Revue : Solutions de codes QR pour la lutte contre la contrefaçon, avec des exemples

Les marques globalisées adoptent de manière croissante les codes QR pour lutter contre la contrefaçon sur les emballages et les documents des produits, en raison des progrès de l’impression numérique, des caméras des smartphones et des changements récents dans les habitudes des consommateurs. Tous ces changements ont rendu les codes QR sécurisés plus évolutifs et plus rentables que les éléments de sécurité physique traditionnels tels que les hologrammes et les taggants. Mais toutes les solutions de codes QR utilisées pour lutter contre la contrefaçon ne sont pas identiques – plusieurs solutions différentes ont vu le jour pour sécuriser les codes QR, chacune présentant des forces et des faiblesses différentes.

Dans cet article, nous appliquons les décennies d’expérience de Scantrust, pionnier de la sécurité anti-contrefaçon par code QR, à un examen approfondi des caractéristiques de sécurité, des avantages et des inconvénients de l’utilisation des codes QR pour les emballages et les documents anti-contrefaçon.

1. Vue d’ensemble : les types de codes QR généralement utilisés et les types de sécurité associiés.
2. Comment les contrefacteurs s’y prennent pour copier généralement les emballages et les codes QR
3. Sécurité des codes QR statique et dynamique 
4. Sécurité du code sérialisé (unitaire par produit)
5. Codes QR sécurisés contre la copie
6. Comment se protéger contre les contrefacteurs qui contournent l’URL de votre code QR ?
7. Dans quelle mesure les utilisateurs peuvent-ils scanner les codes QR pour authentifier les produits ?
8. Comment choisir une solution anti-contrefaçon basée sur le code QR ?

Étude de cas : Comment Rémy Cointreau utilise les codes QR sécurisés

Ce diagramme montre un exemple courant de contrefaçon réussissant à copier l’emballage, y compris le code QR, d’un produit :

La même approche de la contrefaçon illustrée ci-dessus est contrecarrée par un code QR sécurisé qui résiste à la copie. Lorsqu’il est scanné par un utilisateur final ou un client, il est possible de détecter instantanément les emballages ou les étiquettes de produits copiés comme étant des contrefaçons.

Méthode de contrefaçon : Copier directement l’étiquette sécurisée du code QR à l’aide d’un scanner haute résolution et d’une imprimante.

“Statique” et “dynamique” sont des termes techniques désignant le type d’URL intégré dans un code QR. Ces caractéristiques des codes QR ne sont pas intrinsèquement sécurisantes, mais elles peuvent faciliter le contrôle et l’élimination éventuelle des contrefaçons.

Exemple de base d’un code QR dynamique par rapport à un code QR statique

Les codes QR dynamiques sont plus courants dans les cas d’utilisation en entreprise en raison de la possibilité de “voir” tout le trafic (scans de codes QR) passant par l’URL de redirection. Une autre caractéristique importante des codes QR dynamiques pour les entreprises est la possibilité de modifier l’URL de destination selon les besoins et à la demande. Cette caractéristique offre une certaine souplesse dans la gestion et la mise à jour d’un code QR après son impression. Avec les codes QR statiques, vous êtes coincé avec l’URL de destination utilisée, à moins que vous n’effectuiez ultérieurement des modifications DNS avancées pour rediriger les utilisateurs. Cette approche des codes QR statiques peut toutefois poser de nombreux problèmes, c’est pourquoi les codes QR dynamiques sont préférables.

Comme nous le montrerons dans l’exemple détaillé qui suit, les codes statiques et dynamiques n’offrent intrinsèquement aucune sécurité contre la contrefaçon.

Les codes QR statiques sont les plus basiques des codes QR et aussi les moins sécurisés. Ces codes sont souvent réalisés à l’aide d’outils gratuits de génération de codes QR trouvés en ligne ou à l’aide d’un tableur comme Excel. Ils comportent une URL intégrée qui ne peut être modifiée une fois le code imprimé.

Voici un exemple de scénario statique de contrefaçon de code QR :

Contexte : Un consommateur rencontre un code QR statique qui a été copié et réimprimé par un contrefacteur. Ces codes ne sont pas uniques et sérialisés d’un produit à l’autre :

1. Imprime des codes QR statiques : Une marque d’huile moteur imprime le même code QR statique sur des millions de bouteilles d’huile moteur authentiques, avec un lien vers le site web du produit.
2. Lecontrefacteur fait des copies de l’emballage de l’huile moteur, y compris le code QR.
3. Un client achète un produit contrefait et scanne le code QR copié.
4. Le client voit la page Web du produit : Le client est redirigé vers la même URL du site web d’information sur le produit que les clients qui ont acheté le produit réel.
5. Le résultat n’est pas un mécanisme permettant de vérifier si le produit est authentique: La marque d’huile de moteur ne dispose d’aucun moyen facile de distinguer, sur le site web d’information sur les produits, les utilisateurs qui proviennent du “vrai” produit ou du “faux”, et donc, aucun moyen d’alerter les clients qu’ils ont obtenu un produit contrefait.

Dans un scénario où un contrefacteur a copié un emballage, un document, etc. avec un code QR statique, l’utilisateur final est généralement incapable de distinguer visuellement le code QR contrefait. Lorsque les URL figurant sur les emballages contrefaits et réels sont toutes identiques, toutes choses étant égales par ailleurs, il est difficile pour le propriétaire de la marque de distinguer en toute confiance les scans de codes QR (et donc les consultations de l’URL) provenant de vrais ou de faux produits. À tout le moins, cela pollue ce qui aurait été autrement des données utiles sur l’utilisation des consommateurs.

Pour : Aucun ! Les codes QR standard n’ont aucune capacité anti-contrefaçon.

Inconvénients : tout contrefacteur peut copier ces codes QR statiques pour les utiliser sur des produits contrefaits.

Les codes QR dynamiques sont des codes comportant une URL intermédiaire intégrée au code QR. Ces codes redirigent le client vers une autre URL, qui est définie dans une interface de gestion, et qui révèle généralement le site web informatif d’un produit.

Voici un exemple de scénario dynamique de contrefaçon de codes QR, en supposant que les codes ne sont pas uniques d’un produit à l’autre :

1. Imprimez des codes QR dynamiques : Une marque d’huile de moteur imprime un code QR dynamique sur chaque lot de centaines de milliers de produits pour un total de millions de bouteilles d’huile de moteur (NB : souvent, un seul code dynamique est utilisé sur tous les produits, et non des codes différents par lot – cette pratique offre moins de sécurité et d’utilité).
2. Un contrefacteur copie le produit et l’emballage, y compris le code QR dynamique, d’un lot d’huile moteur.
3. Un client achète un produit contrefait et scanne le code QR dynamique de la contrefaçon.
4. Le client voit la page web du produit : Le code QR dynamique contrefait redirige le client vers l’URL du site web d’information sur le produit, tout comme cela se produirait pour les clients qui ont acheté le produit authentique.
5. Il n’y a donc aucune possibilité de vérifier si le produit est authentique: Ni la marque ni le consommateur ne disposent d’un moyen facile de distinguer de quel site les visiteurs proviennent : le vrai produit ou la contrefaçon. Ainsi, il n’y a aucun moyen de savoir lequel des codes QR dynamiques (quel lot) était contrefait, finalement. Il n’y a aucun moyen d’informer les clients qu’ils ont acheté un produit contrefait.

Notez que dans le flux ci-dessus, la marque aurait également pu utiliser un code QR statique différent pour chaque lot. Pris ensemble, les deux exemples ci-dessus illustrent que ni les codes QR statiques ni les codes QR dynamiques n’offrent des niveaux de protection sensiblement différents.

Pour : La marque peut éventuellement obtenir un peu plus d’informations sur le lot contrefait, mais elle a peu de recours.

Inconvénients : un contrefacteur n’est pas particulièrement dissuadé de copier un tel code QR dynamique pour l’utiliser et vendre des produits contrefaits.

Les codes QR sérialisés sont uniques d’un produit ou d’un document à l’autre. Les liens qu’ils contiennent peuvent être statiques (ils pointent vers une URL qui ne peut être modifiée une fois imprimée) ou dynamiques (ils peuvent être modifiés après l’impression du code, par le biais d’une URL intermédiaire de redirection).

Voici un exemple de scénario de contrefaçon utilisant des codes QR dynamiques et sérialisés (uniques) :

1. Imprimez des codes QR uniques et dynamiques : Une marque d’huile de moteur place un numéro de série unique dans un code QR dynamique sur chaque bouteille.
2. Un contrefacteur fait des copies de l’emballage de la bouteille d’un produit, y compris le code QR unique et dynamique.
3. Les clients achètent des produits contrefaits et certains scannent le code QR de la contrefaçon.
4.  Les clients scannent le code QR et tentent d’authentifier le produit. Le produit n’est identifié comme contrefait que si le code est mis sur liste noire par la marque, ce qui se produit généralement après que des milliers de produits contrefaits ont déjà été achetés et scannés dans la nature.
5. La marque recueille des données anti-contrefaçon, notamment le code QR unique de chaque bouteille d’huile moteur, qui a été scanné des centaines de fois, dans de nombreux endroits différents.
6. Finalement, la marque identifie un code QR spécifique qui est contrefait et, à l’aide de sa solution anti-contrefaçon, modifie l’information affichée à tous les futurs scans de ce code en disant “ceci est un produit contrefait”. C’est ce qu’on appelle la “mise sur liste noire”.
7. La marque recueille des informations géographiques sur l’endroit où le produit a été scanné, où il a pu être acheté, des photos et d’autres éléments de preuve en vue d’intenter une action en justice contre les contrefacteurs.

• Pour : La marque a pu finalement découvrir quel produit était contrefait (jusqu’au niveau de l’unité), ainsi que l’endroit géographique où ces produits ont été scannés. Une fois que le code a été placé sur une liste noire, les clients qui procédaient à d’autres scans d’authentification de ce code recevaient une notification indiquant qu’ils avaient acheté un produit contrefait.
• Contre : selon les seuils d’alerte, des centaines ou des milliers de clients peuvent avoir acheté le produit contrefait et l’avoir scanné avant que la marque n’ait découvert et mis sur liste noire le code QR du produit contrefait.

Étude de cas : Comment Dupont utilise les codes QR sécurisés sur les filtres à eau

L’image ci-dessus montre des données réelles provenant d’un seul code QR sérialisé scanné 234 fois par 163 scanners uniques. La répartition géographique des scans indique bien que les utilisateurs qui scannent les produits sont distincts. Ce code particulier a été signalé comme une “contrefaçon présumée” bien avant que 234 scans soient enregistrés, mais à ce stade, il est plus ou moins certain qu’il existe un problème de contrefaçon.

Ces données peuvent faire la différence entre une entreprise ayant des options légales contre les contrefacteurs ou n’en ayant aucune. Ce qui est le plus intéressant dans cet exemple concret, c’est que l’objectif initial de la sérialisation des codes QR sur les produits de la marque n’était pas de résoudre un problème de contrefaçon ; ils ont été utilisés pour mener des campagnes de marketing personnalisées et segmentées, une autre fonction pour laquelle les codes QR sérialisés sont utiles. Dans ce cas, le propriétaire de la marque ne soupçonnait pas du tout qu’il avait un problème de contrefaçon !

Un motif de détection de copie, également appelé image résistante à la copie ou image de sécurité intégrée, est une image numérique conçue pour perdre des informations clés lorsqu’elle est copiée et réimprimée, signalant ainsi qu’il s’agit d’une copie. C’est comme lorsque vous utilisez une photocopieuse, la copie n’est jamais aussi belle que la version que vous avez imprimée depuis votre imprimante à jet d’encre.

Grâce à ce principe, il est possible d’insérer une image de sécurité générée de manière aléatoire dans une partie du code QR, ce qui en fait un code QR “sécurisé” qui peut être authentifié comme l’original.

Lorsque les contrefacteurs copient des codes QR sécurisés, le résultat est détectable à l’aide d’un simple appareil photo de téléphone portable.

Voici un exemple dans lequel un client achète un produit contrefait avec un code QR sécurisé (une image de sécurité est intégrée au code QR) :

1. Imprimez ou appliquez des codes QR sécurisés. Une marque d’huile moteur appose un code QR sécurisé sur chaque bouteille.
2. Un contrefacteur copie l’emballage de la bouteille d’ un produit, y compris le code QR sécurisé.
3. Plusieurs clients achètent des produits d’huile moteur contrefaits et scannent directement le code QR contrefait.
4. Le client vérifie l’authenticité en suivant les instructions à l’écran dans l’application web ou mobile d’authentification du produit.
5. La solution anti-contrefaçon identifie le code QR sécurisé comme un faux “avec perte”.
6. Le client est informé de la contrefaçon et la marque est alertée.
7. Le code QR environnant est placé sur une liste noire, de sorte que tous les scans futurs de ce code entraînent également l’information du client qu’il s’agit d’un produit contrefait.

• Éprouvé – Les modèles de détection de copie sont utilisés dans des contextes de haute sécurité depuis 2002, date à laquelle ils ont été inventés par le fondateur et directeur technique de Scantrust. Cette technologie mature a été déployée dans diverses industries et marchés avec des entreprises comme DuPont, Unilever, ExxonMobil, et même des gouvernements pour une utilisation sur des documents importants.
• Facilité d’utilisation – Ils fonctionnent avec tous les smartphones modernes et populaires grâce à un appareil photo.
• Rentabilité – Les codes QR sécurisés s’intègrent à votre emballage ou à votre processus d’impression existants, contrairement aux éléments de sécurité physique coûteux comme les hologrammes, dont le coût de fabrication est beaucoup plus élevé et qui dépendent toujours de l’éducation des clients sur la façon de distinguer les vrais des faux. Ils fonctionnent également avec des codes QR statiques ou dynamiques non sérialisés. Selon la solution, ils sont compatibles avec les imprimantes numériques comme HP Indigo, les configurations d’impression flexo, offset, variable et hybride.
• Flexible – La sérialisation n’est pas non plus une dépendance pour les codes QR sécurisés ; vous pouvez utiliser des codes sérialisés (uniques) ou des codes statiques ou dynamiques de base. Vous pouvez l’imprimer à l’intérieur ou à côté du code QR imprimé numériquement en utilisant la flexographie, l’offset ou l’héliogravure.
• Évolutif – Une fois l’intégration et les tests initiaux d’impression ou d’étiquetage terminés, le code QR sécurisé unique ou le graphique sécurisé (s’il est utilisé en dehors ou à côté d’un autre code QR) peut être imprimé autant de fois que vous le souhaitez.

Dans l’exemple suivant, un contrefacteur sophistiqué tente de contourner le code QR sécurisé.

Méthode de contrefaçon : Copier l’emballage mais remplacer le code QR par un code contrôlé par le contrefacteur.

Le contrefacteur utilise son propre code QR, son propre nom de domaine et son propre site web, et contrôle ainsi le parcours complet d’un client ou d’un utilisateur qui scanne le code QR du produit contrefait. Le nom de domaine est souvent une orthographe légèrement modifiée du site web réel de la marque ou du fournisseur de technologie anti-contrefaçon et il est facile de le confondre avec un site web d’authentification officiel.

Même dans ce scénario, l’utilisation de codes QR sérialisés ou d’un code QR sécurisé dans un programme anti-contrefaçon bien conçu permet au propriétaire de la marque d’utiliser le crowdsourcing pour détecter les produits contrefaits sur le marché. En effet, un programme anti-contrefaçon bien conçu offre deux moyens d’authentification :

1. Les utilisateurs peuvent s’authentifier en scannant directement un code QR. Cela peut être contourné par un contrefacteur qui remplace complètement votre code QR sérialisé ou sécurisé par le sien, et envoie l’utilisateur vers son propre faux site web.
2. Les utilisateurs peuvent s’authentifier en visitant d’abord un canal de confiance pour l’authentification, tel qu’une application web ou mobile officielle ou un compte de média social, puis commencer le processus d’authentification à cet endroit.

Étudions-les dans des exemples plus détaillés :

Scénario “canal non fiable” : L’utilisateur s’authentifie en scannant directement un code QR réalisé par le contrefacteur (c’est-à-dire qu’il ne s’agit pas d’une copie du code d’un produit authentique). Cette contrefaçon sophistiquée n’est pas détectée :

Scénario “canal de confiance” : L’utilisateur se rend d’abord sur un canal de confiance (application mobile ou site web officiel) puis scanne le code QR dans ce site web ou cette application mobile. La contrefaçon sophistiquée est détectée.

En règle générale, entre 1 % et 20 % des produits dotés d’un code QR sont scannés par un utilisateur final, ce qui varie largement en fonction du marché, de la catégorie de produit et de l’incitation ou du cas d’utilisation pour scanner le code. Dans certains cas, le taux de lecture peut être supérieur à 20 %, par exemple pour l’enregistrement d’une garantie ou pour réclamer une récompense. Pour réussir le déploiement d’une solution d’emballage connectée, il faut concevoir une approche de l’emballage connecté qui permettra à vos clients d’authentifier facilement vos produits et de comprendre les avantages de cette démarche.

En règle générale, il y a quelques éléments clés à prendre en compte pour décider du niveau de sécurité du code QR à utiliser.

• Robustesse ou “force”de sécurité souhaitée – Comme nous l’avons démontré ci-dessus, les codes QR statiques et dynamiques de base qui ne sont pas sérialisés (non uniques) n’offrent pratiquement aucune protection contre les contrefaçons ou les données de contrefaçon exploitables sur le marché. Les codes QR sérialisés offrent une protection limitée et différée, tandis que les codes QR sécurisés avec des images de sécurité intégrées offrent une protection forte et immédiate.
• Coût de la solution et coût total de possession – Les codes QR sérialisés et sécurisés entraînent généralement des coûts d’installation en raison de la nécessité de les intégrer au matériel d’impression. En plus de ces coûts d’installation, ils sont généralement facturés au code.
• Facilité de mise en œuvre – Cela dépend de la solution anti-contrefaçon choisie, de la façon dont vous imprimez aujourd’hui, du matériel d’impression que vous utilisez actuellement. Un fournisseur expérimenté de solutions de codes QR sécurisés sera en mesure de vous aider rapidement à naviguer parmi vos options pour trouver le chemin le plus rapide vers vos objectifs.