UN TEL MODULE.

La présente invention concerne un module d'identification et un procédé de pointage sur un lieu de travail distant utilisant ce module.

Il existe à ce jour de nombreux dispositifs d'identification utilisant une technique de biométrie telle que l'analyse de l'empreinte digitale, de la paume de la main, de l'iris de l'œil, etc.

Cependant ces dispositifs sont très souvent coûteux et nécessitent la mise en place d'une infrastructure adaptée, par exemple, sous forme d'un câblage du lieu d'utilisation. Ces dispositifs sont alors parfaitement adaptés aux enregistrements des durées de travail des salariés.

En effet, des procédés et dispositifs de pointage sont employés depuis de nombreuses années pour permettre aux salariés d'enregistrer la durée journalière du travail qu'ils effectuent pour leur employeur. Des pointeuses sont ainsi généralement disposées à l'entrée des entreprises et sont reliées directement ou indirectement à une unité informatique de traitement des pointages permettant de calculer la durée de travail effectuée par chaque salarié et le salaire correspondant. Ce type de pointage ne pose aucun problème au regard des dispositions légales réglementant sa mise en œuvre lorsque les salariés travaillent dans les locaux de leur entreprise. Moyennant le respect des réglementations sur les données personnelles, ces pointeuses peuvent inclure des moyens d'analyse biométrique pour en augmenter la sécurité et/ou en simplifier l'utilisation, par exemple par suppression du badge.

En revanche, cette mise en œuvre est beaucoup plus délicate lorsque le salarié est affecté à un poste dans les locaux d'une autre entreprise par exemple dans le cadre d'opération de maintenance ou d'accès à des sites sensibles. Dans le cadre de ces opérations, les entreprises prestataires devraient dépêcher une personne chargée de faire pointer ces salariés sur le lieu de leur travail. Compte tenu des difficultés de mise en œuvre d'une telle solution, il est fréquent qu'aucun pointage ne soit réalisé.

Un but de l'invention est de fournir une solution pour le pointage des salariés exerçant dans des lieux distants des locaux de leur employeur. A cet effet, on prévoit, selon un aspect de l'invention, un module d'identification portable comprenant :

• un boîtier de format de poche et contenant :

• un capteur d'une caractéristique biométrique à la surface dudit boîtier ;

• un élément de traitement de la caractéristique biométrique fournissant un résultat numérique ; et

• un émetteur adapté pour envoyer ledit résultat numérique sous une forme sécurisée via un signal DTMF par une voie téléphonique. Selon des modes particuliers de réalisation, utilisables seuls ou en combinaison :

• le signal DTMF est un signal modifié pour être transporté par la voie téléphonique comme un signal vocal ;

• le module comprend un capot monté mobile sur le boîtier entre une position de protection du capteur et une position de dégagement de ce capteur permettant son utilisation ;

• l'élément de traitement comporte une mémoire contenant des informations d'au moins une caractéristique biométrique de référence et un comparateur de la caractéristique biométrique captée et de chaque caractéristique biométrique de référence, le résultat numérique étant le résultat dudit comparateur adapté pour indiquer si la caractéristique biométrique captée correspond, ou non, à la, ou à une des, caractéristique(s) biométrique(s) de référence ; • la mémoire contient alors également un identifiant associé à chaque caractéristique biométrique de référence et le résultat numérique transmis est l'identifiant correspondant à la caractéristique biométrique reconnue ;

• l'élément de traitement est adapté pour que le résultat numérique soit le gabarit, ou une signature de celui-ci, de la caractéristique biométrique captée ;

• Ie module comprend en outre un récepteur d'un signal acoustique adapté pour, en relation avec l'émetteur, établir une session de communication avec un serveur IPBX via un appareil de téléphonie quelconque ;

• le module comprend en outre des moyens de paiement pour déclencher une autorisation de paiement transmise par l'émetteur et dans lequel les moyens de traitement comportent une mémoire contenant une caractéristique biométrique de validation et sont adaptés pour n'activer les moyens de paiement que si la caractéristique biométrique captée correspond à la caractéristique biométrique de validation ; • le module comprend en outre un logement d'une étiquette RFID permettant d'inactiver par défaut ladite étiquette RFID et dans lequel les moyens de traitement comportent une mémoire contenant une caractéristique biométrique de validation et sont adaptés pour n'activer l'étiquette RFID que si la caractéristique biométrique captée correspond à la caractéristique biométrique de validation.

Selon un second aspect de l'invention, un procédé de pointage horaire comprend une phase de paramétrage et une phase de fonctionnement nominal, la phase de paramétrage comportant les étapes de : • affecter à au moins un utilisateur

• le module d'identification précédent contenant une caractéristique biométrique dudit utilisateur et un identifiant et

• au moins un numéro de poste téléphonique autorisé de l'utilisateur ; • mémoriser dans un serveur IPBX l'identifiant et le numéro de poste téléphonique autorisé de l'utilisateur ;

• la phase de fonctionnement nominal comportant les étapes de :

• à son arrivée sur le lieu de travail et à son départ de celui-ci, faire appeler le serveur par l'utilisateur depuis le poste téléphonique et • authentifier l'utilisateur par le module d'identification par une vérification d'une caractéristique biométriquede l'utilisateur capturée, et • si l'authentification réussie, faire émettre par le boîtier un signal d'authentification réussie au serveur contenant l'identifiant de l'utilisateur, et

• au sein du serveur vérifier le numéro d'appel et l'identifiant et mémoriser une heure de l'appel et l'identifiant dans un fichier d'archivage des pointages.

L'invention peut être mise en œuvre à partir d'un téléphone fixe ou mobile. Ceci permet un enregistrement des horaires des salariés. Avec l'utilisation d'un poste téléphonique du lieu de travail ou en localisant l'appel via un mobile, la présence de l'utilisateur sur le lieu de travail est attestée. Le serveur IPBX peut assurer de manière simple la reconnaissance du numéro de téléphone et la mémorisation des données d'appels comme le numéro et l'heure des appels. Le pointage est de la sorte assuré de manière simple et fiable. L'identification de l'utilisateur est réalisée par le module d'identification qui, grâce à la caractéristique biométrique, permet de s'assurer que la personne appelante est effectivement l'utilisateur enregistré.

Si le numéro d'appel est différent du numéro de poste téléphonique du lieu de travail de l'utilisateur dont l'identifiant a été communiqué au serveur, l'identifiant et l'heure d'appel sont mémorisés dans un fichier d'archivage des défaillances.

Il est possible de garder une trace des pointages défaillants qui pourront être traités ultérieurement par un opérateur.

D'autres caractéristiques et avantages de l'invention ressortiront à la lecture de la description qui suit d'un mode de mise en œuvre particulier non limitatif de l'invention.

Il sera fait référence aux dessins annexés, parmi lesquels :

- la figure 1 est une vue schématique d'un système de pointage selon un mode de réalisation de l'invention, illustrant la mise en œuvre d'un procédé de pointage selon un mode de réalisation de l'invention ;

- la figure 2 est une vue schématique en perspective d'un module d'identification selon un mode de réalisation de l'invention ; et - la figure 3 est une vue schématique en perspective d'une variante de réalisation du module de la figure 2.

En référence à la figure 1 , le procédé et le système de pointage sont agencés pour permettre à des utilisateurs travaillant en dehors des locaux 1 de la société les employant, en des lieux 2 pourvus de postes téléphoniques 3, de communiquer leurs horaires de présence sur leurs lieux de travail. Les postes téléphoniques 3 sont reliés à un réseau de télécommunication 100 comprenant ici le réseau téléphonique et le réseau Internet.

Le procédé de pointage est mis en œuvre au moyen d'un système comprenant un serveur IPBX 10 d'une plate-forme de réception d'appels d'un opérateur téléphonique. Le serveur IPBX 10 est associé à une mémoire qui contient :

- des identifiants d'utilisateurs et des numéros d'au moins un des postes téléphoniques 3 du lieu de travail de chaque utilisateur, poste téléphonique à partir duquel les utilisateurs sont autorisés à appeler le serveur IPBX 10 pour pointer,

- un fichier d'archivage des pointages,

- un fichier d'archivage des défaillances de pointage.

Le serveur IPBX 10 est relié au réseau 100 par des moyens de traitement de la voix sur Internet (VoIP), ces moyens assurant la décompression des flux provenant d'Internet. Le serveur IPBX 10 est joignable par un numéro d'appel tel qu'un numéro d'appel non taxé.

Le procédé de l'invention comprend une phase de paramétrage du serveur IPBX 10 comportant les étapes de : - affecter à au moins un utilisateur un identifiant et au moins un numéro de poste téléphonique 3 du lieu de travail 2 de l'utilisateur ;

- mémoriser dans le serveur IPBX 10 l'identifiant et le (ou les) numéro de poste téléphonique 3 du lieu de travail 2 de l'utilisateur.

L'identifiant de l'utilisateur comprend un sous-identifiant de la société employant l'utilisateur et un sous-identifiant personnel de l'utilisateur. De préférence, la société mémorise dans une table contenue dans un serveur 20, d'une part, les identifiants de ses employés travaillant hors de ses locaux 1 et, d'autre part, un ou plusieurs numéros de postes téléphoniques 3 se trouvant sur le lieu de travail 2 de ses employés. Le serveur 20 est relié au réseau 100. Cette table est transmise via le réseau Internet 100 à un serveur 30 de centralisation des données de pointage qui communique ces tables au serveur IPBX 10 via un serveur WEB 31 relié au réseau Internet 100 et au serveur 30. Ces serveurs 30 et 31 sont ici hébergés dans les locaux d'un prestataire de service 32 qui tient une base de données pour chacun de ses clients (ici seule la société 1 est cliente), chaque base de données contenant la table du client et les pointages de ses employés distants pour une période donnée et étant accessible par le serveur 20 pour permettre à la société de mettre à jour la table et de récupérer les pointages. En variante, ces serveurs pourraient être hébergés directement par la société employant les utilisateurs.

Le procédé comprend une phase de fonctionnement nominal comportant les étapes de :

- à son arrivée sur le lieu de travail 2 et à son départ de celui-ci, l'utilisateur appelle le serveur IPBX 10 depuis le poste téléphonique 3 qu'il est autorisé à utiliser et communique son identifiant au serveur IPBX 10 ;

- le serveur IPBX 10 vérifie le numéro d'appel et l'identifiant et mémoriser une heure de l'appel et l'identifiant dans le fichier d'archivage des pointages.

Lors de l'appel téléphonique au serveur IPBX 10, le serveur IPBX 10 guide l'utilisateur par des indications sonores ou vocales de telle manière que l'utilisateur puisse au moment opportun transmettre son identifiant via le poste téléphonique 3 qu'il est autorisé à utiliser. L'identifiant est ainsi transmis par signaux DTMF modifiés au serveur IPBX 10. Il est à noter que les signaux

DTMF sont modifiés pour garantir qu'ils seront acheminés par le réseau téléphonique comme un signal de voix et non sous forme d'une signalisation

DTMF. Cette modification peut consister, par exemple, à modifier la fréquence de base de ces signaux.

Le serveur IPBX 10 vérifie si le numéro du poste utilisé par l'utilisateur correspond à un des numéros de poste téléphonique mémorisés en liaison avec l'identifiant présenté. Si le numéro d'appel correspond à l'un de ces numéros, le server IPBX 10 mémorise une heure de l'appel et l'identifiant dans le fichier d'archivage des pointages. Si le numéro d'appel ne correspond pas à l'un de ces numéros, ou si ce numéro d'appel est masqué, l'identifiant et l'heure d'appel sont mémorisés dans un fichier d'archivage des défaillances. Le prestataire fait périodiquement émettre une requête par le serveur WEB 31 pour récupérer via le réseau 100 les fichiers d'archivage et mémorise les pointages dans la base de données de la ou les sociétés clientes correspondant aux identifiants mémorisés dans le fichier d'archivage. Pour s'assurer que la personne effectuant le pointage est bien un des utilisateurs enregistrés, l'identification de l'utilisateur comprend une étape d'authentification de l'utilisateur réalisée par une vérification d'une donnée biométrique de l'utilisateur.

La donnée biométrique est capturée par un boîtier ou module d'identification détenu par l'utilisateur et le module émet après l'authentification un signal d'authentification réussie ou un signal d'échec transmissible par voie téléphonique et reconnaissable par le serveur. Le serveur IPBX est programmé pour enregistrer dans le fichier d'archivage une indication de réussite ou d'échec d'une authentification en fonction d'un signal de réussite d'authentification transmis par voie téléphonique au cours de l'appel. Le signal de réussite est, par exemple, l'identifiant de l'utilisateur.

Le module d'identification portable comprend un capteur de caractéristique biométrique, un élément de traitement de la caractéristique biométrique afin de fournir un résultat numérique, et un émetteur pour envoyer le résultat numérique sous forme d'un signal DTMF par une voie téléphonique.

Dans le mode de réalisation décrit en détail, la caractéristique biométrique est l'empreinte digitale. Cependant, on comprend que d'autres caractéristiques biométriques sont utilisables comme l'analyse de l'iris de l'œil ou la forme du visage à condition de permettre au module de rester portable.

Le module d'identification, généralement désigné en 50, comprend un boîtier 51 intégrant un microprocesseur 52 qui constitue l'élément de traitement et est relié à :

- un capteur d'empreinte digitale 53 comprenant ici une surface sensible affleurant une surface externe du boîtier 51 ;

- une horloge 54 ;

- une mémoire 55 non volatile contenant, d'une part, un programme d'authentification, un programme de cryptage, une clé de cryptage, un historique des transactions et, d'autre part, sous forme cryptée un numéro de série et une ou plusieurs image de l'empreinte digitale de l'utilisateur ;

- un microphone 56 et un haut-parleur 57 via un dispositif d'émission/réception 58 de signaux DTMF modifiés; - une source d'alimentation 59, ici une batterie ;

- des indicateurs lumineux 60.

Le boitier a un format de poche, par exemple inférieur à 30 cm ³ , de façon à permettre un transport aisé du module par l'utilisateur sans gêne particulière et qu'ainsi, l'utilisateur puisse disposer en permanence de ce module. Par exemple, le boitier est conçu pour que le module puisse servir de porte-clés. Dans le mode de réalisation décrit, l'ensemble du module a un poids inférieur à 50 g.

Le programme d'authentification est agencé pour capturer une image d'une empreinte d'un doigt posé sur le capteur d'empreinte digitale 53 et la comparaison de cette image à une image mémorisée.

Le programme de cryptage permet de crypter ou décrypter des données contenues dans la mémoire 55 ou des messages reçus en provenance du serveur IPBX 10.

De préférence, la mise en service du module d'identification est réalisée au moyen d'un commutateur associé à un capot 61 monté sur le boîtier pour être mobile entre une position de protection du capteur d'empreinte digitale 53 et une position de dégagement de ce capteur permettant son utilisation.

Les indicateurs lumineux 60 comprennent ici : - un indicateur 60.1 de validation,

- un indicateur 60.2 d'erreur,

- un indicateur 60.3 indiquant qu'il faut placer le module devant l'écouteur du combiné du poste téléphonique,

- un indicateur 60.4 indiquant qu'il faut placer le module devant le microphone du combiné du poste téléphonique.

L'horloge 54 est ici une horloge temps réel ayant une précision de l'ordre de deux minutes par an.

Un mode de fonctionnement du module va être décrit à titre d'exemple. L'utilisateur désirant pointer appelle le serveur IPBX 10 depuis un poste téléphonique autorisé et ouvre le capot 61 et le microprocesseur 52 allume brièvement l'indicateur 60.1 si le niveau de charge de batterie est correct pour montrer que le module est prêt à fonctionner. Si le niveau de charge de batterie est trop faible, le microprocesseur 52 fait clignoter l'indicateur 60.2 pour montrer qu'il faut changer la batterie.

Dans le premier cas, le microprocesseur 52 se met en attente d'un doigt sur le capteur d'empreinte digitale 53.

Lorsqu'un doigt est détecté, une image de l'empreinte de ce doigt est capturée et comparée par le microprocesseur 52 après cryptage à l'image mémorisée.

Si la comparaison est réussie, l'indicateur 60.4 est allumé et un message DTMF crypté est transmis. Ce message contient : le numéro de série du module 50, l'état de la batterie, l'heure locale fournie par l'horloge, la validité de l'heure (batterie changée ou non), une valeur d'intégrité du message (par exemple une somme de contrôle). Ce message constitue une indication d'authentification réussie. L'identification de l'utilisateur se fait alors par relation entre le numéro de série du module et l'utilisateur, relation établie lors de la remise du module à cet utilisateur. Le message peut également contenir une signature numérique de l'empreinte digitale, ou un identifiant associé à cette empreinte digitale, ceux-ci permettant au serveur d'établir l'identité de l'utilisateur.

Si le message est correctement reçu par le serveur IPBX 10, un message audio est transmis au poste téléphonique que l'utilisateur utilise. L'heure locale et l'identifiant sont mémorisés dans le fichier d'archivage des pointages.

Si la comparaison est un échec, le microprocesseur 52 allume l'indicateur 60.2.

A noter que si l'horloge a été réinitialisée, le pointage n'est pas possible et une phase de configuration doit être réalisée.

La phase de configuration permet l'enregistrement d'une empreinte dans le module d'identification et sa transmission au serveur IPBX 10 directement et la mise à l'heure de l'horloge 54. L'utilisateur désirant entrer dans la phase de configuration appelle le serveur IPBX 10 depuis un poste téléphonique autorisé et ouvre le capot 61 et le micro-processeur 52 allume brièvement l'indicateur 60.1 si le niveau de charge de batterie est correct pour montrer que le module est prêt à fonctionner, Si le niveau de charge de batterie est trop faible, le microprocesseur 52 fait clignoter l'indicateur 60.2 pour montrer qu'il faut changer la batterie.

Dans le premier cas, le microprocesseur 52 se met en attente d'un doigt sur le capteur d'empreinte digitale 53. Lorsqu'un doigt est détecté, une image de l'empreinte de ce doigt est capturée et comparée par le microprocesseur 52 après cryptage à l'image mémorisée.

En l'absence d'empreinte mémorisée, le microprocesseur 52 fait clignoter l'indicateur 60.3 et envoie un message DTMF crypté contenant : le numéro de série du module 50, l'état de la batterie, l'heure locale fournie par l'horloge, la validité de l'heure (batterie changée ou non), la présence d'une empreinte digitale mémorisée, un octet aléatoire de contrôle.

Le microprocesseur fait ensuite clignoter l'indicateur 60.3 pour que l'utilisateur présente le module 50 devant l'écouteur du combiné. Le serveur IPBX 10 émet alors un message crypté contenant : l'autorisation d'enregistrer une empreinte, une mise à l'heure de l'horloge 54 si l'heure n'était pas valide, une copie de l'octet aléatoire, une valeur d'intégrité du message (par exemple une somme de contrôle).

Une opération d'enregistrement d'empreinte est alors réalisée. Le début de cette opération est par exemple signalé par un signal sonore ou lumineux.

En cas d'impossibilité de connexion au serveur IPBX, il est possible de prévoir que les pointages soient mémorisés dans le module d'identification 50 pour être transmis ultérieurement. Le module d'identification peut faire l'objet de variantes permettant des utilisations particulières.

Il peut enregistrer plusieurs caractéristiques biométriques d'une même personne ou les caractéristiques biométriques de plusieurs personnes. Dans ce dernier cas, un identifiant est associé à chaque empreinte/personne. Cet identifiant étant envoyé par l'émetteur, le serveur récepteur est capable de déterminer la personne qui a utilisée le module. Cela permet ainsi, avantageusement, d'utiliser un seul module d'identification pour toute une équipe de travail devant pointer d'un même endroit. La possibilité d'enregistrer plusieurs empreintes d'une même personne permet d'ajouter une condition de sécurité en définissant un des doigts comme un doigt d'alerte utilisé quand l'utilisateur agit sous la contrainte. Ainsi le serveur est informé que l'opération en cours n'est pas réalisée sous le contrôle indépendant de l'utilisateur. Le résultat numérique envoyé peut être le gabarit de l'empreinte digitale c'est-à-dire l'ensemble des coordonnées des minuties définissant l'unicité d'une empreinte ou un codage de ce gabarit. L'identification de l'utilisateur se fait alors au niveau du serveur qui compare le gabarit reçu avec une base de données de gabarits connus. Dans le cas d'autres caractéristiques biométriques telles que l'iris de l'œil ou la forme du visage, le gabarit est l'ensemble des coordonnées des points remarquables définissant l'unicité de la caractéristique.

Dans cette variante de réalisation, le module d'identification n'a plus alors à être paramétré pour un utilisateur particulier. Cela permet également une identification d'utilisateur à distance. Par exemple, Alice appelle Bob pour lui transmettre une information confidentielle, Bob souhaitant vérifier l'identité d'Alice d'une manière fiable et infalsifiable, Bob demande à Alice de s'identifier par le module d'identification :

• Alice positionne le module d'identification devant le haut-parleur de son combiné téléphonique

• Alice pose le doigt sur le capteur d'empreinte 53 ;

• Le module d'identification envoie le code et/ou le gabarit au format DTMF modifiés ;

• L'IPBX intercepte la trame, la décrypte et l'envoie vers le serveur d'identification d'empreinte ;

• Si l'empreinte est reconnue, l'IPBX émet un bip court vers le téléphone de Bob (ou tout signal défini comme une reconnaissance positive) • Si l'empreinte n'est pas reconnue, il émet un bip long vers le téléphone de Bob (ou tout signal défini comme une reconnaissance négative)

Dans une troisième variante, le module d'identification a en mémoire les informations d'une carte de paiement pour permettre un paiement sécurisé à distance. La capacité qu'a le module biométrique à mémoriser plusieurs empreintes digitale le rend utilisable par plusieurs personnes. Par exemple,

• Un consommateur effectue des achats sur un site internet, au moment du paiement, le site lui attribue un numéro de commande (ex : 2475) et lui demande d'appeler un numéro de téléphone pour effectuer le paiement de sa commande ;

• Le consommateur appelle un numéro de téléphone ;

• Un serveur vocal l'invite à composer son numéro de commande ; puis • Le serveur vocal lui demande de s'identifier par le module d'identification ;

• Le consommateur pose le module d'identification sur le microphone du son combiné téléphonique et pose le doigt sur le capteur 53 ;

• Le module d'identification envoi en DTMF modifiés les informations nécessaires au paiement ;

• L'IPBX envoi ces informations vers un site de paiement sécurisé ;

• Le serveur vocal confirme ou pas la validité du paiement.

Dans une quatrième variante, figure 3, le module d'identification loge dans une trappe 63 prévu spécialement à cet effet une étiquette RFID. La carte électronique du module d'identification est équipe d'un circuit 62 conçu spécialement pour empêcher l'étiquette RFID de transmettre son code quand il se trouve en présence d'un signal radio d'activation en provenance d'un émetteur. Quand l'utilisateur pose son doigt et si son empreinte est connue, le module d'identification désactive le fonctionnement du circuit 62 pendant 5 secondes ce qui va permettre à l'étiquette RFID de retrouver son fonctionnement normal.

La généralisation de la technologie RFID et la traçabilité d'un consommateur porteur d'une telle technologie à son insu pose un problème de vie privée. Cette variante permet avantageusement au consommateur de reprendre la maîtrise de la technologie car il est le seul à pouvoir rendre son étiquette active.

De plus, la technologie RFID est de plus en plus utilisée pour de système de contrôle d'accès ou de paiement électronique en inter-entreprise

(machine à café, photocopieur, restaurant d'entreprise,...). Le vol momentané ou définitif d'une telle carte pose un problème sérieux de sécurité. Grâce à cette variante, en cas de vol, la carte est inutilisable.

L'invention a été illustrée et décrite en détail dans les dessins et la description précédente. Celle-ci doit être considérée comme illustrative et donnée à titre d'exemple et non comme limitant l'invention a cette seule description. De nombreuses variantes de réalisation sont possibles.

La mémoire du module peut également contenir l'identifiant de l'utilisateur et l'élément de commande est agencé pour émettre l'identifiant par voie téléphonique sous forme de signaux DTMF modifiés.

Lorsque le procédé est mis en œuvre dans plusieurs pays, un seul serveur IPBX est de préférence utilisé. Dans ce cas, on prévoit un numéro d'appel par pays permettant de joindre la plate-forme de réception d'appel d'un opérateur de chaque pays qui retransmet la communication via une liaison par exemple SDSL jusqu'au serveur IPBX.

L'invention est utilisable également au moyen de téléphones mobiles ou cellulaires. Il est en outre possible d'effectuer une localisation du téléphone soit par l'intermédiaire d'un émetteur/récepteur GPS intégré par celui-ci soit par l'opérateur téléphonique. Le module peut intégrer un émetteur GPS.

Dans les revendications, le mot « comprenant » n'exclue pas d'autres éléments et l'article indéfini « un/une » n'exclue pas une pluralité.