Ne scannez surtout pas ! Le FBI alerte sur des QR codes piégés dans des colis, L’arnaque la plus sournoise de 2025

C’est avéré. Le FBI (via l’IC3) met en garde contre une arnaque où des criminels envoient des colis non sollicités contenant une carte ou un feuillet avec un QR code. Une fois scanné, ce code peut :

• vous rediriger vers un faux site qui vole identifiants et données bancaires ;

• vous pousser à télécharger un logiciel malveillant sur votre téléphone.

Des organismes de protection des consommateurs confirment la tendance et détaillent les signes à repérer et les bons réflexes.

Comment l’arnaque se déroule (pas à pas)

1. Le colis “mystère”

   Vous recevez un paquet que vous n’attendiez pas. Souvent sans expéditeur clair ou au nom d’une boutique inconnue. À l’intérieur : une carte avec un QR code et un message accrocheur (cadeau à réclamer, confirmation de livraison, enquête de satisfaction, retour de produit, etc.).

2. Le piège psychologique

   Le texte joue sur l’urgence (expiration d’un avantage) ou la curiosité (“scannez pour savoir qui vous a envoyé ce cadeau”).

3. La redirection

   Après scan, vous êtes envoyé vers :

• un site factice qui imite un transporteur ou un e‑commerce et demande carte bancaire / identifiants ;

• ou une page qui tente d’installer une application malveillante (surtout hors stores officiels).

4. La conséquence

   
   

   Vol de données, paiements frauduleux, compromission du téléphone.

Variante fréquente : c’est une évolution des “brushing scams” (envois de colis pour générer de faux avis), désormais agrémentées d’un QR code pour voler vos données.

Les signes qui doivent vous alerter (check‑list)

• Colis inattendu ou sans expéditeur identifiable.

• Message qui presse d’agir (compte à rebours, “dernière chance”, frais à payer).

• QR code qui promet un cadeau, un remboursement ou la vérification d’une livraison.

• URL d’atterrissage bizarre (fautes, domaine inconnu, sous‑domaines alambiqués).

Les bons réflexes (immédiatement utiles)

Avant tout :

• Ne scannez pas un QR code non sollicité. Point.

• Pour vérifier une livraison, allez directement sur le site officiel (La Poste, DHL, UPS, FedEx…) en tapant l’adresse vous‑même, ou via l’app officielle. Ne passez jamais par le code.

Si vous avez scanné (mais rien saisi) :

• Fermez la page ; effacez l’historique/onglets ; passez un scan antivirus mobile si vous en avez un ; surveillez les notifications d’accès inhabituelles.

Si vous avez saisi des infos / installé une app :

1. Coupez les connexions sensibles (banque, mail).

2. Changez immédiatement les mots de passe touchés (et tous ceux réutilisés).

3. Activez la 2FA (authentification à deux facteurs).

4. Prévenez votre banque et surveillez vos comptes ; envisagez un gel/fraude selon votre pays.

5. Désinstallez toute appli inconnue ; si doute persistant, sauvegarde + réinitialisation de l’appareil.

6. Signalez l’incident :

   
   

   • au FBI/IC3 (utile même hors US si le site/acteur est américain),

   • au service antifraude du transporteur concerné (ex. FedEx/UPS),

   • et à votre autorité nationale de cybersécurité/consommation.

     
     
   
   

Pourquoi les QR codes sont risqués (et comment réduire le risque)

• Un QR code cache sa destination : vous ne voyez l’URL qu’après le scan. Utilisez un lecteur qui pré‑affiche l’URL et vérifiez le domaine avant d’ouvrir.

• Méfiez‑vous des QR codes dans l’espace public (affiches, parkings) ou ajoutés par‑dessus des supports officiels.

• N’installez jamais d’appli proposée après scan si elle n’est pas dans l’App Store/Google Play.

  
  

TL;DR

• Oui, l’alerte est réelle : des QR codes dans des colis servent à voler données et argent.

• Ne scannez pas les codes non sollicités ; vérifiez vos livraisons via les sites/applications officielles ; ne donnez aucune info après un simple scan.

• En cas de doute ou de saisie, changez vos mots de passe, prévenez la banque, et signalez l’arnaque.