Copyright Purple One
Le contexte
” Que vous soyez en France ou à l’étranger, vous pouvez être confronté à des offres de produits de contrefaçon à des prix attractifs. La contrefaçon de marques concerne désormais tous types de produits : habillement, accessoires de mode, téléphones portables, pièces pour automobiles, etc. Vous devez vous montrez vigilant lors de vos achats sur internet.”
Source : https://www.economie.gouv.fr/dgccrf/Publications/Vie-pratique/Fiches-pratiques/La-contrefacon
En bref
Les QR Codes sérialisés. donc contenant un identifiant unique du produit, permettent de lutter contre les contrefaçons. Lors des scans des QR Codes, il est possible de savoir si un ou des produits apparaissent plusieurs fois pour un même identifiant, ou mieux, lorsque le QR Code est lié à une page d’enregistrement du produit, de remonter jusqu’au vendeur voir du fournisseur intermédiaire.
Lors du scan, la personne doit être connectée à internet et a donc de facto une adresse IP attribuée par son fournisseur d’internet. Avec cette adresse IP, il est donc possible de connaître la région du scan. Cette région peut être plus ou moins précise. Elle sera fonction de la solution “ reverse IP” (gratuit = moins précise).
Lorsque la marque l’a prévu, la possibilité en ligne de transférer la propriété d’un produit vers un autre acheteur aide à la revente sur le marché de l’occasion..
Objectif : vérifier qu’il n’y a pas de contrefaçon
Dans ce scénario, la marque aimerait savoir si ses produits sont contrefaits. Le scan des produits permettra de savoir s’il y a lieu de mettre en place des actions contre les contrefaçons et dans quelle région.
Le scénario :
- La société qui désire lutter contre les contrefaçons met en place des QR Codes sérialisés. Chaque produit a donc un QR Code unique qui contient une URL et l’identification du produit,
- Au travers des différents scan effectués par les clients et en étudiant leurs provenances il est ainsi possible de vérifier si un produit a été scanné de nombreuses fois.La société est ainsi alertée.
C’est la quantité de scans avec le même produit qui attirera l’attention.
Il faut faire attention aux “ faux positifs “, donc les cas où il est légitime que le produit ait été scanné plusieurs fois :
- Le même client scanne plusieurs fois le produit dans le même lieu (dans le magasin, chez lui ): même adress IP, même lieu ⇒ OK
- Le même client scanne plusieurs fois le produit à différents endroits (dans le magasin, chez lui, …) : zone grise
- Le produit n’a pas été acheté, ce sont juste des scans afin d’obtenir l’information complémentaire : même lieu mais différente adresses IP
Objectif : traçabilité des produits afin de lutter contre les contrefaçons
Dans ce scénario, la marque veut mettre en place une politique anti contrefaçon. Le scan des produits lié à la page d’enregistrement des produits permettra de connaître l’identité des acheteurs et de remonter jusqu’au vendeur..
Le scénario :
- La société qui désire lutter contre les contrefaçons met en place des QR Codes sérialisés. Chaque produit a donc un QR Code unique qui contient une URL et l’identification du produit,
- Le client est ensuite incité à enregistrer le produit acheté, et entrer ses coordonnées. En scannant l’URL il est redirigé sur une page d’enregistrement qui contiendra déjà les informations du produit grâce à l’identifiant contenu dans l’URL
- La société est alertée si un produit avec le même identifiant est enregistré 2 fois.
Le QR Code sérialisé permet de savoir si un produit a été contrefait (plus d’un enregistrement pour le même identifiant). Grâce aux coordonnées de l’acheteur, il est ensuite possible de remonter au revendeur et donc au fournisseur si nécessaire.
Remarque : ce scénario ne permet de valider qu’un produit n’est pas contrefait,; s’il y a des contrefaçons, le 1er enregistré “ gagne “ MAIS, avec les enregistrements suivant il est possible de remonter au revendeur et/ou fournisseur.
Le renforcement par des encres qui floutent
L’idée est de complexifier la copie par des encres qui floutent une partie du QR Code lors de la tentative de copie. La lumière réverbère l’information à copier et crée ainsi un flash brouillant une partie de l’information ce qui rend le QR Code invalide.
Après plus de 25 ans dans l’informatique, je reste très perplexe quant à ce type de sécurité.
D’après moi, tout bon faussaire a les moyens d’effectuer une copie quelle qu’elle soit. Si certes, les “ mauvais “ faussaires seront quelque peu retardés, les pros eux trouveront une parade.
Je me souviens pour exemple du billet de 50.-€ soit disant infalsifiable sorti en avril 2017 et dont des versions contrefaites sortaient déjà en septembre 2017 (https://www.linfo.re/france/societe/726556-le-billet-de-50-eur-deja-contrefait)
Les QR Codes ne fonctionnent en effet qu’avec 2 couleurs ce qui facilite la lecture…mais aussi la copie. En prenant une photo sans flash ou en jouant avec les contrastes, le QR Code pourra alors être copié. De plus, toute l’information est sur le produit, rien en ligne, donc une fois copié…la copie est valide.
Le renforcement par des points de contrôle
L’idée est de complexifier la copie
- soit en ajoutant des informations complémentaires sur le produit (des QR Codes cachés, des signes comme des petites bulles par exemples)
et/ou
- soit en prenant des photos à plusieurs endroits du produit avec un zoom important (un peu comme une empreinte digitale)
Remarque : si vous ajoutez “ juste “ un élément identique sur tous les produits, vous n’avez pas complexifié la copie. Le faussaire apposera le QR Code et l’élément et vous ne serez plus en mesure de retrouver le vrai du faux…
Si une partie de l’information est en ligne, comme les points de contrôle, alors il sera difficile pour un faussaire de savoir sur quelle partie du produit il doit porter son attention. Si ces points de contrôle sont de plus variables d’un produit à un autre, c’est encore plus compliqué… . Cette méthode complexifie le processus de copie mais aussi celui de production.
Les contrôles ne peuvent se faire par contre que via des applications complémentaires ou nécessitant un développement..
Le renforcement avec une double authentification
Une solution qui complexifie fortement la vie des faussaires, consiste à utiliser une double authentification. La double authentification vous la connaissez déjà dès lors où vous utilisez des services bancaires. Vous entrez votre identifiant et vous recevez le mot de passe par e-mail ou par SMS ou vous entrez votre identifiant et vous devez saisir le code généré par une application telle que Google Authenticator ou une clé SecureID qui eux changent le code toutes les minutes.
C’est cette dernière méthode qui va nous intéresser.
Le QR Code sérialisé contient l’URL et l’identifiant du produit, l’équivalent de la page de login avec le nom de l’utilisateur.
En fournissant séparément une clé SecureID associée au produit, ou un QR Code pour Google Authenticator associé au produit qui lui fournira un code modifié toutes les minutes, vous renforcez très nettement la copie.
Le faussaire n’ayant pas les informations d’authentification sur le produit est alors démuni.
Ceci impose de transmettre lors de la vente un document ou un outil (associé au produit) permettant la vérification, celui-ci ne devant pas faire partie de l’emballage ou produit mais fournit séparément par le vendeur.
La page de login permet d’enregistrer le produit ou de valider que le produit n’est pas contrefait.
Articles qui pourraient vos intéresser
Vin :QR Code versus contre-étiquette
Vin :QR Code versus contre-étiquette – Dans quel cas ne pas utiliser les QR Codes
Le hacking des QR Codes et comment y parer
Le hacking des QR Codes augmente avec l’utilisation croissante des QR Codes. Comment les éviter, a quoi faire attention