Une nouvelle fraude visant les automobilistes utilisant les horodateurs a récemment été identifiée à Marseille, suscitant une mobilisation rapide des autorités municipales et des gestionnaires de stationnement. Des QR codes falsifiés, intégrant des éléments graphiques de l’opérateur de stationnement Q-Park, ont été apposés sur plusieurs appareils, exposant les usagers à des tentatives de vol de données bancaires.
La Société d’Assistance et de Gestion du Stationnement (SAGS), filiale de Q-Park, a confirmé la présence de ces dispositifs frauduleux dans le quartier Vauban, situé dans le 6ᵉ arrondissement de la cité phocéenne. Selon l’entreprise, les autocollants illégitimes, imitant les supports officiels, incitent les automobilistes à scanner le QR code pour régler leur stationnement. Cette opération détourne en réalité l’utilisateur vers un site internet contrefait, conçu pour collecter des informations sensibles telles que l’immatriculation du véhicule, la durée prévue du stationnement, la localisation, ainsi que les coordonnées bancaires.
Face à cette menace, la municipalité de Marseille a publié une communication officielle pour alerter la population dès la détection des premières anomalies, signalées le 14 avril. Les services municipaux précisent que les éléments frauduleux ont été rapidement retirés dès leur découverte, et qu’une inspection approfondie de l’ensemble du parc d’horodateurs a été déclenchée pour prévenir toute nouvelle tentative.
Les faux QR codes orientent les victimes vers une page web usurpant l’identité visuelle de Q-Park, renforçant ainsi l’illusion d’un paiement sécurisé. Après avoir sollicité les données liées au stationnement, le site exige la saisie de données bancaires, exposant ainsi les utilisateurs au risque de fraude financière.
Afin de sécuriser les transactions, la SAGS recommande aux automobilistes de privilégier les applications mobiles de paiement officiellement reconnues, telles que PayByPhone, Flowbird et Timo. Ces outils permettent de s’acquitter de ses droits de stationnement de manière authentifiée et sécurisée, sans passer par l’intermédiaire de supports physiques susceptibles d’être manipulés.
Parallèlement à ces mesures de prévention, une plainte a été déposée par Q-Park pour tentative d’escroquerie. L’entreprise invite toute personne constatant la présence d’un QR code suspect sur la voirie à en informer immédiatement les équipes locales de la SAGS, afin d’assurer une intervention rapide.
La technique utilisée s’inscrit dans une tendance émergente connue sous le terme de « quishing » — contraction de « QR » et « phishing » —, qui repose sur l’exploitation de la popularité croissante des QR codes pour détourner l’attention des utilisateurs et capter leurs informations personnelles à des fins frauduleuses. Le phénomène n’est pas isolé : d’autres municipalités françaises, comme Nice, ont également été confrontées à ce type de pratiques au cours des derniers mois.
À Nice, des incidents similaires avaient été signalés, où des QR codes contrefaits apposés sur des horodateurs avaient permis de collecter illicitement des données sensibles auprès des usagers. Là aussi, des actions judiciaires avaient été engagées pour identifier les auteurs et renforcer les dispositifs de contrôle.
La sophistication croissante de ce type de fraude souligne l’importance pour les opérateurs de stationnement, les collectivités locales et les usagers de renforcer leur vigilance. Les autorités marseillaises et les gestionnaires privés prévoient ainsi de poursuivre les opérations de contrôle sur les équipements de stationnement, ainsi que de renforcer la communication auprès des citoyens pour leur rappeler les procédures de paiement sécurisées.
La multiplication de ces actes de « quishing » dans l’espace public illustre l’évolution rapide des risques en matière de cybersécurité appliquée à la gestion urbaine. Elle impose désormais une adaptation continue des pratiques de protection des infrastructures, des services et des utilisateurs.