code pour « reprogrammer livraison »
Pourquoi les seniors sont particulièrement visés
Les retraités constituent une cible privilégiée pour les escrocs, et ce pour plusieurs raisons convergentes. D'abord, selon l'INSEE, 62% des personnes de plus de 75 ans sont en situation d'illectronisme, c'est-à-dire qu'elles ne maîtrisent pas les compétences numériques de base. Cette méconnaissance des outils digitaux rend plus difficile l'identification d'un site frauduleux après avoir scanné un QR code. Les indices qui alerteraient un utilisateur averti, comme une URL suspecte ou un certificat de sécurité absent, passent souvent inaperçus.
Ensuite, les seniors détiennent souvent une épargne plus importante que les autres tranches d'âge, ce qui en fait des cibles à fort potentiel pour les fraudeurs. Les données de l'Observatoire de la sécurité des moyens de paiement de la Banque de France sont éloquentes : le montant moyen perdu lors d'une fraude en ligne dépasse 2 000 euros pour les 65 ans et plus, contre 1 310 euros pour les 25-44 ans. L'écart est considérable et explique pourquoi les escrocs concentrent leurs efforts sur cette population.
L'isolement social constitue un autre facteur de vulnérabilité. Selon la Fondation de France, environ 800 000 seniors de plus de 75 ans sont victimes d'abus de faiblesse ou d'escroqueries chaque année en France. Les personnes vivant seules, moins entourées pour demander conseil face à un courrier suspect, sont particulièrement exposées.
Enfin, le format papier inspire davantage confiance que les emails ou les SMS. Les personnes âgées, habituées depuis des décennies à recevoir des courriers officiels de leur caisse de retraite, de leur mutuelle ou de leur banque, peuvent plus facilement baisser leur garde face à une lettre bien imitée. Les escrocs l'ont bien compris : en revenant au courrier postal, ils contournent la méfiance que suscitent désormais les messages électroniques.
Ensuite, les seniors détiennent souvent une épargne plus importante que les autres tranches d'âge, ce qui en fait des cibles à fort potentiel pour les fraudeurs. Les données de l'Observatoire de la sécurité des moyens de paiement de la Banque de France sont éloquentes : le montant moyen perdu lors d'une fraude en ligne dépasse 2 000 euros pour les 65 ans et plus, contre 1 310 euros pour les 25-44 ans. L'écart est considérable et explique pourquoi les escrocs concentrent leurs efforts sur cette population.
L'isolement social constitue un autre facteur de vulnérabilité. Selon la Fondation de France, environ 800 000 seniors de plus de 75 ans sont victimes d'abus de faiblesse ou d'escroqueries chaque année en France. Les personnes vivant seules, moins entourées pour demander conseil face à un courrier suspect, sont particulièrement exposées.
Enfin, le format papier inspire davantage confiance que les emails ou les SMS. Les personnes âgées, habituées depuis des décennies à recevoir des courriers officiels de leur caisse de retraite, de leur mutuelle ou de leur banque, peuvent plus facilement baisser leur garde face à une lettre bien imitée. Les escrocs l'ont bien compris : en revenant au courrier postal, ils contournent la méfiance que suscitent désormais les messages électroniques.
Comment reconnaître un courrier piégé
Plusieurs indices permettent de démasquer ces faux courriers avant qu'il ne soit trop tard. L'absence de personnalisation est le premier signal d'alerte : un courrier officiel de votre banque, de l'Assurance Maladie ou de votre caisse de retraite mentionne toujours votre nom, prénom et adresse en haut du document. Les faux courriers, eux, restent génériques pour pouvoir être distribués en masse dans les boîtes aux lettres d'un quartier entier.
L'urgence imposée constitue un autre indice majeur. Les escrocs fixent systématiquement un délai très court, généralement 48 ou 72 heures, sous menace de blocage de compte ou de suspension de droits. Cette pression vise à vous faire agir dans la précipitation, sans prendre le temps de vérifier. Or, aucun organisme officiel ne procède ainsi. L'Assurance Maladie rappelle d'ailleurs sur son site qu'elle n'utilise jamais de QR code pour réaliser une transaction ou une démarche administrative. Seuls des QR codes informatifs, renvoyant vers des pages d'information générale, peuvent figurer sur ses documents.
Du côté des banques, la règle est tout aussi claire : aucun établissement bancaire n'envoie de nouvelle carte avec activation par QR code. Si vous recevez une carte bancaire accompagnée d'un courrier vous demandant de scanner un code pour l'activer, il s'agit à coup sûr d'une arnaque. Les vraies cartes bancaires s'activent lors du premier retrait au distributeur avec votre code PIN, jamais via un site internet.
Attention également aux enveloppes blanches non affranchies, simplement déposées dans les boîtes aux lettres sans passer par La Poste. Les vrais courriers officiels sont toujours affranchis et portent un cachet postal. Si l'enveloppe ne comporte aucun timbre ni oblitération, méfiez-vous. Pour en savoir plus sur les tentatives de fraude et les moyens de s'en protéger, consultez le site Cybermalveillance.gouv.fr, le portail gouvernemental dédié à l'assistance aux victimes.
L'urgence imposée constitue un autre indice majeur. Les escrocs fixent systématiquement un délai très court, généralement 48 ou 72 heures, sous menace de blocage de compte ou de suspension de droits. Cette pression vise à vous faire agir dans la précipitation, sans prendre le temps de vérifier. Or, aucun organisme officiel ne procède ainsi. L'Assurance Maladie rappelle d'ailleurs sur son site qu'elle n'utilise jamais de QR code pour réaliser une transaction ou une démarche administrative. Seuls des QR codes informatifs, renvoyant vers des pages d'information générale, peuvent figurer sur ses documents.
Du côté des banques, la règle est tout aussi claire : aucun établissement bancaire n'envoie de nouvelle carte avec activation par QR code. Si vous recevez une carte bancaire accompagnée d'un courrier vous demandant de scanner un code pour l'activer, il s'agit à coup sûr d'une arnaque. Les vraies cartes bancaires s'activent lors du premier retrait au distributeur avec votre code PIN, jamais via un site internet.
Attention également aux enveloppes blanches non affranchies, simplement déposées dans les boîtes aux lettres sans passer par La Poste. Les vrais courriers officiels sont toujours affranchis et portent un cachet postal. Si l'enveloppe ne comporte aucun timbre ni oblitération, méfiez-vous. Pour en savoir plus sur les tentatives de fraude et les moyens de s'en protéger, consultez le site Cybermalveillance.gouv.fr, le portail gouvernemental dédié à l'assistance aux victimes.
Les réflexes qui peuvent vous sauver
Face à cette menace grandissante, quelques réflexes simples peuvent vous éviter de perdre vos économies. La première règle, la plus importante, est de ne jamais scanner un QR code reçu par courrier non sollicité. Si vous n'avez pas fait de démarche récente auprès de l'organisme supposé vous écrire, considérez ce courrier comme suspect par défaut.
En cas de doute sur un courrier, ne composez jamais les numéros de téléphone indiqués dans la lettre suspecte. Ces numéros peuvent être ceux des escrocs eux-mêmes. Prenez plutôt le temps de rechercher les coordonnées officielles de l'organisme : le 3646 pour l'Assurance Maladie, le numéro figurant au dos de votre carte bancaire pour votre banque, ou encore le site service-public.fr pour toute administration.
Si vous avez déjà scanné un QR code suspect et saisi des informations, chaque minute compte. Contactez immédiatement votre banque pour faire opposition sur votre carte et bloquer tout virement frauduleux. Changez sans attendre tous vos mots de passe, en commençant par ceux de votre espace bancaire en ligne et de votre compte Ameli. Signalez ensuite la fraude sur la plateforme Perceval du ministère de l'Intérieur si votre carte bancaire a été utilisée, ou sur 17Cyber.gouv.fr pour toute autre cybermalveillance.
Enfin, parlez de ces arnaques autour de vous. Prévenez vos proches, vos voisins, les membres de votre famille qui pourraient être moins informés. Un simple coup de téléphone pour alerter un parent âgé peut lui éviter de perdre ses économies. Face aux escrocs, l'information reste notre meilleure protection.
1️⃣ Ne scannez jamais
Règle d'or
Ne scannez aucun QR code reçu par courrier non sollicité
2️⃣ Vérifiez par vous-même
En cas de doute
Appelez l'organisme via ses coordonnées officielles (3646 pour l'Assurance Maladie, numéro au dos de votre vraie carte bancaire)
3️⃣ Signalez
Si vous êtes victime
Faites opposition, changez vos mots de passe, signalez sur 17Cyber.gouv.fr
En cas de doute sur un courrier, ne composez jamais les numéros de téléphone indiqués dans la lettre suspecte. Ces numéros peuvent être ceux des escrocs eux-mêmes. Prenez plutôt le temps de rechercher les coordonnées officielles de l'organisme : le 3646 pour l'Assurance Maladie, le numéro figurant au dos de votre carte bancaire pour votre banque, ou encore le site service-public.fr pour toute administration.
Si vous avez déjà scanné un QR code suspect et saisi des informations, chaque minute compte. Contactez immédiatement votre banque pour faire opposition sur votre carte et bloquer tout virement frauduleux. Changez sans attendre tous vos mots de passe, en commençant par ceux de votre espace bancaire en ligne et de votre compte Ameli. Signalez ensuite la fraude sur la plateforme Perceval du ministère de l'Intérieur si votre carte bancaire a été utilisée, ou sur 17Cyber.gouv.fr pour toute autre cybermalveillance.
Enfin, parlez de ces arnaques autour de vous. Prévenez vos proches, vos voisins, les membres de votre famille qui pourraient être moins informés. Un simple coup de téléphone pour alerter un parent âgé peut lui éviter de perdre ses économies. Face aux escrocs, l'information reste notre meilleure protection.
Sources :
- Cybermalveillance.gouv.fr, novembre 2025
- Ameli.fr, janvier 2026
- Observatoire de la sécurité des moyens de paiement, Banque de France, 2022
- Cybermalveillance.gouv.fr, novembre 2025
- Ameli.fr, janvier 2026
- Observatoire de la sécurité des moyens de paiement, Banque de France, 2022
Pour aller plus loin :
- Arnaques visant les seniors en 2026 : les 8 fraudes les plus dangereuses et comment s'en protéger
- Arnaques visant les seniors en 2026 : les 8 fraudes les plus dangereuses et comment s'en protéger
