Attention à l’arnaque au QR code : Une nouvelle forme d’escroquerie sévit en France : des courriers contenant de fausses cartes bancaires, accompagnés d’un QR code invitant les destinataires à « activer » leur carte sur un site frauduleux. L’objectif des escrocs est de collecter identifiants bancaires, mots de passe et codes de sécurité. L’UFC-Que Choisir et les forces de l’ordre alertent sur cette technique particulièrement sophistiquée.
Un piège physique et numérique combiné
Le procédé est redoutablement crédible. La victime reçoit dans sa boîte aux lettres un pli à l’apparence officielle, aux couleurs de sa banque, contenant une carte bancaire factice. La carte est parfois dotée d’une puce et d’une bande magnétique, ce qui renforce l’illusion. Un courrier d’accompagnement invite le destinataire à scanner un QR code pour activer sa « nouvelle carte ».
Le QR code redirige vers un site web imitant trait pour trait l’interface de la banque concernée. La victime y est invitée à saisir ses identifiants de connexion, son mot de passe, et parfois un code reçu par SMS, permettant aux escrocs de prendre le contrôle du compte bancaire.
Un vecteur d’attaque qui exploite la confiance dans le courrier postal
Cette technique se distingue des hameçonnages classiques par son vecteur physique. Le courrier postal bénéficie d’un capital de confiance que le courriel a largement perdu. Recevoir une carte bancaire par la poste est un geste banal et attendu lors d’un renouvellement. Les escrocs exploitent cette familiarité pour désarmer la vigilance de leurs cibles.
Les personnes âgées sont particulièrement visées, car elles sont plus susceptibles de faire confiance à un courrier physique et moins habituées à identifier les sites de hameçonnage en ligne.
Les règles de protection applicables
Du point de vue du RGPD, cette arnaque soulève la question de l’origine des données utilisées par les escrocs. Pour envoyer un courrier ciblé, les fraudeurs doivent disposer au minimum du nom et de l’adresse postale de la victime, parfois du nom de sa banque. Ces informations peuvent provenir de fuites de données antérieures, de fichiers clients compromis ou de bases de données revendues sur le dark web.
L’article 5.1.f du RGPD impose aux responsables de traitement de garantir l’intégrité et la confidentialité des données personnelles. Chaque fuite de données en amont alimente ce type de fraude en aval. La sécurité des fichiers clients n’est pas un sujet abstrait : elle a des conséquences directes et concrètes sur la sécurité financière des personnes concernées.
Que faire si vous recevez ce type de courrier
Ne scannez jamais un QR code reçu par courrier sans vérification préalable. Si vous recevez une carte bancaire inattendue, contactez votre banque directement par téléphone (en utilisant le numéro figurant sur votre carte actuelle ou sur votre relevé, pas celui du courrier suspect). Ne communiquez jamais vos identifiants bancaires via un lien reçu par courrier, courriel ou SMS. Si vous avez déjà scanné le QR code et saisi des informations, contactez immédiatement votre banque pour faire opposition et déposez plainte.
Source : Gendarmerie nationale
