Une nouvelle vague de cybercriminalité frappe la métropole québécoise : des faux QR codes ont été découverts sur les panneaux de stationnement de Montréal, ciblant spécifiquement les utilisateurs de la nouvelle application Mobicité. L’Agence de mobilité durable de Montréal lance un appel urgent à la vigilance.
Le phénomène « quishing » débarque à Montréal
Le « quishing » (contraction de « QR code » et « phishing ») est une technique de fraude qui utilise des codes QR malveillants pour rediriger les victimes vers des sites frauduleux. Cette pratique a connu une augmentation de 587% en 2023, selon une étude de Keepnet Labs, et s’implante désormais dans les rues de Montréal.
La stratégie des fraudeurs
Les criminels collent de fausses affichettes avec des codes QR sur les panneaux de stationnement officiels, accompagnées du message « Nous avons changé d’appli ». Ces autocollants imitent parfaitement l’apparence officielle des communications de la Ville de Montréal.
L’application Mobicité dans la ligne de mire
Mobicité, lancée officiellement le 20 juin 2025, remplace l’ancienne application P$ Service Mobile. Cette transition, qui coûte 719 000 dollars selon l’Agence de mobilité durable, offre une opportunité en or aux cybercriminels pour exploiter la confusion des automobilistes.
Une cible de choix
L’ancienne application P$ Service Mobile sera définitivement retirée après le 28 juillet 2025, créant une période de vulnérabilité où les automobilistes cherchent activement à télécharger la nouvelle application.
L’ampleur du phénomène au Canada
Le Centre antifraude du Canada (CAFC) a reçu seulement 10 signalements liés au quishing depuis 2024, mais les experts s’attendent à une forte augmentation. Avec les rachats de codes QR qui devraient atteindre 5,3 milliards en 2025, les cybercriminels intensifieront leurs attaques de quishing.
Les pertes financières au Canada
Les Canadiens ont perdu plus de 638 millions de dollars à cause de la fraude en 2024, selon le CAFC. En 2022, le Centre antifraude du Canada a reçu 90 377 rapports de fraude signalant plus de 530 millions de dollars en pertes.
Incidents récents au Canada
La GRC de Red Deer, en Alberta, a émis un avertissement en août dernier concernant des codes QR malveillants découverts dans des colis de luxe non commandés. Des cas similaires ont également été signalés à Ottawa l’année dernière.
Comment reconnaître et éviter l’arnaque
L’Agence de mobilité durable confirme que « nos panneaux n’ont jamais comporté de codes QR ». Tout QR code trouvé sur les panneaux de stationnement de Montréal est donc frauduleux.
Impact financier potentiel
Les violations de données dues au phishing par code QR peuvent coûter en moyenne 4,45 millions de dollars américains, selon les données d’IBM. Pour les particuliers, les pertes peuvent être substantielles.
Tendances internationales du quishing
Cette pratique de fraude est en forte progression dans les grandes villes mondiales. Des cas similaires ont été signalés à Marseille avec des autocollants frauduleux sur les horodateurs, ainsi qu’en Irlande où des victimes ont perdu jusqu’à 1 000 euros.
Les cybercriminels adaptent constamment leurs méthodes, plaçant les codes QR malveillants sur des arrière-plans colorés pour tromper les logiciels de détection.
Section prévention : comment vous protéger efficacement
Téléchargez Mobicité directement depuis l’App Store d’Apple ou Google Play Store avant de vous rendre dans une zone de stationnement. Cette précaution simple élimine le besoin de scanner des codes suspects sur place.
Sur le terrain
Utilisez toujours les bornes de paiement physiques en cas de doute. Ces terminaux restent le moyen de paiement le plus sûr et sont présents dans toutes les zones de stationnement tarifé de Montréal.
Vérification des URL
Si vous scannez accidentellement un code QR, vérifiez immédiatement l’adresse web affichée. Les sites officiels commencent toujours par « https:// » et contiennent clairement le nom de l’organisme. Une adresse raccourcie, un nom inhabituel ou une faute d’orthographe doivent vous alerter.
Protection de vos données
Ne saisissez jamais vos informations bancaires directement après avoir scanné un code QR. Comme l’explique l’expert Tom Arnold : « L’usage des QR codes est si répandu que beaucoup d’utilisateurs les scannent sans faire attention à leur destination ».
En cas d’exposition
Si vous avez scanné un code QR suspect, agissez rapidement : vérifiez vos comptes bancaires, changez vos mots de passe, contactez votre institution financière et signalez l’incident aux autorités.
Que faire en cas de fraude
Contactez l’Agence de mobilité durable à sac@agencemobilitedurable.ca ou directement via l’application Mobicité pour signaler tout panneau suspect. Signalez également l’incident au Centre antifraude du Canada au 1-888-495-8501 ou en ligne.
Protection financière
Contactez immédiatement votre banque pour faire opposition sur vos cartes si vous avez fourni des informations bancaires. La plupart des institutions financières offrent une protection contre la fraude.
Réaction des autorités
L’équipe de l’Agence de mobilité durable travaille activement à retirer les faux panneaux. Une surveillance renforcée a été mise en place dans les zones à forte circulation.
Sensibilisation nationale
Le Centre canadien pour la cybersécurité, qui fait partie de Communications Security Establishment Canada, a émis un avertissement similaire dans une publication sur les considérations de sécurité pour les codes QR.
vigilance et prévention
Le phénomène du quishing à Montréal illustre parfaitement l’adaptation rapide des cybercriminels aux nouvelles technologies urbaines. Alors que le Canada connaît une augmentation constante des fraudes, il est crucial que les Montréalais restent vigilants.
La transition vers Mobicité représente un progrès technologique important pour la métropole, mais elle s’accompagne de nouveaux défis sécuritaires. En adoptant les bonnes pratiques de prévention et en restant informés, les automobilistes peuvent profiter des avantages du stationnement numérique tout en se protégeant des fraudes.
Rappelez-vous : aucun panneau officiel de l’Agence de mobilité durable de Montréal ne contient de code QR. En cas de doute, privilégiez toujours les canaux officiels de téléchargement et les bornes de paiement physiques.
