Une carte bancaire dans votre boîte aux lettres. Puce électronique, bande magnétique, logo de votre banque reproduit fidèlement. Un courrier d’accompagnement au ton parfaitement officiel vous demande d’activer ce nouveau moyen de paiement en scannant le QR code joint. Geste devenu banal depuis le Covid. Trente secondes pour tout perdre.
Début 2026, c’est l’arnaque à la fausse carte bancaire reçue par courrier qui fait l’actualité. La Police nationale a alerté la population sur cette menace en vidéo, et les signalements se sont multipliés dans toute la France. Ce n’est pas un phishing banal : les escrocs ont changé de terrain en passant au courrier postal. Plus de SMS approximatif, plus d’e-mail avec une faute de conjugaison. Du papier, du carton, une vraie carte entre les mains.
À retenir
- Des criminels envoient de vraies fausses cartes bancaires par courrier avec des QR codes piégés
- Le quishing exploite une faille psychologique : on fait moins confiance au numérique qu’au courrier papier
- Aucune banque n’active une carte par QR code — c’est toujours une arnaque
Le piège du courrier : quand le physique désarme la vigilance
La Police nationale alerte sur une arnaque où des escrocs envoient de fausses cartes bancaires par courrier, accompagnées d’un QR code piégé censé servir à l’activation. La carte reçue paraît totalement authentique grâce à la présence du logo de votre banque, d’une puce électronique et d’une bande magnétique. Le niveau de détail est stupéfiant. Les escrocs utilisent désormais l’IA pour générer des courriers parfaitement rédigés, reproduisant fidèlement la charte graphique des banques et des administrations. Les fautes d’orthographe qui trahissaient autrefois les arnaques ont disparu.
La psychologie du piège est redoutable. Les escrocs sont passés du numérique au physique (le courrier papier) puis de retour au numérique via le QR code. Ce mouvement hybride, entre monde réel et monde numérique, est précisément ce qui le rend difficile à détecter. Tenir un objet physique entre les mains désactive une partie de notre méfiance numérique. Le cerveau assimile “courrier = officiel” depuis des décennies. Les fraudeurs le savent parfaitement.
Le mécanisme, une fois déclenché, va vite. Le courrier incite à scanner un QR code pour “activer” la carte ou “sécuriser” le compte. Ce QR code envoie vers un faux site qui imite celui de votre banque et demande identifiant, mot de passe, parfois codes SMS de validation. Votre compte peut alors être vidé en quelques minutes seulement.
Le quishing : pourquoi le QR code est l’arme parfaite
Cette technique porte un nom : le quishing. Le QR phishing ou quishing (contraction de “QR code” et de “phishing”) est une technique de piratage ou hameçonnage qui exploite la popularité des QR codes. Sa force tient à une caractéristique technique simple mais dévastatrice : contrairement à un lien dans un email, un QR code ne montre pas l’URL de destination avant que vous le scanniez. Vous ne pouvez pas vérifier où il vous envoie.
Le quishing bascule l’attaque vers le mobile. Quand vous scannez un QR code, vous passez sur votre smartphone, un environnement où les URLs sont souvent tronquées, où les indicateurs de sécurité sont moins visibles, et où vous êtes moins vigilant. Les QR codes sont plus difficiles à détecter par les filtres anti-spam ou anti-phishing. Le risque est d’autant plus élevé que les téléphones sont généralement moins bien protégés contre ce type d’attaques que les ordinateurs de bureau.
L’ampleur du phénomène donne le vertige. La Banque de France (Observatoire de la sécurité des moyens de paiement) indique qu’au 1er semestre 2025, le montant total de fraude atteint 618,4 millions d’euros pour 3,7 millions de transactions fraudées. Le phishing par code QR et par messagerie vocale ont représenté environ 20 % de toutes les attaques de phishing détectées en 2024. Et cette part ne fait que croître.
Ce qui aggrave encore la situation : l’objectif des escrocs est souvent double, récupérer vos coordonnées bancaires directement, mais aussi installer un logiciel malveillant sur votre téléphone. même si vous ne saisissez rien sur le faux site, le simple fait de l’ouvrir peut suffire à compromettre votre appareil.
Comment ne pas tomber dans le panneau
La règle numéro un est imparable et tient en une phrase : une banque n’envoie jamais de QR code pour activer une carte. L’activation se fait toujours par un premier retrait ou paiement, jamais via un lien ou un code à scanner. Si le courrier vous demande de flasher quoi que ce soit pour “activer” votre carte, c’est une arnaque. Aucune exception.
Gardez cela en tête : aucune banque ne vous enverra jamais une nouvelle carte bancaire sans vous en avoir averti au préalable. Premier signal d’alerte donc : avez-vous contacté votre banque récemment pour une perte, un renouvellement, un changement d’offre ? Les cartes bancaires ne tombent pas du ciel et n’arrivent pas dans votre boîte aux lettres tous les quatre matins. Une nouvelle carte n’est envoyée que dans certains cas : votre carte arrive à échéance, vous pouvez vérifier facilement dans votre portefeuille la date de votre carte actuelle.
Autre piège à surveiller, signalé par les experts : les fraudeurs tentent de détourner les vraies cartes virtuelles en prétendant vous faire bénéficier d’une “nouvelle carte virtuelle plus sûre”. Si vous recevez un courrier mentionnant une carte virtuelle à activer, vérifiez directement auprès de votre conseiller. Le jargon technique bien utilisé ajoute une couche de crédibilité au mensonge.
Si vous avez quand même scanné le code et saisi des informations : la première urgence est bancaire. Il faut faire opposition à la carte si elle a été compromise, changer les mots de passe, révoquer les accès à l’application bancaire et vérifier les bénéficiaires enregistrés. Si un virement a été lancé, il faut demander immédiatement à la banque une tentative de rappel des fonds. Signalez également la tentative aux services publics concernés : 17Cyber, gendarmerie, les plateformes Pharos et 33 700.
Le danger ne s’arrête pas à votre boîte aux lettres
La fausse carte bancaire est l’illustration la plus spectaculaire du quishing, mais la menace s’étend bien au-delà. Les criminels collent désormais de faux QR codes par-dessus les vrais dans les lieux publics : restaurants, parkings, stations de recharge électrique, distributeurs de tickets de transport. De faux avis de passage de La Poste sont créés avec un QR code et un message type “vous avez reçu une lettre recommandée, mais on n’a pas réussi à vous la livrer, scannez ce QR code”.
Le réflexe qui protège reste identique partout : après avoir scanné n’importe quel QR code, regardez l’URL complète affichée avant de taper quoi que ce soit. Les sites légitimes utilisent toujours des adresses sécurisées (https://) avec le nom de domaine officiel de l’entreprise. Une lettre en plus, un tiret déplacé, un sous-domaine suspect : fuyez.
Un dernier point que peu de victimes connaissent, et qui peut coûter cher : si vous avez saisi vos identifiants bancaires sur un faux site et validé des opérations, votre banque peut refuser de vous rembourser. Ces opérations ont été techniquement “validées” par vous. La vigilance en amont, même quelques secondes d’hésitation avant de scanner, reste la seule protection réellement efficace.
Sources : ctrlandt.substack.com | cesdefrance.fr