Une arnaque qui s’installe dans le quotidien postal
Un discret carton jaune, glissé parmi les publicités, suffit désormais à faire basculer un compte bancaire. Cette méthode d’escroquerie, présentée comme un avis de passage imitant celui de La Poste, s’appuie sur un QR code qui redirige la victime vers une prétendue reprogrammation de livraison. La gendarmerie a de nouveau mis en garde en 2026 contre cette variante de l’hameçonnage baptisée « quishing ». Le stratagème est minimaliste et efficace : convaincre d’un simple clic que la résolution du problème — récupérer un colis ou une lettre recommandée — passe par un scan immédiat et un paiement présenté comme symbolique.
Du phishing au quishing: un pivot vers le support papier
Cette pratique, repérée dans l’actualité nationale dès 2023, ne faiblit pas. Elle s’est même perfectionnée, rendant la supercherie plus difficile à repérer à l’œil nu. Là où les courriels et SMS suspects sont souvent écartés, le support physique tend à désarmer la vigilance. La mécanique psychologique est connue : un document remis « chez soi », avec un habillage visuel crédible et une action simple à accomplir, emporte l’adhésion.
« Comme le document est remis physiquement, qu'il semble officiel et que le montant demandé est faible, les victimes sont moins méfiantes »
Ce constat, formulé par une juriste d’une association de consommateurs lors d’un épisode similaire observé à Genève en juin 2026, décrit précisément le ressort de l’arnaque : l’illusion de l’officialité et la faiblesse du montant agissent comme un anesthésiant.
Le petit montant, grand déclencheur
Le paiement exigé est volontairement bas — moins d’1 €, ou tout au plus deux à trois euros. Ce seuil psychologique, perçu comme négligeable, fait tomber les derniers garde-fous. Une fois le QR code scanné et l’opération enclenchée, certains découvrent trop tard que cette étape ouvre la porte au détournement de fonds. L’alerte bancaire, quand elle arrive, ne suffit pas toujours à enrayer le mécanisme.
Pourquoi cette variante fonctionne
- Confiance dans le papier : l’intrusion par la boîte aux lettres contourne les réflexes anti-phishing acquis face aux e-mails et SMS.
- QR code : le scan est perçu comme un geste neutre alors qu’il mène à une demande d’action (saisie d’informations, règlement).
- Montant dérisoire : une somme très faible fait baisser la garde et accélère la décision.
Les avis frauduleux imitent à s’y méprendre la présentation d’un avis de passage. Les escrocs capitalisent sur la routine des livraisons et l’urgence perçue à récupérer un pli supposément important.
Une technique persistante et plus sophistiquée
La présence récurrente de faux avis de passage dans les boîtes aux lettres françaises, signalée depuis 2023, confirme une évolution du risque : la fraude ne se limite plus aux canaux numériques traditionnels. Trois ans plus tard, le procédé est toujours là, avec des éléments graphiques et des messages plus aboutis. Les indicateurs d’authenticité des courriers officiels existent, mais certains détails spécifiques, difficiles à reproduire parfaitement, demeurent la meilleure défense pour distinguer un véritable avis d’une imitation convaincante.
Ce que cela change pour les clients bancaires
Pour les détenteurs de comptes, la première ligne de défense reste la vigilance au moment de scanner un QR code inconnu et d’engager un paiement, fût-il minime. Le caractère « physique » de l’approche ne doit pas masquer sa nature numérique : au bout du QR code, c’est bien une interface en ligne qui peut déclencher un enchaînement menant au débit. L’alerte réitérée des autorités en 2026 vient rappeler que les habitudes acquises contre les e-mails piégés doivent désormais s’appliquer aussi à tout code visuel pointant vers un site externe.
Points de repère et chronologie
| Période | Élément notable |
|---|---|
| 2023 | Montée des faux avis de passage avec QR codes dans l’actualité de l’hameçonnage |
| 2026 | Nouvelle alerte de la gendarmerie face à une technique toujours active et perfectionnée |
Réflexes utiles
- Se méfier de toute demande de paiement, même inférieure à 1 €, liée à une reprogrammation de livraison par QR code.
- Prendre le temps de vérifier par un canal indépendant si un passage a réellement eu lieu.
- Garder à l’esprit que la diffusion sur support papier ne garantit pas l’authenticité du message.
Le « quishing » s’impose ainsi comme une déclinaison bien ancrée de l’hameçonnage : elle balaie les défenses bâties contre les messages électroniques en exploitant la confiance associée au courrier physique et l’insignifiance d’un montant à régler. Les signaux d’alerte existent, mais ils exigent un réflexe simple : suspendre le geste automatique du scan, et revalider l’information par une source sûre avant toute action, surtout si elle implique un paiement, même de quelques euros.