A DES DISPOSITIFS ELECTRONIQUES

L'invention concerne le domaine des dispositifs électroniques, et plus particulièrement des documents électroniques sécurisés. L'invention concerne notamment des méthodes de détermination d'une clé de chiffrement commune entre des dispositifs électroniques.

La lecture des informations de la puce d'un document électronique sécurisé tel qu'un passeport biométrique de l'état de l'art est typiquement subordonnée à une forme d'authentification (afin d'empêcher la lecture par des personnes non autorisées) ainsi qu'à l'établissement d'un canal sécurisé afin d'éviter l'interception d'informations sensibles. La puce d'un document électronique est ainsi un élément de sécurité.

Par exemple, dans un mode de fonctionnement identifié par l'acronyme BAC (pour Basic Access Control) la lecture du document est chiffrée et requiert la présentation d'une clé obtenue par dérivation d'informations résultant de la lecture de la MRZ (acronyme désignant une zone lisible par lecture optique, tiré de l'anglais « Machine Readable Zone ») dudit document. La MRZ d'un passeport comprend typiquement la date de naissance du porteur, la date d'expiration du passeport ainsi qu'un numéro de série du passeport. Le mode BAC est spécifié dans le document 9303 de l'OACI (Organisation de l'Aviation Civile Internationale). Ce mode BAC est optionnel dans le cadre de l'OACI, mais son support est obligatoire notamment au sein de l'union européenne.

Un autre mode de fonctionnement (EAC, pour Extended Access Control) ajoute une étape d'authentification mutuelle de la puce du document et du lecteur du document. EAC utilise un chiffrement plus fort que BAC. EAC est typiquement utilisé pour protéger les données biométriques (telles que les empreintes digitales, données de reconnaissance d'iris ou données de reconnaissance de visage). Le mode EAC est également spécifié dans le document 9303 de l'OACI, et de manière plus détaillée dans la décision n °2909 de la commission européenne (datée du 28 juin 2006). Au sein de l'union européenne, le support du mode EAC est également obligatoire, pour tous les documents émis à partir du 28 juin 2009. L'EAC vise notamment à s'assurer que seuls les lecteurs autorisés (généralement dénommés « inspection Systems » en anglais) puissent lire les documents électroniques, du moins leurs données sensibles telles que les données biométriques. La spécification de l'EAC dans le cadre de l'union européenne a été préparée par le BSI (administration allemande en charge de la sécurité de l'information) et figure dans le rapport technique n °TR 31 10 du BSI. D'autres États utilisent une implémentation du mode EAC qui leur est propre. Dans le cadre de l'union européenne, l'authentification EAC de la puce du document permet d'une part d'authentifier la puce (afin de s'assurer qu'elle est authentique, et non clonée) et d'autre part d'établir un canal de communication sécurisé (plus sécurisé qu'un canal établi par le mode BAC). Quant à l'authentification EAC du lecteur (« Terminal Authentication »), elle permet de s'assurer que le lecteur est effectivement autorisé à lire des informations sensibles du document et s'appuie sur des certificats numériques (qui ne sont pas des certificats selon la norme X.509 mais sont vérifiables par la puce).

A l'heure actuelle, les documents supportant le mode BAC sont extrêmement répandus. L'authentification BAC implique une certaine lenteur lors de l'accès aux documents. En effet, le titulaire du document doit sortir le document (de sa poche ou de l'endroit où il est rangé), et le donner au fonctionnaire de l'autorité compétente. Le fonctionnaire doit alors ouvrir le document à la bonne page (celle sur laquelle est imprimée la MRZ), et le placer correctement (c'est-à-dire avec un alignement approprié) sur un capteur. Le capteur doit alors capturer la MRZ par numérisation puis reconnaissance optique de caractères, afin de dériver une clé de chiffrement du canal de communication entre le document et le lecteur du document. Le lecteur est typiquement un lecteur sans contact, les documents contenant en général une puce sans contact (qualifiée parfois de puce RFID). Ça n'est qu'à ce stade que le lecteur peut lire la puce pour y acquérir les données sécurisées pertinentes, par exemple des données biométriques telles que des empreintes digitales (étant entendu qu'en Europe l'EAC est nécessaire pour accéder aux données biométriques) ou d'autres données personnelles. Il reste alors, le cas échéant, à obtenir les données biométriques du titulaire du document (par exemple en lui faisant placer ses doigts sur un capteur d'empreintes digitales), afin de les comparer aux données biométriques stockées.

Un tel mode opératoire s'avère relativement long et n'est pas sécurisé de manière très satisfaisante.

L'invention vise à améliorer la situation.

Un aspect de l'invention concerne un procédé de détermination d'une clé de chiffrement commune entre un premier dispositif électronique (tel qu'un lecteur) et un deuxième dispositif électronique (tel qu'un passeport électronique), le deuxième dispositif stockant une (ou plusieurs) information(s) biométrique(s) d'un utilisateur. Le procédé comprend:

/a/ l'obtention, par le premier dispositif, d'une information biométrique d'un utilisateur,

Ibl la détermination, par chacun des deux dispositifs, des résultats d'une fonction de hachage cryptographique appliquée à chaque résultat d'une pluralité de fonctions de type LSH appliquées chacune à l'information biométrique respectivement stockée et obtenue,

Ici la transmission par l'un quelconque des deux dispositifs à l'autre dispositif des résultats déterminés à l'étape Ibl,

lôl l'authentification biométrique de l'utilisateur par le dispositif destinataire des résultats transmis en fonction des résultats reçus à l'étape Ici et des résultats déterminés à l'étape Ibl,

lel en cas d'authentification réussie, la détermination d'une clé de chiffrement commune par chacun des deux dispositifs, à l'aide d'au moins une partie des résultats des fonctions de type LSH.

Ce procédé est avantageux en ce qu'il permet une lecture beaucoup plus rapide du dispositif électronique, puisqu'aucune lecture de MRZ n'est plus nécessaire (bien qu'elle reste possible). Tout peut ainsi se passer sans même que le dispositif ne soit sorti de la poche du titulaire (par exemple lors du passage d'un sas de sécurité), à moins que le dispositif ne comprenne un système de sécurité l'empêchant de communiquer lorsques certaines conditions ne sont pas remplies, par exemple lorsqu'il n'est pas ouvert (et qu'il soit rangé en position fermée). En effet, pour s'assurer du consentement du titulaire du dispositif à ce que son dispositif soit lu, le dispositif peut comprendre une fonction le désactivant automatiquement. Dans le cas d'un passeport, ce dernier peut être désactivé lors que sa couverture est en position fermée (par exemple l'antenne peut être de manière connue repliée sur elle-même lorsque l'on referme le passeport et donc ne pas être opérationnelle) et alternativement lorsque d'autres conditions sont remplies, telles qu'une distance trop éloignée du lecteur, une position non horizontale, etc. Cependant, même dans ce dernier cas, la lecture optique de la MRZ et sa reconnaissance, qui sont des opérations longues (nécessitant de la dextérité de la part de l'opérateur), sont évitées par le procédé selon cet aspect de l'invention, et l'on peut ainsi économiser de précieuses secondes d'attente pour chaque titulaire de dispositif électronique. Ceci peut s'avérer très utile notamment pour les services d'immigration d'aéroports ou de ports, qui peuvent être amenés à faire face soudainement à des centaines voire des milliers de porteurs (qui peuvent être des voyageurs, des employés d'un aéroport, etc.).

De surcroît, il a été montré que les données de la MRZ ne fournissaient pas une entropie très forte, c'est-à-dire qu'il est envisageable qu'un attaquant devine si ce n'est la MRZ entière, du moins suffisamment d'information pour qu'une attaque par recherche exhaustive des informations non devinées soit concevable. Le procédé est donc également avantageux en ce qu'il permet d'améliorer la sécurité de l'authentification par le dispositif électronique du lecteur tentant d'y accéder.

Un autre avantage du procédé est qu'il permet d'authentifier le porteur d'un dispositif (tel qu'un passeport biométrique) avant d'autoriser l'accès aux données stockées dans le dispositif (par exemple le passeport). A contrario, dans un passeport biométrique classique (mettant en oeuvre des techniques BAC et/ou EAC), l'authentification du porteur se fait a posteriori. Un autre aspect de l'invention concerne un dispositif électronique, comprenant:

un module d'obtention d'information biométrique d'un utilisateur,

- un module de traitement d'information biométrique par application d'une pluralité de fonctions de type LSH à l'information biométrique, puis par application d'une fonction de hachage cryptographique à chaque résultat de chaque fonction de type LSH de ladite pluralité de fonctions,

un émetteur pour transmettre une information biométrique traitée, - un module d'échange de clé pour déterminer une clé de chiffrement à l'aide d'au moins une partie des résultats des fonctions de type LSH utilisées par le module de traitement d'information biométrique.

Un tel dispositif est avantageux en ce qu'il permet notamment de mettre en œuvre le procédé selon le premier aspect de l'invention.

Un autre aspect de l'invention concerne un dispositif électronique stockant une (ou plusieurs) information(s) biométrique(s) d'un utilisateur, le dispositif comprenant:

un récepteur pour recevoir un ensemble de condensais,

- une unité d'authentification biométrique d'un utilisateur par le dispositif en fonction d'une comparaison d'un ensemble de condensais reçus à un ensemble de condensais obtenus par application d'une fonction de hachage cryptographique aux résultats de fonctions de type LSH appliquées à l'information biométrique stockée,

- une unité de détermination de clé pour déterminer une clé de chiffrement sur la base d'au moins une partie d'un ensemble de condensais reçus par le récepteur et ayant donné lieu à une comparaison positive par l'unité d'authentification.

Un tel dispositif est avantageux en ce qu'il permet notamment de mettre en œuvre le procédé selon le premier aspect de l'invention.

Un autre aspect de l'invention concerne un système comprenant deux dispositifs électroniques selon les précédents aspects de l'invention. Un tel système est avantageux en ce qu'il permet notamment de mettre en œuvre le procédé selon le premier aspect de l'invention.

Un autre aspect de l'invention concerne un programme d'ordinateur comprenant une série d'instructions mettant en œuvre le procédé selon le premier aspect de l'invention lorsque ces instructions sont exécutées par un processeur.

Un autre aspect de l'invention concerne un support de stockage non transitoire lisible par ordinateur, comprenant un programme d'ordinateur selon le précédent aspect de l'invention.

D'autres aspects, buts et avantages de l'invention apparaîtront de manière non limitative à la lecture de la description de quelques uns de ses modes de réalisation.

L'invention sera également mieux comprise à l'aide des dessins, sur lesquels :

la Figure 1 illustre différentes étapes d'un procédé selon l'invention ; la Figure 2 illustre un système selon l'invention.

Un premier mode de réalisation concerne un procédé de détermination d'une clé de chiffrement commune entre un premier dispositif électronique (par exemple un lecteur) et un deuxième dispositif électronique (par exemple un passeport). Cette clé de chiffrement peut servir notamment à la transmission (par exemple sans contact) sécurisée, au premier dispositif, d'une information sensible stockée dans le deuxième dispositif électronique. Le deuxième dispositif stocke une information biométrique d'un utilisateur. Cette information biométrique peut par exemple servir à autoriser l'utilisateur à lire l'information sensible. L'information sensible peut par exemple comprendre des information professionnelles, des droits d'accès, des informations personnelles concernant un porteur du dispositif électronique (telles que tout ou partie de ses données biométriques, son nom, l'ensemble de ses prénoms, sa date et son lieu de naissance, sa ou ses nationalité(s), son adresse, son statut marital, ses enfants éventuels, ses derniers voyages ayant nécessité de justifier son identité à l'aide du dispositif électronique, la date d'émission du dispositif électronique, sa date de péremption, l'autorité d'émission, etc.). Ce premier mode de réalisation est illustré schématiquement sur la Figure 1 , qui en montre les étapes essentielles. Les étapes se déroulant dans le lecteur sont indiquées sur la droite, celles qui se déroulent dans le dispositif électronique étant représentées sur la gauche.

Le dispositif électronique peut être une carte à puce à contact, sans contact, ou mixte. Par exemple, il peut s'agir d'une carte SIM (Subscriber Identity Module) pour téléphonie mobile, d'une carte bancaire, d'une carte de santé (telle que la carte Vitale en France), d'une carte de transport (telle que la carte Navigo en France), d'une carte d'accès à des bâtiments, ou encore d'une carte PKI (Public Key Infrastructure) pour sécurisations de communications réseaux (telles que les emails, etc.). Le dispositif électronique peut également être un document électronique (tel qu'un passeport électronique, un visa électronique, un permis de conduire électronique, une carte d'identité électronique, etc.), une clé USB (Universal Sériai Bus) sécurisée (par exemple comprenant des fonctions d'authentification et/ou de signature électronique et/ou de chiffrement), etc. Il s'agit typiquement (mais pas nécessairement) d'un dispositif portable à ressources contraintes.

Le premier dispositif peut être un lecteur, notamment un lecteur de cartes à puces (contact, sans contact ou mixte), et plus généralement tout appareil disposant d'une interface en mesure de se connecter au dispositif électronique afin de communiquer avec lui et de capacités de calcul matérielles et/ou logicielles appropriées (microcontrôleur, logique micro-codée, processeur, DSP, etc.).

Dans une étape /a/, le procédé comprend l'obtention, par le premier dispositif, d'une information biométrique d'un utilisateur. Cette obtention peut être issue d'un capteur biométrique (par exemple capteur capacitif d'empreintes digitales, caméra pour photographier un iris, etc.) qui peut faire partie du premier dispositif, ou peut faire partie d'un équipement auquel le premier dispositif est connecté (l'obtention peut donc consister en une réception depuis l'extérieur, et non seulement en une acquisition locale par un capteur). Ainsi, le prétendu titulaire d'un passeport biométrique peut-il, dans le cas de l'usage d'une information biométrique de type « empreinte digitale », placer un doigt (dont l'empreinte est censée être stockée dans le passeport) sur un capteur d'empreinte du lecteur, afin de capter l'empreinte et de permettre de vérifier ultérieurement sa correspondance avec celle stockée dans le passeport.

Dans une étape Ibl, le procédé comprend la détermination, par chacun des deux dispositifs, des résultats d'une fonction de hachage cryptographique appliquée à chaque résultat d'une pluralité de fonctions de type LSH appliquées chacune à l'information biométrique respectivement stockée et obtenue.

Par exemple, un dispositif (tel qu'un lecteur) peut calculer les résultats de plusieurs fonctions LSH appliquées chacune à une information biométrique obtenue via un capteur biométrique, et un deuxième dispositif (par exemple un passeport) peut en parallèle calculer les résultats de plusieurs fonctions LSH (les mêmes que celles du lecteur) appliquées chacune à une information biométrique stockée. Bien entendu, lorsqu'une information biométrique est déjà stockée, ces résultats de fonctions LSH peuvent avoir être calculés à l'avance et avoir été stockés avec les informations biométriques (cela évite de recalculer ces résultats à chaque authentification). Ceci permet d'accélérer le traitement (une lecture de résultat est généralement beaucoup plus rapide qu'un calcul de résultat de fonction LSH, à moins d'une accélération matérielle). Cependant, comme les résultats des fonctions LSH ne sont pas nécessairement tous utiles par la suite (par exemple pour la détermination de la clé de chiffrement), il peut être opportun de ne pas ni les calculer ni les stocker à l'étape Ibl, et de ne recalculer (par la suite) que ceux qui sont nécessaires. Ceci conduit potentiellement à un procédé d'exécution plus lente, mais économisant de la mémoire, ce qui peut être très pertinent notamment pour des dispositifs à mémoire contrainte (ce qui est généralement le cas des passeports électroniques).

LSH (pour Locality Sensitive Hashing) est une technique reposant sur l'utilisation de fonctions de hachage choisies de façon à ce que des points proches dans un espace d'origine de grande dimension aient une forte probabilité d'avoir la même valeur de hachage. Les fonctions LSH sont bien connues, un exemple particulier étant décrit notamment dans l'article Locality- Sensitive Hashing Scheme Based on p-Stable Distributions, de Mayur Datar (Department of Computer Science, Stanford University), Piotr Indyk, Nicole Immorlica et Vahab S. Mirrokni (tous trois du Laboratory for Computer Science, MIT), dans Proceedings of the Symposium on Computational Geometry (2004) dont le contenu est incorporé par référence. Les fonctions LSH utilisées dans cette étape Ibl sont choisies de façon à ce qu'appliquées à deux informations biométriques obtenues à partir de la même origine (par exemple deux empreintes digitales obtenues à partir du même doigt du même individu), elles aient une probabilité substantielle d'être identiques (à conditions que les informations biométriques soient captées avec une qualité suffisante). Deux informations biométriques obtenues à deux instants différents n'ont qu'une probabilité infinitésimale d'être identiques. En pratique, il est par exemple impossible que deux empreintes digitales obtenues consécutivement soient absolument identiques, en raison notamment de l'orientation légèrement différente du doigt, de la pression légèrement différente du doigt sur le capteur, et de nombreux autres paramètres. Cependant, l'application d'une pluralité de fonctions LSH à ces deux informations biométriques (chaque fonction LSH étant appliquée respectivement à la première puis à la deuxième information biométrique et produisant un premier puis un deuxième résultat) produit deux ensembles de résultats dont un sous ensemble commun est identique. Le sous ensemble peut varier, c'est-à-dire que pour deux jeux différents de deux informations biométriques, un nombre différent de fonctions LSH (ou un sous ensemble de fonctions LSH différent bien que de même cardinal) peut produire des résultats identiques.

Par exemple, étant données six fonctions LSH (LSH1 , LSH2, LSH3, LSH4, LSH5 et LSH6) et trois empreintes digitales (ID1 , ID2 et ID3) du même doigt du même individu, on peut avoir par exemple :

LSH1 (ID1 ) = LSH1 (ID2) mais LSH1 (ID1 )≠ LSH1 (ID3),

LSH2(ID1 )≠ LSH2(ID2), LSH2(ID2)≠ LSH2(ID3) et

LSH2(ID1 )≠ LSH2(ID3), LSH3(ID1 )≠ LSH3(ID2), mais LSH3(ID2) = LSH3(ID3),

LSH4(ID1 ) = LSH4(ID2) = LSH4(ID3),

LSH5(ID1 ) = LSH5(ID2) mais LSH5(ID1 )≠ LSH5(ID3), et

LSH6(ID1 )≠ LSH6(ID2) mais LSH6(ID1 ) = LSH6(ID3).

On constate ainsi qu'au moins deux fonctions LSH donnent à chaque fois un résultat identique quel que soit le jeu d'empreintes. Lors d'une comparaison, on s'intéresse évidemment à chaque fois à la même fonction (c'est-à-dire que comparer LSHi(x) et LSHj(y), où x et y sont deux informations biométriques, n'a de sens que si i=j, pour des indices i et j différents la comparaison n'a pas de sens en général).

Il existe des fonctions de type LSH autres que les fonctions LSH. De telles fonctions connues sont par exemple les « similarity hash functions ». On connaît également une technique dite « fuzzy hashing ». Les techniques de « similarity hash functions » et de « fuzzy hashing » sont notamment utilisées pour comparer rapidement des fichiers en « computer forensics » (analyse de données consécutive à une attaque sur ces données afin par exemple de tenter de déterminer le mode opératoire de l'attaque et ses auteurs). Ceci a été décrit notamment par exemple dans les travaux de Jesse Kornblum de la division CFIA de la société ManTech International Corporation, dans un article intitulé « Computer Forensics and Intrusion Analysis, Fuzzy Hashing » présenté dans le cadre de la conférence HTCIA 2006 (High Tech Crime Investigation Association), dont le contenu est incorporé par référence.

L'information biométrique stockée dans le dispositif électronique est avantageusement une information biométrique de qualité élevée (par rapport à la qualité requise à l'étape /a/ ci-dessus). On peut ainsi être plus exigeant lors d'une personnalisation du dispositif électronique (étape initiale durant laquelle on charge notamment les informations du titulaire). Cette exigence peut se traduire par l'imposition (le cas échéant) d'un nombre élevé d'enregistrements d'informations biométriques du titulaire, jusqu'à ce qu'un des enregistrements atteigne un niveau de qualité prédéterminé (le titulaire peut avoir à placer son doigt sur le capteur un grand nombre de fois). On peut également, avantageusement, enregistrer plusieurs empreintes de qualité élevée, et effectuer alors une comparaison par rapport à chacune de ces empreintes, soit selon un critère cumulatif (pour renforce l'authentification, c'est-à-dire qu'il faut une authentification par rapport à toutes les empreintes stockées pour être finalement authentifié), soit de manière alternative (pour limiter les rejets erronés d'authentification, une authentification positive par rapport à l'une quelconque des empreintes stockées étant suffisante pour être finalement authentifié).

A contrario, lors de l'étape /a/, on cherche typiquement à augmenter la rapidité de traitement et l'on peut par exemple décider que toute information biométrique obtenue sera utilisée dans la suite du procédé. Si l'information biométrique est de très mauvaise qualité, elle ne sera pas reconnue, même si elle est issue du véritable titulaire, et nécessitera une nouvelle mise en œuvre du procédé, qui peut globalement ralentir le procédé. On recherche donc en pratique un compromis entre le risque de FRR (False Rejection Rate) à savoir le refus d'un titulaire légitime (authentification concluant à une absence de correspondance entre les informations soumises et les informations stockées) dû à une information biométrique de mauvaise qualité, et le temps éventuellement plus élevé requis pour s'assurer que l'information biométrique saisie est de qualité suffisante. La qualité peut être imposée par exemple (dans le cas des empreintes digitales) en imposant une certaine pression du doigt (ni trop forte ni trop faible), un certain centrage et une certaine orientation du doigt, ou encore une certaine durée d'application du doigt, de sorte qu'une pression trop faible ou trop courte entraine automatiquement une requête de nouvelle obtention de l'empreinte (sans même chercher à poursuivre le procédé avec l'empreinte de qualité présumée insuffisante afin de déterminer si le procédé aboutit néanmoins à une authentification). Une faible qualité de l'information biométrique obtenue entraine généralement la baisse du nombre de fonctions LSH produisant un résultat identique à celui des mêmes fonctions LSH appliquées à l'information biométrique stockée. Ainsi, si l'on compare une empreinte de faible qualité à une empreinte de bonne qualité, le nombre de fonctions LSH produisant le même résultat sera faible, et si l'on compare deux empreintes de faible qualité, aucune fonction LSH ne produira peut-être le même résultat alors que les deux empreintes sont censées correspondre au même individu. Dans l'étape /b/, après avoir éventuellement calculé les résultats de différentes fonctions LSH, le procédé peut alors comprendre la détermination, par chacun des deux dispositifs, des résultats d'une fonction de hachage cryptographique appliquée à chaque résultat de chaque fonction de type LSH de ladite pluralité de fonctions. Ainsi, si l'on applique six fonctions LSH (LSH1 à LSH6) à une information biométrique obtenue IDobt, et, si l'on utilise la fonction SHA-256, on peut calculer les résultats à déterminer selon l'étape /b/, à savoir SHA-256(LSH1 (IDobt)), SHA-256(LSH2(IDobt)),

SHA-256(LSH3(IDobt)), SHA-256(LSH4(IDobt)), SHA-256(LSH5(IDobt)) et SHA-256(LSH6(IDobt)). De même, pour une information biométrique stockée IDsto, on peut calculer SHA-256(LSH1 (IDsto)), SHA-256(LSH2(IDsto)), SHA-256(LSH3(IDsto)), SHA-256(LSH4(IDsto)), SHA-256(LSH5(IDsto)) et SHA-256(LSH6(IDsto)). Ces résultats peuvent alternativement avoir été précalculés et stockés. On peut alors éventuellement s'abstenir de stocker les valeurs intermédiaires (par exemple LSH1 (IDsto), LSH2(IDsto), LSH3(IDsto), LSH4(IDsto), LSH5(IDsto) et LSH6(IDsto)) résultant de l'application des fonctions LSH, comme précédemment indiqué. La détermination des résultats déjà stockés peut se résumer à leur lecture depuis la mémoire (par exemple une mémoire Flash ou EEPROM) où ils sont stockés. Ce stockage des résultats peut être effectué par exemple une fois pour toutes, quand un passeport est émis (lors de sa personnalisation), dans une usine spécialisée, ou encore dans une préfecture ou un consulat. Selon un mode de réalisation possible, ce calcul de hachage cryptographique peut faire intervenir d'autres données (telles que la MRZ, un PIN, des paramètres système, etc.) ce qui peut présenter l'avantage de combiner la biométrie avec d'autres facteurs et d'améliorer la diversification des données calculées.

Une fonction de hachage cryptographique est une fonction qui a une probabilité élevée de produire deux résultats complètement différents même lorsque l'on lui soumet deux entrées très proches (ayant par exemple un seul bit de différence). Des exemples connus de fonctions de hachage cryptographique comprennent notamment les fonctions SHA-1 , SHA-256, ou encore MD5 (considéré moins sûr que les deux précédents). Les fonctions de hachage cryptographique présentent l'avantage (lorsqu'elles sont bien conçues) de ne divulguer que très peu d'information (idéalement aucune information) sur leur paramètre d'entrée, c'est-à-dire que le résultat d'une fonction de hachage cryptographique ne permet pas de deviner quel était le paramètre d'entrée de la fonction de hachage cryptographique.

La fonction de hachage cryptographique peut être construite à partir de plusieurs fonctions de hachage cryptographique, par exemple le procédé peut prévoir une fonction de hachage cryptographique H qui correspond à la fonction de hachage cryptographique SHA-1 lorsqu'on l'applique à des fonctions LSHi d'indice i pair, et qui correspond à une fonction de hachage cryptographique SHA-256 lorsqu'on l'applique à des fonctions LSHi d'indice i impair.

Dans une étape Ici, le procédé comprend la transmission, de l'un quelconque des deux dispositifs à l'autre dispositif, des résultats de chaque application de la fonction de hachage cryptographique. Par exemple, un lecteur peut transmettre les résultats calculés à un passeport. Dans l'exemple ci-dessus, le procédé transmet ainsi les six valeurs SHA-256(LSH1 (IDobt)), SHA-256(LSH2(IDobt)), SHA-256(LSH3(IDobt)), SHA-256(LSH4(IDobt)), SHA-256(LSH5(IDobt)) et SHA-256(LSH6(IDobt)). Il serait cependant également possible que ce soit le passeport qui transmette les résultats au lecteur, voire que les deux dispositifs échangent leurs résultats (double transmission, c'est-à-dire transmission dans les deux sens).

Dans une étape lûl, le procédé comprend l'authentification biométrique de l'utilisateur par le dispositif destinataire des résultats transmis en fonction des résultats reçus à l'étape Ici et des résultats déterminés à l'étape /b/. Dans le cas où les deux dispositifs échangent leurs résultats (transmission par chacun des deux dispositifs à l'autre dispositif) le procédé peut ainsi effectuer deux authentifications (une sorte d'authentification mutuelle).

Dans une étape le/, le procédé comprend, en cas d'authentification réussie, la détermination d'une clé de chiffrement commune par chacun des deux dispositifs, à l'aide d'au moins une partie des résultats des fonctions de type LSH. Il s'agit par exemple de résultats ayant donné lieu à une comparaison positive. On peut utiliser la totalité des résultats identiques, ou un sous ensemble de ces résultats (par exemple selon un critère d'entropie, c'est- à-dire que l'on peut décider de disposer d'au moins autant de bits d'entropie que la longueur de la clé de chiffrement désirée). Ainsi, si sur six fonctions LSH (LSH1 à LSH6), les fonctions LSH1 , LSH4 et LSH5 donnent le même résultat lorsqu'on les applique à l'information biométrique stockée et à l'information biométrique obtenue (les fonctions LSH2, LSH3 et LSH6 donnant des résultats différents), et si dans le cas d'espèce cette triple égalité est suffisante pour valider l'authentification, le procédé peut utiliser les trois résultats (LSH1 (IDobt), LSH4(IDobt) et LSH5(IDobt), qui par hypothèse sont égaux à LSHI (IDsto), LSH4(IDsto) et LSH5(IDsto)), pour déterminer la clé de chiffrement. Le procédé peut également n'utiliser que deux (voire un seul) de ces trois résultats, selon un choix qui peut être arbitraire (par exemple aléatoire), si deux (voire un) résultat suffisent pour fournir une entropie suffisante pour la clé de chiffrement. Ainsi, si chaque fonction LSH fournit un résultat codé sur 200 bits, mais ayant en réalité une entropie de 130 bits, et si l'on souhaite générer une clé de chiffrement AES de 192 bits, on peut ainsi n'utiliser que deux résultats de fonctions LSH sans diminuer la sécurité de la clé AES générée par rapport à l'utilisation des trois résultats (mais un seul résultat LSH conduirait en l'espèce à une sécurité inférieure de la clé de chiffrement AES).

Les résultats de fonctions LSH utilisés pour déterminer la clé de chiffrement peuvent avoir été pré-stockés (les six résultats LSHi(IDsto) pour tout i entre 1 et 6 peuvent avoir été pré-stockés, sans qu'il soit nécessairement certain que les six seraient utiles). Dans le cas contraire, on peut les recalculer (en l'espèce on pourrait recalculer les résultats pour i = 1 , 4 et 5, voire deux d'entre eux seulement, par exemple 1 et 4, ou 1 et 5, ou 4 et 5, dans le cas envisagé où l'entropie de deux résultats est suffisante).

Ces résultats de fonctions LSH peuvent par exemple être hachés à l'aide d'une fonction de hachage cryptographique afin de produire la clé de chiffrement. Afin d'éviter d'utiliser souvent la même clé (les résultats ayant donné lieu à une comparaison positive pouvant être souvent les mêmes), il est possible d'introduire des nombres aléatoires. Par exemple, le dispositif électronique peut générer un nombre aléatoire a et le transmettre au lecteur, et/ou le lecteur peut générer un nombre aléatoire r et le transmettre au dispositif électronique. Un intérêt de faire générer un nombre aléatoire par chacune des parties (nombres a et r) et non pas seulement par l'une des parties (dispositif électronique ou lecteur) est lié au fait que chaque partie s'assure de cette façon que la clé est bien différente à chaque fois. Ainsi, si le procédé s'appuie sur k fonctions LSH à fk et si, H étant une fonction de hachage cryptographique, b étant l'information biométrique stockée dans le dispositif électronique, b' étant une information biométrique captée par le lecteur, t étant un entier inférieur ou égal à k, les t indices à i _t correspondent aux fonctions fn .. .fit pour lesquelles f _M (b)=f _jt -, (t)') ...f _it (b)=f it(b') (les autres fonctions produisant des résultats différents), alors la clé de chiffrement commune peut être calculée par le dispositif électronique grâce à la formule H (a, r, fj-i (b), f _i2 (b), ... f _it (b)) et par le lecteur grâce à la formule H(a, r, fn (b'), fi2(b'), ... fit(b')), les deux résultats étant identiques. Il est également possible de n'utiliser qu'un sous ensemble des fonctions fn .. .fit pour le calcul de la clé de chiffrement.

Si la sortie du hash cryptographique est trop courte par rapport à la longueur de clé requise, il est possible de calculer plusieurs hashs (qui peuvent être la même fonction de hash cryptographique, par exemple la fonction SHA-1 , appliquée à différentes entrées). Dans ce cas le procédé s'assure que l'entropie de l'entrée fournie à chaque calcul de hash est au moins égale à la longueur de la sortie du hash, ce qui se produit par exemple si la longueur de la clé de chiffrement requise n'est pas un multiple de la longueur de la sortie du hash cryptographique utilisé).

D'autres méthodes de détermination de clés sont possibles. Notamment, les résultats ayant donné lieu à une comparaison positive peuvent être utilisés par exemple comme diversifiant d'une clé maître commune entre le lecteur et le dispositif électronique, afin de générer la clé de chiffrement commune. Les résultats étant typiquement plus longs que la longueur requise pour le diversifiant (en nombre de bits), on peut soit n'utiliser qu'une portion des résultats d'entropie suffisante, soit utiliser une fonction à sens unique réduisant la longueur disponible. Par exemple, les résultats peuvent être divisés en blocs de même taille (la taille désirée pour le diversifiant), le bloc éventuellement incomplet (si la taille des résultats n'est pas un multiple de la taille de chaque bloc) étant complété par des bits de poids fort à zéro afin d'avoir des blocs de même taille. On peut alors réaliser un ou exclusif entre tous les blocs obtenus (ainsi si l'entropie d'un ou plusieurs des blocs est inférieure aux prévisions, par exemple en raison d'une attaque, on peut néanmoins, selon le type d'attaque, supposer que l'entropie du ou exclusif de tous les blocs est améliorée).

Cependant, l'utilisation d'une clé maître et surtout son partage sécurisé entre plusieurs entités (dispositif électronique et lecteur) sont beaucoup plus contraignants que la simple génération de nombres aléatoires, qui est bien plus simple à mettre en œuvre.

Dans une étape /g/, le procédé peut comprendre l'envoi au premier dispositif (par exemple un lecteur), par le deuxième dispositif (par exemple un passeport), d'une information sensible du deuxième dispositif, chiffrée par la clé de chiffrement commune. Réciproquement, le premier dispositif peut également transmettre des informations sensibles au second.

Ce procédé permet de remplacer avantageusement la lecture de la MRZ par le calcul d'une clé sur la base de la lecture des données biométriques. Ceci permet de supprimer une étape lente et d'accélérer les temps de traitements (par exemple temps de transit à un poste frontière dans le cas d'un passeport électronique). Ce procédé renforce également l'authentification (par exemple une MRZ a une entropie assez faible et une authentification conventionnelle sur cette seule base n'est pas nécessairement très sécurisée). Un deuxième mode de réalisation concerne un procédé selon le premier mode de réalisation, comprenant une étape préalable d'authentification mutuelle entre les deux dispositifs. Il peut s'agir notamment d'une authentification mettant en œuvre le protocole EAC. L'authentification mutuelle peut se borner à authentifier les objets que sont les deux dispositifs électronique (par exemple un passeport et un lecteur de passeports), indépendamment de l'utilisateur humain des dispositifs électroniques. Les deux dispositifs électroniques peuvent chacun stocker, par exemple, une clé symétrique (par exemple une clé DES, 3DES ou AES). Utiliser la même clé pour tout un système de dispositifs électroniques (par exemple un système de passeports et de lecteurs de passeports) est possible mais n'est pas recommandé, car un attaquant parvenant à craquer un seul passeport ou un seul lecteur pourrait s'affranchir de cette étape préalable d'authentification en la simulant. Il est donc conseillé, par exemple, d'utiliser des clés diversifiées, pouvant consister par exemple en un chiffrement, par une clé symétrique dite clé maître, d'une information spécifique (telle qu'un numéro de série) du passeport électronique. Ainsi, une attaque sur un passeport électronique isolé ne révélerait que la clé diversifiée, qui ne permet pas de remonter à la clé maître. Le lecteur est dans certains contextes réputé mieux contrôlé que le passeport électronique car par exemple sous le contrôle d'une administration, telle qu'un service d'immigration. Le lecteur est également, dans certains contextes, réputé moins sensible que le dispositif électronique (la possibilité de fabriquer de faux passeports pouvant être plus gênante que la possibilité de fabriquer de faux lecteurs de passeports). On peut alors envisager que le lecteur stocke la clé maître des dispositifs afin de déterminer la clé diversifiée de chaque dispositif par lecture d'un numéro de série du dispositif. Dans d'autres contextes, le lecteur peut néanmoins être considéré comme extrêmement sensible, notamment s'il contient par exemple des clés privées étatiques très sensibles. Il est également possible de réaliser une authentification mutuelle à l'aide de techniques de cryptographie asymétrique, par exemple avec des algorithmes de type RSA, DSA, courbes elliptiques, etc. Les passeportsélectroniques et les lecteurs peuvent ainsi chacun stocker une paire de clés asymétriques ainsi qu'un certificat (tel qu'un certificat X.509) associé à la clé publique de la paire de clés.

Cette authentification mutuelle est avantageuse notamment en ce qu'elle évite à un lecteur d'envoyer des données potentiellement sensibles à n'importe quel passeport électronique (y compris un passeport électronique de hacker), et réciproquement elle évite à un passeport électronique de recevoir des données envoyées par n'importe quel lecteur et d'avoir à se prononcer sur leur caractère authentique ou non, alors qu'elles sont éventuellement envoyées à des fins d'attaques. Des variantes consistent, au lieu d'une authentification mutuelle, en une simple authentification du lecteur vis-à-vis du passeport électronique, ou du passeport électronique vis-à-vis du lecteur. Ces variantes permettent une simplification de l'architecture, et peuvent être avantageusement mises en œuvre lorsque les scénarios d'attaque envisagés sont dissymétriques, par exemple en cas d'attaque beaucoup plus probable (ou beaucoup plus dommageable) sur le passeport que sur le lecteur, ou réciproquement. Dans un scénario d'attaque généralement considéré comme plus probable (mais cela dépend de chaque système), c'est l'authentification du passeport électronique qui est la plus importante (on peut parler d'authentification active). Ainsi, il peut être avantageux, dans un sas de sécurité (dans un aéroport), d'isoler le passeport électronique d'un usager en train de présenter son empreinte digitale d'éventuelles « puces adverses » d'attaquants qui pourraient chercher à s'immiscer dans le processus d'authentification. Ceci permet notamment d'éviter qu'un passeport électronique « pirate » reçoive les résultats de l'étape Ibl ci-dessus lors d'une étape Ici, car le procédé serait interrompu, par exemple avant même l'étape /a/. Les résultats de l'étape Ici sont conçus pour ne pas divulguer d'information sensible à un attaquant potentiel, cependant il est encore plus sûr de ne rien divulguer que de divulguer des informations conçues pour être sûres (et qui pourraient cesser de l'être à la suite d'une attaque non envisagée initialement).

Un troisième mode de réalisation concerne un procédé selon le premier ou deuxième mode de réalisation, comprenant l'envoi d'un nombre aléatoire par le deuxième dispositif au premier dispositif, et l'envoi d'un nombre aléatoire par le premier dispositif au deuxième dispositif, la fonction de hachage cryptographique étant appliquée à une concaténation du résultat de l'application de chaque fonction de type LSH et des deux nombres aléatoires. Dans ce cas les résultats de la fonction de hachage cryptographique ne peuvent être pré-calculés et pré-stockés si les nombres aléatoires qu'ils font intervenir sont inconnus au moment où le pré-stockage est censé avoir lieu. Les nombres aléatoires sont avantageux en ce qu'il permettent d'éviter ce que l'on qualifie communément de « replay attack », à savoir la possibilité pour un tiers d'espionner les résultats (par exemple les valeurs SHA-256(LSH1 (IDobt)), SHA-256(LSH2(IDobt)), SHA-256(LSH3(IDobt)), SHA-256(LSH4(IDobt)), SHA-256(LSH5(IDobt)) et SHA-256(LSH6(IDobt)) ci-dessus) et de simuler un dispositif électronique légitime sur la base de ces informations. Il est avantageux d'utiliser un nombre aléatoire distinct pour chacun des deux dispositifs électroniques, car chaque nombre aléatoire protège son émetteur. Par exemple, le dispositif électronique (par exemple le passeport électronique) qui transmet son propre nombre aléatoire et reçoit en retour un condensât prenant en compte son nombre aléatoire peut en conclure que (statistiquement) ce condensât n'est pas un rejeu, alors qu'en recevant un condensât ne prenant en compte qu'un nombre aléatoire issu de l'autre dispositif, le dispositif électronique n'a pas de garantie que ce nombre aléatoire n'a pas déjà été préalablement généré par cet autre dispositif (faisant alors l'objet d'un rejeu). Réciproquement le lecteur d'un passeport se protège d'un rejeu par un passeport électronique pirate en générant son propre nombre aléatoire. Il est envisageable de n'utiliser qu'un nombre aléatoire issu du lecteur, ou qu'un nombre aléatoire issu du passeport, selon les scénarios d'attaque envisagés, cependant en règle générale un double nombre aléatoire est avantageux. Il est envisageable d'utiliser un seul nombre aléatoire de passeport électronique et un seul nombre aléatoire de lecteur pour l'ensemble des fonctions LSH. Cependant, il est également possible (et encore plus sûr) d'utiliser des nombres aléatoires distincts, c'est-à-dire que pour six fonctions LSH, on peut utiliser douze nombres aléatoires (six générés par le lecteur et six générés par le passeport électronique). Ainsi, en présence de k fonctions à fk (k étant un entier quelconque, et les fonctions f, pouvant être des fonctions LSH) le dispositif peut envoyer k nombres aléatoires n...r _k au lecteur, puis le lecteur peut générer k nombres aléatoires a-| ...a _k et produire des résultats ,ai ,fi(b')),....z _k =H(r _k ,ak,fk(b')), où H est une fonction de hachage cryptographique et b' une information biométrique (telle qu'une empreinte digitale captée au niveau du lecteur). Les 2 ^* k nombres aléatoires peuvent être distincts de deux nombres aléatoires a et r de l'exemple de l'étape lel du premier mode de réalisation, c'est-à-dire qu'il est possible (et avantageux du point de vue de la sécurité) d'utiliser en tout 2 ^* k+2 nombres aléatoires afin de ne pas utiliser les mêmes nombres aléatoires pour protéger les condensais (H(n.ai,fi(b')) avec i=1 ...k) échangés pour l'authentification et pour la détermination de la clé de chiffrement commune (H(a, r, fi-i (b'), fi2(b'), ... fit(b'))).

Un quatrième mode de réalisation concerne un procédé selon le troisième mode de réalisation, dans lequel les deux dispositifs électroniques mettent en œuvre un protocole d'établissement de canal sécurisé (en plus de celui prévu dans le premier mode de réalisation). Par exemple, il peut s'agir d'un protocole de type EAC. Les nombres aléatoires peuvent alors être échangés à travers ce canal sécurisé (évitant ainsi leur interception éventuelle par des attaquants).

Le procédé peut également encapsuler des données sensibles chiffrées par la clé de chiffrement commune en vue d'un échange entre les deux dispositifs dans le canal sécurisé, ou réciproquement ajouter une couche de chiffrement par-dessus le canal sécurisé, cette couche utilisant la clé de chiffrement commune déterminée à l'étape lel.

Un cinquième mode de réalisation concerne un procédé selon l'un des modes de réalisation précédents, comprenant, à l'étape lûl, une étape de comparaison des résultats de la fonction de hachage cryptographique déterminés respectivement par le premier dispositif (par exemple un lecteur) et le deuxième dispositif (par exemple un passeport), ainsi qu'une comptabilisation du nombre de comparaisons positives. L'authentification est alors positive si le nombre de comparaisons positives est supérieur à un certain seuil, le seuil étant inférieur au nombre total de comparaisons. Par exemple, dans l'exemple ci-dessus des six fonctions LSH (LSH1 , LSH2, LSH3, LSH4, LSH5 et LSH6) et des trois empreintes digitales (ID1 , ID2 et ID3), on peut considérer que l'authentification est effective dès lors que deux fonctions LSH au moins produisent le même résultat, et qu'en l'occurrence, les trois empreintes sont bien celles du même individu. On pourrait donc considérer qu'une seule correspondance est insuffisante pour authentifier le titulaire du dispositif électronique, dans la mesure où il pourrait s'agir d'une égalité fortuite et erronée. Cependant, le nombre de fonctions LSH et le nombre d'égalités requises pour l'authentification dépend de chaque système et peut être adapté en conséquence. Pour un même système, il est également possible de faire varier le nombre d'égalités requises afin de trouver un compromis entre FAR (False Acceptance Rate, à savoir le risque d'une authentification réussie alors qu'en réalité les informations biométriques ne correspondaient pas) et FRR (authentification refusée alors que les informations biométriques sont bien celles du même individu). Certains systèmes peuvent privilégier la qualité de l'authentification (au détriment éventuellement de la durée requise pour la mener à bien), d'autres peuvent privilégier la rapidité (au risque de parfois authentifier un individu qui n'aurait pas dû l'être).

Une telle comparaison des valeurs est avantageuse en ce qu'elle est extrêmement simple à mettre en œuvre (il s'agit d'une simple comparaison arithmétiques de valeurs, qui soit sont égales soit ne le sont pas). La comparaison est également très rapide (il suffit de vérifier que tous les bits composant les deux valeurs sont égaux). Une comparaison d'informations biométriques conventionnelle est beaucoup plus lente et complexe. En effet, elle s'appuie sur une mesure de la différence entre les deux informations biométriques comparées, qui implique une prise en compte de la structure de l'information biométrique, et une décision. La décision vise à déterminer si la différence est suffisamment faible pour pouvoir considérer que l'on est en présence de la même information biométrique. Il ne s'agit cependant pas d'une simple différence numérique (telle qu'une soustraction de nombres décimaux), mais d'une différence dans un espace de dimension élevée, beaucoup plus complexe à appréhender. Un sixième mode de réalisation concerne un procédé selon le cinquième mode de réalisation, comprenant, en cas d'authentification positive à l'étape lûl, l'envoi, par un dispositif ayant reçu les résultats de l'autre dispositif durant l'étape Ici, à cet autre dispositif, des indices des fonctions de type LSH dont la comparaison du hachage cryptographique était positive. En effet, un dispositif qui a transmis ses résultats à l'autre dispositif à l'étape Ici n'est pas nécessairement en mesure de savoir quelles sont les fonctions de type LSH qui ont conduit à une comparaison positive. Ces indices permettent par exemple de réaliser l'étape lel de détermination de clé de chiffrement commune (en utilisant les résultats pertinents, et non ceux qui, étant différents, conduiraient à des clés de chiffrement différentes au niveau des deux dispositifs.

Dans certains cas cependant, il est possible que la pluralité de fonctions de type LSH soit composée de fonctions ayant, par exemple, chacune une sensibilité distincte à la variation des paramètres d'entrée, de sorte que l'égalité entre des fonctions très sensibles implique également une égalité entre les fonctions moins sensibles, et que le seul nombre N d'égalités entre les fonctions permette au lecteur de déduire quelles fonctions étaient égales (à savoir les N fonctions les moins sensibles). De surcroît, si l'authentification n'est acquise qu'à partir d'un nombre d'égalités connu du lecteur (par exemple deux égalités de fonctions LSH), le simple fait que l'authentification ait réussi permet au lecteur de connaître un sous ensemble de fonctions LSH dont les résultats ont nécessairement été égaux (par exemple les deux fonctions les moins sensibles). Si ce nombre N est suffisant pour fournir une entropie égale ou supérieure à celle requise pour la clé de chiffrement commune, aucune communication n'est alors requise pour la détermination d'une clé de chiffrement, mais cette communication peut néanmoins être mise en œuvre par le procédé.

Un septième mode de réalisation concerne un procédé selon l'un des modes de réalisation précédents, comprenant, en cas d'authentification positive à l'étape lûl, l'envoi par un dispositif destinataire des résultats transmis à l'étape Ici, à l'autre dispositif électronique, de l'information biométrique obtenue ou stockée, chiffrée par la clé de chiffrement commune.

Ceci permet par exemple de renforcer l'authentification. Ainsi, une authentification réussie selon le mode opératoire du premier mode de réalisation (par présentation de résultats de fonctions de hachage cryptographique) peut permettre dans un premier temps de négocier une clé de chiffrement commune utilisée pour transmettre les informations biométriques, et le dispositif électronique ayant effectué cette première authentification selon l'étape lûl peut alors mener à bien une comparaison beaucoup plus poussée des informations biométriques reçues et stockées, réalisant ainsi une deuxième authentification (par exemple selon une technique conventionnelle éprouvée ayant un FAR plus faible que le FAR de l'étape /d/) des mêmes données biométriques, ou au contraire détectant une erreur dans l'authentification qui n'aurait pas dû être positive.

Par exemple, après authentification biométrique entre un passeport et un lecteur selon l'étape /d/ et détermination d'une clé de chiffrement commune selon l'étape /e/, le lecteur peut envoyer l'information biométrique qu'il a obtenue, chiffrée par cette clé de chiffrement commune, au passeport, qui par exemple en utilisant une technique conventionnelle dite de « match on card » peut vérifier à nouveau que l'information biométrique correspond à celle qui est stockée.

On peut réciproquement prévoir que le passeport, ne disposant pas de fonction de type « match-on-card », envoie au lecteur l'information biométrique de référence stockée, chiffrée par la clé de chiffrement commune, pour validation par le lecteur. Cependant, cela présuppose généralement que le passeport fasse suffisamment confiance au lecteur (par exemple grâce à un procédé d'authentification mutuelle selon le deuxième mode de réalisation). Dans le cas contraire, une authentification biométrique validée à tort à l'étape lûl permettrait d'obtenir les informations biométriques de référence permettant par la suite de s'authentifier même vis-à-vis de dispositifs mettant en œuvre une procédure d'authentification plus robuste.

Un huitième mode de réalisation concerne un dispositif électronique tel qu'un lecteur de passeports.

Le dispositif électronique comprend un module d'obtention d'information biométrique d'un utilisateur (par exemple un capteur d'empreintes digitales, tel qu'un capteur capacitif ou un capteur optique). Le module d'obtention peut également être un récepteur agencé pour recevoir (de préférence de manière sécurisée, par exemple par chiffrement) l'information biométrique de la part d'une entité tierce, telle qu'un serveur. L'information biométrique peut alors être stockée dans le dispositif.

Le dispositif électronique comprend un module de traitement (tel qu'un processeur associé à un logiciel, ou un composant électronique ad hoc basé par exemple sur un circuit logique programmable tel qu'un FPGA - Field Programmable Gâte Array - ou de la logique câblée) d'information biométrique par application d'une pluralité de fonctions de type LSH à l'information biométrique, puis par application d'une fonction de hachage cryptographique à chaque résultat de chaque fonction de type LSH de ladite pluralité de fonctions de type LSH. Le module de traitement est utilisable pour traiter l'information biométrique obtenue par le module d'obtention d'information biométrique.

Le dispositif électronique comprend un émetteur pour transmettre une information biométrique traitée (par le module de traitement), par exemple à un dispositif électronique tel qu'un passeport. L'émetteur peut comprendre par exemple un port série (tel qu'un port USB, un port RS232, port série mettant en œuvre une interface ISO 7816 pour se connecter à une carte à puce à contact, etc.), un port réseau (port Ethernet, port WiFi, etc.), une interface sans contact (de type Bluetooth, Mifare, ISO/IEC 14443 type A ou type B, etc.), ou tout autre port physique de communication. L'émetteur peut comprendre, en plus de l'électronique et des pilotes de périphériques (drivers) éventuellement requis (pour toute transmission de données), un logiciel spécifique pour transmettre l'information biométrique traitée au dispositif électronique. A cette fin, l'émetteur peut comprendre un processeur ou coopérer avec un processeur (tel qu'un processeur du module de traitement) afin d'exécuter le logiciel spécifique. En lieu et place ou en complément du logiciel spécifique, il est possible d'utiliser un composant électronique ad hoc basé par exemple sur un circuit logique programmable tel qu'un FPGA, ou de la logique câblée.

Le dispositif électronique comprend un module d'échange de clé pour déterminer une clé de chiffrement (telle qu'une clé commune entre un lecteur de passeports et un passeport électronique) à l'aide d'au moins une partie des résultats des fonctions de type LSH utilisées par le module de traitement d'information biométrique.

Le dispositif électronique peut également comprendre un récepteur d'informations sensibles pour recevoir (typiquement d'un autre dispositif électronique tel qu'un passeport qui lui est connecté) une information sensible (par exemple du passeport électronique) chiffrée par une clé de chiffrement déterminée par le module d'échange de clé. Le récepteur peut comprendre par exemple un port série (tel qu'un port USB, un port RS232, port série mettant en œuvre une interface ISO 7816 pour se connecter à une carte à puce à contact, etc.), un port réseau (port Ethernet, port WiFi, etc.), une interface sans contact (de type Bluetooth, Mifare, ISO/IEC 14443 type A ou type B, etc.), ou tout autre port physique de communication. Le récepteur peut comprendre, en plus de l'électronique et des pilotes de périphériques (drivers) éventuellement requis (pour toute réception de données), un logiciel spécifique pour recevoir spécifiquement l'information sensible chiffrée de la part du passeport électronique (et la traiter de manière appropriée). A cette fin, le récepteur peut comprendre un processeur ou coopérer avec un processeur (tel qu'un processeur du module de traitement et/ou de l'émetteur) afin d'exécuter le logiciel spécifique. En lieu et place ou en complément du logiciel spécifique, il est possible d'utiliser un composant électronique ad hoc basé par exemple sur un circuit logique programmable tel qu'un FPGA, ou de la logique câblée.

Le dispositif électronique peut être monolithique (un seul équipement électronique tel qu'un lecteur autonome). Alternativement, il peut, par exemple, comprendre une partie lecteur et un ordinateur (tel qu'un ordinateur de type PC, ou un terminal léger piloté par un serveur central). La partie lecteur peut être un simple équipement comprenant une première interface pour communiquer avec un dispositif électronique tel qu'un passeport (par exemple une interface sans contact), et une deuxième interface pour communiquer avec l'ordinateur (telle qu'une interface USB). Selon un mode de réalisation, la partie lecteur réalise simplement une conversion de protocole entre la première et la deuxième interface, ou alternativement réalise une encapsulation d'un protocole de la première interface au sein d'un protocole de la deuxième interface. L'ordinateur peut comprendre un logiciel pour piloter la partie lecteur (et initier ainsi un dialogue avec le dispositif électronique via la partie lecteur, qui se contente alors de convertir les ordres et réponses reçus via chacune des deux interfaces).

Le dispositif peut également comprendre un émetteur d'informations sensibles. Un neuvième mode de réalisation concerne un dispositif électronique (tel qu'un passeport) stockant une information biométrique d'un utilisateur. Le dispositif peut également stocker une information sensible. La lecture de l'information sensible peut être subordonnée à une authentification biométrique sur la base de l'information biométrique stockée.

Le dispositif comprend un récepteur pour recevoir un ensemble de condensais (un condensât et le résultat d'une fonction de hachage). Le récepteur peut comprendre par exemple un port série (tel qu'un port USB, un port RS232, un port série mettant en œuvre une interface ISO 7816 de carte à puce à contact, etc.), un port réseau (port Ethernet, port WiFi, etc.), une interface sans contact (de type Bluetooth, Mifare, ISO/IEC 14443 type A ou type B, etc.), ou tout autre port physique de communication. Le récepteur peut comprendre, en plus de l'électronique et des pilotes de périphériques (drivers) éventuellement requis (pour toute réception de données), un logiciel spécifique pour recevoir les condensais et les traiter de manière appropriée. A cette fin, le récepteur peut comprendre un processeur ou coopérer avec un processeur (tel qu'un microcontrôleur du dispositif électronique) afin d'exécuter le logiciel spécifique. En lieu et place ou en complément du logiciel spécifique, il est possible d'utiliser un composant électronique ad hoc basé par exemple sur un circuit logique programmable tel qu'un FPGA, ou de la logique câblée.

Le dispositif électronique comprend une unité d'authentification biométrique de l'utilisateur par le dispositif en fonction d'une comparaison d'un ensemble de condensais reçus (par le récepteur) à un ensemble de condensais obtenus par application d'une fonction de hachage cryptographique à chacun des résultats de fonctions de type LSH appliquées à l'information biométrique stockée. Les condensais obtenus peuvent être précalculés et stockés par le dispositif électronique (en association avec l'information biométrique stockée), ou être calculés à la demande à partir de l'information biométrique stockée (ce qui ralentit le traitement mais permet d'optimiser la disponibilité de la mémoire non volatile du dispositif électronique, dont les capacités de stockage sont souvent restreintes). La procédure d'authentification mise en œuvre par l'unité d'authentification biométrique peut consister, après avoir comparé les condensais reçus à des condensais obtenus à partir de l'information biométrique stockée, à valider l'authentification si le nombre d'égalités entre condensais dépasse un seuil prédéterminé.

L'unité d'authentification peut être réalisée de manière matérielle (logique câblée, circuit logique programmable, etc.), logicielle (en utilisant par exemple un microcontrôleur du dispositif électronique et un logiciel adapté stocké dans le dispositif), ou mixte (matérielle et logicielle).

Le dispositif électronique comprend une unité de détermination de clé pour déterminer une clé de chiffrement sur la base d'au moins une partie d'un ensemble de condensais reçus par le récepteur et ayant donné lieu à une comparaison positive par l'unité d'authentification. Ainsi, au moins l'un des condensais dont la valeur reçue et la valeur obtenue sont égales peut être utilisé pour déterminer la clé. Par exemple, le condensât peut être utilisé, à partir de son indice, pour déterminer la fonction de type LSH correspondante (de même indice), et le résultat de cette fonction LSH peut être utilisé selon des modes de réalisation précédemment décrits (par exemple selon l'étape lel d'un procédé selon l'invention) pour générer la clé de chiffrement commune. L'unité de détermination peut être réalisée de manière matérielle (logique câblée, etc.), logicielle (en utilisant par exemple un microcontrôleur du dispositif électronique et un logiciel adapté stocké dans le dispositif), ou mixte (matérielle et logicielle).

Le dispositif peut également comprendre un émetteur d'informations sensibles pour envoyer une information sensible du dispositif, chiffrée par la clé de chiffrement. L'émetteur peut comprendre par exemple un port série (tel qu'un port USB, un port RS232, une interface ISO 7816 de carte à puce à contact, etc.), un port réseau (Ethernet, WiFi, etc.), un port sans contact (Bluetooth, Mifare, ISO/IEC 14443 type A ou type B, etc.), ou tout autre port physique de communication. L'émetteur peut comprendre, en plus de l'électronique et des pilotes de périphériques (drivers) éventuellement requis (pour toute transmission de données), un logiciel spécifique pour transmettre l'information sensible au lecteur. A cette fin, l'émetteur peut comprendre un processeur ou coopérer avec un processeur (tel qu'un microcontrôleur du dispositif électronique) afin d'exécuter le logiciel spécifique. En lieu et place ou en complément du logiciel spécifique, il est possible d'utiliser un composant électronique ad hoc basé par exemple sur un circuit logique programmable tel qu'un FPGA, ou de la logique câblée.

Le dispositif peut également comprendre un récepteur d'informations sensibles.

Un dixième mode de réalisation concerne un système comprenant un dispositif électronique (tel qu'un lecteur) selon le huitième mode de réalisation ainsi qu'un dispositif électronique (tel qu'un passeport électronique) selon le neuvième mode de réalisation. Ce système peut également comprendre, par exemple, un portique de sécurité, des caméras de surveillance, ou encore une connexion réseau afin d'enregistrer certaines observations recueillies par le système (statistiques, identification de dispositifs électroniques présumés frauduleux, etc.) dans une base de données centralisée.

Un système selon le dixième mode de réalisation est illustré sur la

Figure 2, qui montre un dispositif électronique (passeport PASS) équipé d'une puce sans contact lui permettant de communiquer avec un lecteur composé d'un ordinateur PC associé à un périphérique d'interfaçage IF. Le périphérique d'interfaçage comprend un capteur d'empreintes digitales BIO (matérialisé par un rectangle définissant une zone sur laquelle le porteur du dispositif électronique doit poser un doigt), ainsi qu'une antenne ANT pour communiquer avec le passeport PASS (l'antenne étant située à l'intérieur du périphérique d'interfaçage, elle est représentée en pointillés). Le périphérique IF est piloté par l'ordinateur, c'est-à-dire que la communication se déroule entre le passeport PASS et l'ordinateur PC par l'intermédiaire du périphérique IF.

Un onzième mode de réalisation concerne un programme d'ordinateur comprenant une série d'instructions mettant en œuvre le procédé selon l'un des sept premiers modes de réalisation lorsque ces instructions sont exécutées par un (ou plusieurs) processeur(s). Différentes instructions peuvent être exécutées par différents processeurs. Ce programme peut être écrit par exemple en langage C, C++, C#, Java, assembleur, ou encore Visual Basic, ainsi que dans une combinaison de ces langages (différentes parties pouvant être écrites en différents langages). Le programme selon le onzième mode de réalisation peut comprendre un programme d'ordinateur chargeable dans un passeport électronique, et qui peut être écrit par exemple en assembleur ou en langage C. Le programme selon le onzième mode de réalisation peut également comprendre un programme d'ordinateur chargeable dans un lecteur, et qui peut être écrit par exemple en langage Java ou Visual Basic.

Un douzième mode de réalisation concerne un support de stockage non transitoire lisible par ordinateur, comprenant un programme d'ordinateur selon le onzième mode de réalisation. Le douzième mode de réalisation concerne notamment une mémoire non volatile telle qu'une mémoire EEPROM, ROM, FLASH ou RAM protégée par batterie, ou encore un support de stockage tel qu'un disque dur, adapté(e) pour prendre place dans un dispositif électronique, et stockant un programme d'ordinateur selon le onzième mode de réalisation. Le support de stockage peut comprendre une association de deux supports de stockage, l'un comprenant une partie du programme selon le onzième mode de réalisation (par exemple une partie exécutable par un passeport électronique), l'autre comprenant une autre partie de ce programme (par exemple une partie exécutable par un lecteur de passeports).

L'invention ne se limite pas aux formes de réalisation décrites ci-avant à titre d'exemple ; elle s'étend à d'autres variantes.

Ainsi, il a été décrit ci-avant un procédé mettant en œuvre des fonctions LSH. Cependant, selon un mode de réalisation possible, on peut utiliser à la place de chaque fonction LSH toute fonction (qualifiée de fonction de type LSH) produisant un vecteur ayant une probabilité substantielle d'être identique lorsque l'on soumet à la fonction deux informations biométriques proches (par exemples deux empreintes du même doigt du même individu, captées consécutivement).

De plus, il a été décrit dans certains modes de réalisation un procédé de transmission sécurisée d'une information sensible d'un passeport à un lecteur, mais une fois la clé de chiffrement commune établie, il est également possible de transmettre de l'information sensible du lecteur vers le passeport. L'invention ne se limite d'ailleurs pas aux passeports électroniques ni à leurs lecteurs, et d'autres dispositifs électroniques (tels que des cartes à puce, des téléphones portables, des ordinateurs portables, des serveurs, des clés USB, des cartes mémoires, ou toutes formes d'appareils électroniques) pourraient être utilisés en lieu et place des passeports électroniques et des lecteurs dans les modes de réalisations décrits.