RASIMENE
Blog
Enquête·24 avril 2026·8 min de lecture

Le QR code du restaurant n'est pas toujours celui que vous croyez.

Une affichette autocollante par-dessus l'originale, et la carte du jour devient une fausse page de paiement. On a passé un mois à observer le phénomène à Lyon, Paris et Bordeaux. Ce qu'on a appris, et comment ne plus se faire avoir.

ME
Mohamed ESSID
Fondateur — Trasimène

La technique du collage

Le principe est d'une simplicité déconcertante. Un malfaiteur entre dans un restaurant, repère les affichettes QR code disposées sur les tables ou à l'entrée, et colle par-dessus une nouvelle affichette imprimée — avec son propre QR code. L'opération prend moins de trente secondes par table.

La fausse page qui s'ouvre imite à la perfection une page de commande ou de paiement : les bons logos, les bonnes couleurs, parfois même le nom du restaurant. L'utilisateur, convaincu de consulter la carte du jour, entre ses coordonnées bancaires sur un site frauduleux.

En 2025 et début 2026, des cas documentés ont été observés à Lyon (Presqu'île, Confluence), à Paris (11e et 18e arrondissements) et à Bordeaux (quartier Saint-Pierre). La technique est en forte croissance : selon les remontées de la plateforme Pharos, les signalements liés aux QR codes phishing ont augmenté de 340 % entre 2024 et 2026.

Les restaurants qui passent au menu digital sans prévoir de protection physique (QR codes gravés, boitiers verrouillés) sont des cibles privilégiées. Les petits établissements, qui impriment eux-mêmes leurs affichettes sur papier ordinaire, sont les plus vulnérables.

Comment le détecter

Avant de scanner, examinez physiquement le QR code. Les fausses affichettes sont souvent légèrement décalées, avec des bords qui dépassent ou une qualité d'impression différente du reste des supports du restaurant.

Utilisez un lecteur QR qui affiche l'URL complète avant d'ouvrir le lien. L'application Appareil photo native d'iOS et les lecteurs intégrés Android montrent généralement l'URL — prenez le temps de la lire. Les attaquants utilisent des techniques de typosquatting : 'carte-restaurant-lyon.com' au lieu du site officiel de l'établissement.

Méfiez-vous particulièrement si la page qui s'ouvre demande des coordonnées bancaires pour accéder à un simple menu. Aucun restaurant légitime ne conditionne la consultation d'une carte à un paiement.

Si vous avez un doute, demandez directement au personnel de vous montrer la carte papier ou le QR code affiché dans leur espace d'administration — pas sur l'affichette de table.

Ce que fait Trasimène

Trasimène intègre une protection QR code en temps réel. Chaque URL extraite d'un QR code est analysée contre plusieurs bases de données de phishing (Google Safe Browsing, bases propriétaires Trasimène) avant que la page ne se charge.

Si l'URL est reconnue comme suspecte ou appartient à un domaine enregistré récemment avec des caractéristiques typiques du phishing, l'ouverture est bloquée et une alerte s'affiche — avec la possibilité de signaler le QR code directement depuis l'application.

Cette protection fonctionne entièrement en arrière-plan, sans aucune action manuelle. Vous scannez normalement ; Trasimène vérifie en silence.

En cas de doute, demandez au restaurant de vous montrer le QR code sur leur espace d'administration ou sur un document officiel — pas sur l'affichette.

La vigilance reste le premier rempart. Un coup d'œil rapide avant de scanner, une lecture de l'URL avant de taper, une question au serveur en cas de doute — ces réflexes simples suffisent à déjouer la majorité des attaques QR code. Mais ils ne coûtent rien à automatiser avec la bonne application de sécurité.

Trasimène — Protection mobile

Protégez-vous contre le phishing QR

Télécharger Trasimène →
Retour au blog