On pensait nos boîtes aux lettres à l’abri des cyberattaques. Erreur. Depuis quelques semaines, un nouveau type de « quishing » (phishing par QR Code) fait des ravages. Le piège est physique : un avis de passage, glissé entre deux publicités, qui vous invite à scanner un code pour récupérer un mystérieux colis de Noël. Chez France-Inverse, on a décortiqué ce document qui ressemble à s’y méprendre à un original, mais qui n’est qu’une porte d’entrée vers votre compte bancaire.
Le scénario : le faux « manqué » qui coûte cher
Le rituel est connu de tous. Vous rentrez du travail, vous ouvrez la boîte et vous tombez sur ce petit papier jaune ou blanc. *« Absent lors de notre passage »*. Agacement classique. Mais cette fois, pas d’adresse de bureau de poste, juste un gros QR Code avec la mention : « Scannez pour reprogrammer votre livraison ou choisir un point relais ».
C’est ici que l’ingénierie sociale entre en jeu. La curiosité. L’urgence. L’envie de recevoir ce cadeau qu’on attend. On sort le smartphone, on scanne, et en une seconde, on quitte le monde réel pour une interface pirate. C’est propre, c’est rapide, et c’est redoutable.
Pourquoi c’est plus dangereux qu’un simple SMS ?
La force de cette arnaque, c’est le support. Nous avons une confiance naturelle dans ce qui est imprimé et déposé physiquement chez nous. Un SMS paraît souvent suspect ; un papier dans la boîte aux lettres, beaucoup moins. Pourtant, le butin recherché est le même : vos identifiants de connexion et vos numéros de carte.
Le site derrière le QR Code est souvent une réplique parfaite de La Poste ou de Chronopost. On vous demande de confirmer votre identité et, sous prétexte de « frais de reprogrammation » de 0,48€ ou 0,90€, on récupère vos données de paiement. Le préjudice ? Souvent des milliers d’euros détournés quelques heures plus tard via des achats à l’autre bout du monde.
Débusquer le faux avis : l’œil de lynx
Rien n’est parfait, même chez les escrocs. Voici comment nous les avons grillés :
- L’absence de numéro de suivi manuscrit : Un vrai facteur écrit souvent le numéro de colis ou votre nom à la main. Les avis pirates sont intégralement imprimés, QR Code compris, pour être distribués massivement.
- L’adresse web derrière le scan : Avant de valider l’ouverture du lien sur votre téléphone, regardez l’URL qui s’affiche. Si vous voyez du
bit.ly, dut.coou un domaine obscur commereception-colis-nowel.fr, fuyez. - Le papier trop parfait (ou trop bas de gamme) : Les transporteurs officiels utilisent des papiers spécifiques, souvent avec des prédécoupes ou des textures précises. Une simple feuille A5 découpée aux ciseaux est une preuve évidente de fraude.
Le plan d’urgence : j’ai scanné, je fais quoi ?
Si le doute arrive juste après le clic, réagissez à la seconde :
- Fermez l’onglet et videz votre cache : Pour éviter que des scripts malveillants ne tournent en arrière-plan.
- Opposition immédiate : Si vous avez rempli le formulaire de paiement, n’attendez pas de voir un débit. Appelez votre banque.
- Changez vos mots de passe : Si vous avez utilisé vos identifiants « La Poste » ou « Ameli », changez-les partout où vous utilisez le même mot de passe.
