Hier soir, en faisant un peu de tri dans mon portefeuille, j’ai regardé un billet de 20 euros et là, je me suis souvenu d’un truc. Vous voyez ces petits cercles discrets disposés un peu partout sur vos billets ? Ces cinq points qui ont l’air anodins ? Eh bien figurez-vous que c’est un système de protection ultra sophistiqué qui peut bloquer instantanément n’importe quel photocopieur. Et le plus marrant, c’est qu’on peut l’utiliser pour nos propres documents.

Cette technologie s’appelle la constellation EURion, aussi connue sous le nom de cercles Omron, et elle existe depuis 1996. Ces cinq cercles jaunes, verts ou orange sont répétés à différentes orientations sur les billets de banque du monde entier et leur présence suffit à faire buguer la plupart des photocopieurs couleur qui refusent catégoriquement de traiter le document. Un vrai mur invisible contre la contrefaçon.

Alors attention, je vais maintenant vous révéler un secret. En fait, il y a deux systèmes complètement différents qui protègent votre argent. D’un côté, vous avez la constellation EURion qui fait planter les photocopieurs physiques. Et de l’autre, les logiciels comme Photoshop utilisent depuis 2003, un système totalement différent appelé CDS (Counterfeit Deterrence System). Selon les recherches de Steven J. Murdoch, ce système ne se base pas du tout sur les cercles EURion mais détecte un watermark invisible développé par Digimarc. Donc si Photoshop refuse d’ouvrir un billet scanné, ce n’est pas à cause des petits points, mais d’un filigrane numérique caché dans l’image.

Un développeur nommé Martin Scharm a surtout eu l’idée géniale de tester si on pouvait détourner ce système pour protéger ses propres documents. Il a créé un template LaTeX qui intègre la constellation EURion directement dans un PDF.

Voici le code :

wanna scan my letter?
\includegraphics[width=7mm]{EURion.pdf}

La taille de 7 mm est cruciale, car c’est l’idéal pour que les scanners détectent le motif. Martin a d’ailleurs mis tout son travail sur GitHub, avec l’image EURion et le fichier PDF résultant. Sympa de sa part de partager ça !

Le PDF de Martin

Par contre, voilà le hic… tous les scanners et photocopieurs ne sont pas sensibles à la constellation EURion. Certains modèles récents l’ignorent complètement, et d’autres la détectent parfaitement. D’après les discussions que j’ai pu lire sur Stack Overflow, un utilisateur a quand même réussi à bloquer un photocopieur Ricoh en ajoutant le motif EURion sur ses documents, mais sur d’autres machines, rien ne se passe. C’est un peu la loterie.

Alors maintenant, la question à 10 balles : Est-ce légal d’utiliser la constellation EURion sur ses propres documents ? Et bien, bonne nouvelle, aucune loi n’interdit l’utilisation de ce motif en dehors des billets de banque. Les discussions techniques sur TeX Stack Exchange confirment qu’on peut parfaitement intégrer ce système dans des documents LaTeX pour empêcher leur reproduction car c’est uniquement la reproduction des billets eux-mêmes qui est illégale, et pas l’utilisation du motif de protection. Logique, vous allez me dire.

Les cas d’usage sont quand même assez limités, je vous l’accorde. Pourquoi voudriez-vous empêcher quelqu’un de photocopier l’un de vos courrier ? Mais pour les photographes qui veulent protéger leurs œuvres en mode “le photocopillage tue le livre mais m’en fous je vais arrêter la vague de l’IA avec ma fourchette”, ou pour des documents confidentiels d’entreprise, ça peut avoir du sens.

D’ailleurs, les fabricants de photocopieurs et de scanners intègrent ce DRM physique volontairement dans leurs appareils depuis des années. C’est un accord tacite entre l’industrie et les banques centrales pour lutter contre la contrefaçon. Tout le monde le fait, même si légalement, personne n’est obligé.

Voilà, si vous voulez tester, récupérez le template LaTeX de Martin Scharm, ajoutez la constellation EURion à vos documents, et voyez si votre photocopieur au bureau fait la tête. Au pire, ça ne marchera pas. Au mieux, vous aurez créé un document physiquement incopiable. Ensuite en bon agent du chaos, y’a plus qu’à faire des patchs transparents avec cette discrète constellation de points, et à les coller sur la vitre des photocopieurs du boulot ! Et là vous récupérez tous les jours fériés qu’on vous a piqué.

Bon après, dans un monde où tout le monde partage des fichiers numériques, l’intérêt reste limité mais c’est toujours sympa de savoir qu’on peut transformer n’importe quel document en version “anti-copie” juste en ajoutant cinq petits cercles bien placés…

Source

Vous savez ce petit carré noir et blanc que vous scannez sans réfléchir au resto ou sur un parking ? Bah il pourrait bien vider votre compte en banque. Le “quishing”, c’est la nouvelle arnaque qui cartonne et en France, on n’est pas épargnés. Cette forme de phishing par QR code s’inscrit dans une tendance inquiétante car les attaques de phishing ont augmenté de 58% en 2023 dans l’Hexagone.

Le pire, c’est qu’on a tous pris l’habitude de scanner ces trucs les yeux fermés. Pendant la pandémie, c’était même devenu le réflexe : menu du resto, paiement sans contact, infos au musée… Les QR codes étaient partout et on trouvait ça pratique. Sauf que maintenant, les escrocs ont flairé le bon plan. En France, 50 000 particuliers et professionnels ont déjà demandé de l’aide à Cybermalveillance.gouv.fr pour des attaques de phishing, et le quishing représente une part croissante de ces arnaques.

D’après une étude de KeepNet Labs, le quishing a augmenté de 25% cette année au niveau mondial et représente maintenant 26% de tous les liens malveillants. En France, 32% des URL de phishing signalées reposent sur des innovations récentes, QR codes compris. L’hameçonnage donc est devenu la menace numéro 1 pour les particuliers et les collectivités, et la seconde pour les entreprises françaises.

Les techniques des cybercriminels qui mettent ça en place sont variées mais toujours basées sur l’urgence et la confiance. Le coup classique, c’est l’autocollant collé sur un parcmètre ou une borne de recharge. Vous pensez payer votre stationnement, mais en fait vous filez vos infos bancaires à des malfrats. Dans le Loiret récemment, des hackers ont remplacé le QR code d’une borne de recharge électrique. Les utilisateurs pensaient recharger leur Tesla, mais ils rechargeaient surtout le compte des arnaqueurs.

La Federal Trade Commission américaine a aussi lancé l’alerte sur une nouvelle variante de colis non sollicités avec un QR code “pour identifier l’expéditeur”. Cette technique arrive maintenant en France, profitant du boom des achats en ligne.

En France, le smishing (phishing par SMS utilisant souvent des QR codes) connaît une hausse fulgurante depuis 2020. Les arnaques exploitent souvent :

• Comme je vous le disais, tout ce qui est fausses livraisons de colis avec QR codes pour “tracer votre envoi”
• Les notifications de réseaux sociaux frauduleuses
• Les messages d’autorités (impôts, CAF, Ameli) avec QR codes urgents
• Les faux RH d’entreprise demandant de scanner pour “mettre à jour vos informations”

Les cybercriminels adorent jouer sur l’urgence artificielle. Genre, vous recevez un faux PV avec un QR code pour payer l’amende rapidement et éviter des frais supplémentaires. Ou alors c’est votre banque qui vous demande de scanner d’urgence pour “débloquer votre compte”. À chaque fois, c’est la panique qui vous fait agir sans réfléchir. En France, le phishing représente 38% des demandes d’assistance cyber, preuve que cette technique fonctionne terriblement bien.

Ce qui rend le quishing particulièrement dangereux, c’est qu’il contourne les protections classiques. Les filtres anti-spam d’entreprise voient juste une image, et pas de lien suspect. Et souvent, vous scannez ça avec votre téléphone perso qui n’a pas les mêmes protections que votre PC de bureau. Les autorités françaises alertent sur cette progression rapide du quishing, qui profite de l’explosion de l’usage des QR codes depuis la pandémie.

Déjà, la base : ne scannez jamais un QR code qui vient de nulle part. Si c’est sur un autocollant mal collé ou qui semble rajouté après coup, fuyez. Vérifiez toujours l’URL qui s’affiche après le scan. Si ça commence par “http://” au lieu de “https://”, c’est louche. Si l’adresse c’est “app1e.com” au lieu de “apple.com”, c’est de l’arnaque !

Pour les parkings et bornes de recharge, utilisez toujours l’application officielle plutôt que de scanner. C’est moins rapide mais beaucoup plus sûr. Et activez l’authentification à deux facteurs partout où c’est possible. Comme ça, même si les arnaqueurs récupèrent vos identifiants, ils ne pourront pas accéder à vos comptes.

En France, si vous pensez être victime :

• Direction cybermalveillance.gouv.fr qui vous met en relation avec des spécialistes
• Appelez Info Escroqueries au 0 805 805 817 (gratuit)
• Signalez sur Signal Spam ou directement à la CNIL
• Portez plainte au commissariat ou en ligne sur pre-plainte-en-ligne.gouv.fr

Et surveillez vos relevés bancaires comme le lait sur le feu. Le guide complet de Hoxhunt recommande aussi d’utiliser des apps de scan avec vérification de sécurité intégrée. Certaines analysent l’URL avant de l’ouvrir et vous alertent si c’est suspect.

D’ailleurs, voici un super outil à tester pour savoir si vous êtes assez bête pour encore vous faire avoir avec cette arnaque alors que vous venez de lire cet article:

Le quishing, c’est donc vraiment l’arnaque du moment. Simple, efficace et difficile à détecter. Avec une hausse de 58% des attaques de phishing en France et des QR codes frauduleux qui se multiplient, il est crucial de rester vigilant. Maintenant que vous savez comment ça marche et que vous connaissez l’ampleur du phénomène en France, vous avez toutes les cartes en main pour ne pas tomber dans le panneau.