Le paysage des paiements numériques en Algérie se transforme rapidement. Depuis le lancement de BaridiPay par Algérie Poste en juin 2025, des millions d’Algériens utilisent désormais leur téléphone pour payer les commerçants via des QR codes — sans carte, sans espèces. Mais alors que les paiements par QR code se multiplient, une nouvelle forme de fraude appelée « quishing » — le phishing par QR code — cible la confiance que les utilisateurs accordent à ces simples carrés noir et blanc.
L’essor de BaridiPay et des paiements QR en Algérie
BaridiPay représente l’initiative la plus audacieuse d’Algérie Poste vers une économie sans numéraire. Intégré à l’application BaridiMob, le service permet aux titulaires de comptes CCP d’effectuer des paiements sans contact chez les commerçants en scannant des QR codes. Le système contourne le besoin de cartes de débit physiques — un avantage considérable dans un pays où l’infrastructure de paiement par carte reste inégale en dehors des grandes villes.
Le calendrier s’aligne avec la dynamique réglementaire plus large de l’Algérie. L’Instruction No. 06-2025 de la Banque d’Algérie, publiée en août 2025, a établi le premier cadre formel pour les Prestataires de Services de Paiement (PSP), exigeant que tous les services de paiement numérique fonctionnent exclusivement en dinars algériens. Cette clarté réglementaire a accéléré l’adoption par les commerçants, avec des milliers de petites entreprises — des cafés à Alger aux pharmacies à Oran — affichant désormais des QR codes BaridiPay.
Mais cette adoption rapide a créé une surface d’attaque que les cybercriminels sont impatients d’exploiter.
Comment les attaques de quishing ciblent les utilisateurs de paiements QR
Le quishing — la fusion de « QR » et « phishing » — est devenu l’un des vecteurs de fraude à la croissance la plus rapide au niveau mondial. Selon les données de prévention de la fraude, les victimes d’arnaques au QR code phishing ont perdu en moyenne 1 225 dollars chacune en 2025. Le modèle d’attaque est d’une simplicité trompeuse et particulièrement dangereux dans l’écosystème naissant des paiements numériques en Algérie.
L’anatomie d’une arnaque au QR code
Les attaques par superposition représentent la menace la plus directe pour les utilisateurs de BaridiPay. Les escrocs impriment des autocollants QR frauduleux et les placent par-dessus les codes légitimes des commerçants dans les boutiques, restaurants ou parcmètres. Lorsqu’un client scanne le code trafiqué, le paiement est redirigé vers le compte de l’attaquant au lieu de celui du commerçant.
Les arnaques aux fausses notifications exploitent l’évolution des services numériques gouvernementaux en Algérie. Les attaquants envoient des SMS ou des publications sur les réseaux sociaux imitant des avis officiels — comme de fausses factures de services publics, des amendes routières ou des notifications fiscales — avec des QR codes intégrés. Scanner ces codes mène à des pages de collecte d’identifiants conçues pour ressembler à l’écran de connexion BaridiMob.
L’ingénierie sociale via les plateformes de marché est particulièrement pertinente en Algérie, où des plateformes comme Ouedkniss dominent le commerce entre particuliers. Les escrocs se faisant passer pour des acheteurs ou des vendeurs partagent des QR codes malveillants lors des transactions, prétendant qu’ils doivent « vérifier » le paiement via un lien spécial.
Publicité
Les mesures défensives de l’Algérie
Garanties réglementaires et techniques
Algérie Poste a implémenté plusieurs couches de sécurité au sein de l’écosystème BaridiPay. Toutes les transactions s’effectuent via des canaux chiffrés HTTPS, et le système exige une authentification via l’application BaridiMob avant tout traitement de paiement. Contrairement aux systèmes QR ouverts où n’importe quel QR code peut rediriger vers n’importe quelle URL, l’architecture en boucle fermée de BaridiPay signifie que les QR codes sont générés et validés au sein de l’infrastructure d’Algérie Poste.
La réglementation PSP de la Banque d’Algérie ajoute une couche supplémentaire en exigeant que tous les prestataires de paiement maintiennent des systèmes robustes de détection de fraude et signalent les transactions suspectes. La réglementation impose aux PSP de mettre en œuvre une surveillance des transactions en temps réel et de maintenir des pistes d’audit.
La connexion avec la stratégie de cybersécurité
La Stratégie Nationale de Cybersécurité de l’Algérie pour 2025-2029, approuvée par le Décret Présidentiel No. 25-321 en décembre 2025, fournit le cadre global pour la sécurisation de l’infrastructure financière numérique. La stratégie appelle à la création d’unités de cybersécurité dédiées au sein des institutions publiques — y compris les services financiers — et priorise la protection des infrastructures numériques critiques.
Le Décret No. 26-07, publié en janvier 2026, opérationnalise cela en imposant des unités de cybersécurité au sein des agences gouvernementales, ce qui s’étend aux entités publiques comme Algérie Poste.
Ce que les utilisateurs algériens devraient faire maintenant
Se protéger contre la fraude au QR code nécessite de la vigilance et des habitudes simples :
Vérifiez avant de scanner. Confirmez toujours qu’un QR code chez un commerçant n’a pas été trafiqué — recherchez des autocollants placés par-dessus le code original, une impression mal alignée ou des codes qui semblent récemment apposés.
Utilisez uniquement l’application officielle BaridiMob. Ne scannez jamais de QR codes avec l’appareil photo générique de votre téléphone pour les paiements. L’application BaridiMob valide les QR codes au sein de l’écosystème d’Algérie Poste, rejetant les codes qui ne correspondent pas aux commerçants enregistrés.
Méfiez-vous des QR codes non sollicités. Les agences gouvernementales et les services publics en Algérie n’envoient pas de QR codes par SMS pour le paiement. Si vous en recevez un, c’est presque certainement une arnaque.
Activez les notifications de transaction. Configurez BaridiMob pour envoyer des notifications SMS ou push immédiates pour chaque transaction, afin que les paiements non autorisés soient détectés instantanément.
Signalez toute activité suspecte. Algérie Poste maintient des canaux de support client pour le signalement de fraude. Un signalement précoce augmente les chances de geler les comptes frauduleux et de récupérer les fonds.
La route à suivre : bâtir la confiance dans les paiements numériques
La transition de l’Algérie vers les paiements numériques est irréversible, mais son succès dépend du maintien de la confiance des utilisateurs. L’entrée relativement tardive du pays dans les paiements mobiles est en réalité un avantage — il peut tirer les leçons des épidémies de fraude au QR code qui ont frappé des marchés plus matures en Asie et en Europe.
La convergence de l’architecture en boucle fermée de BaridiPay, des réglementations PSP de la Banque d’Algérie et de la stratégie nationale de cybersécurité crée une défense multicouche que de nombreux pays pionniers n’avaient pas. Mais la technologie seule ne suffit pas. Des campagnes de sensibilisation soutenues — ciblant particulièrement les nouveaux utilisateurs de paiements numériques dans les régions intérieures de l’Algérie — détermineront si le pays peut développer les paiements QR sans développer la fraude en parallèle.
Questions Fréquemment Posées
Sources et lectures complémentaires
- Algérie Poste lance le service de paiement mobile « Baridi Pay » — DzairTube
- L’Algérie lance sa première réglementation fintech pour les PSP — Startup Researcher
- Quishing expliqué : comment fonctionnent les arnaques au QR code — ScamWatch
- Arnaques au QR code : ce que vous devez savoir — Unit21
- Stratégie de cybersécurité de l’Algérie 2025-2029 — AlgeriaTech
