Sécurité des QR codes en restauration et commerce : risques et solutions
Mis à jour le 29 mars 2026
Sécurité des QR codes en restauration et commerce : risques et solutions
Depuis la pandémie, 83% des restaurants en France utilisent des QR codes pour leurs menus. Les commerces les déploient pour les paiements, les avis clients et les programmes de fidélité. Mais cette omniprésence attire les cybercriminels. Des arnaques aux QR codes frappent des établissements partout en France.
Sommaire
Les QR codes dans le commerce : un usage massif
Les QR codes sont devenus un outil du quotidien pour les restaurants, commerces et prestataires de services.
Usages courants
- Menus numériques : le client scanne un QR code sur la table pour consulter la carte
- Paiement : QR codes sur les terminaux de paiement ou les factures
- Avis clients : QR code renvoyant vers Google Reviews ou TripAdvisor
- Programme de fidélité : scan pour cumuler des points
- Informations produit : accès aux fiches produits, allergènes, traçabilité
- Wi-Fi invité : QR code pour se connecter automatiquement
Cette adoption massive crée une habitude : les consommateurs scannent les QR codes sans réfléchir. C’est exactement ce que les cybercriminels exploitent avec le quishing.
Les menaces concrètes pour les commerçants
Les cybercriminels ciblent directement les commerçants et leurs clients.
Remplacement de QR codes
La technique la plus simple et la plus efficace : coller un faux QR code par-dessus le vôtre. Le client scanne le faux QR code pensant accéder à votre menu ou votre page de paiement. Il est redirigé vers un site frauduleux.
Cette technique est difficile à repérer car le faux autocollant est souvent du même format que l’original. Un passage régulier dans votre établissement pour vérifier vos QR codes est indispensable.
Détournement de paiement
Un faux QR code de paiement renvoie vers une page imitant votre terminal de paiement. Le client saisit ses coordonnées bancaires sur un site frauduleux. L’argent ne vous parvient jamais.
Vol de données clients
Le QR code mène vers une fausse page Wi-Fi, un faux programme de fidélité ou un faux formulaire d’avis. Les données personnelles des clients (email, téléphone, données bancaires) sont capturées.
Atteinte à votre réputation
Si vos clients sont victimes d’une arnaque via un QR code dans votre établissement, votre image est directement impactée. Même si vous n’êtes pas responsable, la confiance est rompue.
Point clé : Un cybercriminel n’a besoin que de quelques secondes pour coller un faux QR code sur votre comptoir, votre table ou votre vitrine. Un simple autocollant peut suffire à détourner les paiements de vos clients pendant des jours avant que quelqu’un ne s’en aperçoive.
Les arnaques les plus fréquentes
Voici les scénarios les plus courants observés en France.
L’arnaque au faux menu
Un QR code collé sur une table de restaurant mène vers un site qui demande les coordonnées bancaires pour « pré-payer » ou « réserver ». Le restaurateur n’a aucune idée que ses QR codes ont été remplacés.
L’arnaque au parcmètre
Des faux QR codes sont collés sur les horodateurs ou les bornes de stationnement près des commerces. Les victimes pensent payer leur stationnement et communiquent leurs données bancaires.
L’arnaque au faux avis
Un QR code censé mener vers Google Reviews redirige vers un site qui demande de se connecter avec son compte Google. L’identifiant et le mot de passe sont capturés.
L’arnaque au Wi-Fi gratuit
Un QR code proposant un accès Wi-Fi gratuit dans votre commerce connecte le client à un réseau malveillant. Tout son trafic est intercepté (technique man-in-the-middle).
Protéger votre établissement
Des mesures simples et peu coûteuses permettent de sécuriser vos QR codes.
Sécurité physique des QR codes
- Intégrer les QR codes directement aux supports (gravure, impression sous plastification) plutôt que de simples autocollants faciles à remplacer
- Utiliser des cadres ou des supports fixes qui rendent le remplacement visible
- Personnaliser vos QR codes avec votre logo et vos couleurs pour qu’un remplacement soit repérable
- Inspecter quotidiennement tous vos QR codes, surtout ceux accessibles au public
- Numéroter vos QR codes et tenir un inventaire
Sécurité technique
- Utiliser des QR codes dynamiques : la destination peut être modifiée sans changer le code imprimé, utile en cas de compromission
- Héberger la page de destination sur votre propre domaine sécurisé en HTTPS
- Utiliser un générateur de QR codes fiable et vérifier le résultat avant déploiement
- Monitorer les accès aux pages liées à vos QR codes pour détecter des anomalies
Bonnes pratiques
- Afficher l’URL en clair à côté du QR code pour que les clients puissent vérifier
- Ne jamais demander de données bancaires via un QR code de menu
- Former votre personnel à vérifier les QR codes et à réagir en cas de signalement
- Avoir une page web officielle listant vos vrais QR codes et leur destination
Protéger vos clients
Informez vos clients des bonnes pratiques pour les aider à se protéger.
- Afficher un message de vigilance près de vos QR codes : « Vérifiez que l’URL commence par [votre domaine] »
- Proposer une alternative manuelle : l’URL accessible directement sans scanner le QR code
- Former votre personnel à répondre aux inquiétudes des clients sur la sécurité
- Mettre en place un canal de signalement si un client suspecte un QR code frauduleux
Besoin d’accompagnement ?
Audit de vos QR codes, mise en place de solutions sécurisées et formation de votre équipe : Odyssix protège votre établissement et vos clients contre les arnaques aux QR codes.
Rédigé par l'équipe Odyssix
Experts IT, Cybersécurité & Digital depuis 2018
Odyssix accompagne les PME dans leur transformation numérique et la sécurisation de leur système d'information. Nos experts certifiés (CEH, OSCP, ISO 27001) partagent leur expérience terrain à travers nos articles de blog.
Besoin d'en savoir plus ?
Contactez nos experts pour une démonstration personnalisée.
