Procédé et dispositif de génération de données associées à un signal numérique

[0001] L'invention concerne un procédé et un dispositif de génération de données as sociées à un signal numérique tel qu'un signal numérique d'une caractéristique personnelle d'un individu, par exemple une caractéristique biométrique, et un procédé et un dispositif de génération d'informations d'authentification asso ciées à un individu et le procédé et dispositif de contrôle d'identité associés.

[0002] L'authentification d'un individu, autrement dit la vérification de l'identité de l'individu, peut être réalisée en utilisant différents facteurs d'authentification. Ces facteurs d'authentification sont des caractéristiques personnelles de l'indi vidu. Une caractéristique personnelle d'un individu peut comprendre la con naissance d'une information telle qu'un mot de passe, la détention d'un objet tel qu'un téléphone mobile, et/ou une caractéristique propre à l'individu. Une ca ractéristique propre à un individu est, par exemple, une caractéristique biomé trique issue de la mesure et de l'analyse d'une caractéristique physiologique ou comportementale de l'individu. Les principales formes de biométrie physiolo gique sont l'empreinte digitale, l'ADN, le visage, le réseau veineux, l'iris et la forme des oreilles. Les principales formes de biométrie comportementale sont la voix, la démarche et la gestuelle.

[0003] Les caractéristiques personnelles d'un individu sont représentées sous la forme d'un signal numérique, c'est-à-dire d'une chaîne d'éléments binaires.

[0004] L'utilisation de la biométrie est de plus en plus fréquente pour déterminer l'identité d'une personne. En effet, les caractéristiques biométriques d'un indi vidu sont universelles, uniques pour chaque individu, permanentes, immuables et mesurables. En outre, la biométrie permet de prouver l'identité d'un individu sans avoir à se souvenir de codes d'accès, de mots de passe et d'identifiants. En effet, lorsqu'une caractéristique biométrique est utilisée, l'information biomé trique est transformée en un signal numérique puis le signal numérique est croisé avec des données sécurisées préalablement mémorisées. Une fois que l'authentification est réalisée avec succès, les accès correspondant sont donnés.

[0005] Malheureusement, avec le développement des technologies de falsification, ces caractéristiques biométriques peuvent être falsifiées, en particulier le signal nu mérique des caractéristiques biométriques peut être volé, d'où la nécessité de rechercher des techniques complémentaires assurant une meilleure sécurité pour l'authentification.

[0006] Afin d'augmenter la sécurité de l'authentification, les systèmes d'authentifica tion utilisant la biométrie peuvent être mis en œuvre dans un environnement sé curisé tel qu'une enclave sécurisée. Un tel environnement permet de stocker les données représentatives d'une ou plusieurs caractéristiques personnelles et de réaliser les correspondances entre ces données permettant d'authentifier un in dividu.

[0007] La mise en œuvre d'une telle authentification dans un environnement sécurisé présente l'avantage de la sécurité de l'authentification, toutefois, il n'est pas possible d'ajouter un nouveau système d'authentification basé par exemple sur de la biométrie sans avoir les droits d'accès à l'environnement sécurisé.

[0008] Ainsi, ces différentes solutions ne présentent pas un niveau suffisant de sécurité pour la réalisation de l'authentification ou les mécanismes existants ne permet tent pas de faire évoluer les mécanismes d'authentification.

[0009] Le but de l'invention est de remédier aux inconvénients des techniques anté rieures.

[0010] Un autre but est de réaliser un codage simple, reproductible et efficace du si gnal numérique, ce codage du signal numérique évitant l'utilisation ultérieure du signal numérique de sorte à maintenir la confidentialité du signal numé rique.

[0011] Un autre but de l'invention est de permettre la génération d'informations d'au thentification dépendant du signal numérique d'une caractéristique personnelle de l'individu sans toutefois comprendre le signal numérique de la caractéris tique personnelle de l'individu empêchant les personnes non autorisées à effec tuer un contrôle d'identité et renforçant ainsi la sécurité des informations d'au thentification.

[0012] Un autre but de l'invention est de permettre un contrôle d'identité à partir d'une caractéristique personnelle de l'individu et d'informations d'authentification préalablement mémorisées, ledit contrôle d'identité ne pouvant être réalisé que par des personnes autorisées.

[0013] L'invention propose ainsi selon un premier aspect de permettre de générer des données associées à un signal numérique tel qu'un signal numérique d'une ca ractéristique personnelle d'un individu et en particulier d'un signal numérique d'une caractéristique biométrique d'un individu et selon un second aspect de gé nérer des informations d'authentification associées à un individu et de contrôler l'identité d'un individu.

[0014] Selon le premier aspect, l'invention a pour objet un procédé de génération de données associées à un signal numérique tel qu'un signal numérique d'une ca ractéristique personnelle d'un individu, et en particulier un signal numérique d'une caractéristique biométrique d'un individu, au moyen d'un premier en semble de signaux numériques et d'un deuxième ensemble de signaux numé riques. Le procédé comprend :

• l'obtention du signal numérique ;

• la génération d'un vecteur binaire V[1...n] de longueur n au moyen des étapes suivantes : a. une étape de sélection d'un signal numérique du premier ensemble de signaux numériques ; b. une étape de sélection d'un signal numérique du deuxième ensemble de signaux numériques ; c. une étape de détermination du signal numérique le plus proche du signal numérique obtenu entre le signal numérique sélectionné du premier ensemble et le signal numérique sélectionné du deuxième ensemble ; d. une étape d'insertion d'un élément binaire à 1 dans le vecteur binaire V[i] si le signal numérique sélectionné du premier ensemble est plus proche du signal numérique obtenu et d'un élément binaire à 0 dans le cas contraire ;

• la réitération des étapes a. à d. pour une pluralité n de signaux numériques du premier ensemble et pour une pluralité n de signaux numériques du deuxième ensemble, l'élément binaire à 1 ou 0 étant inséré à une i ^eme position respective correspondante du vecteur binaire, avec i = 1 ... n ;

• la délivrance du vecteur binaire V en tant que données associées au signal numérique obtenu.

[0015] Le signal numérique obtenu et les signaux numériques du premier ensemble et du deuxième ensemble peuvent être générés par extraction des caractéristiques d'un signal numérique brut.

[0016] Le signal numérique obtenu et les signaux numériques du premier ensemble et du deuxième ensemble peuvent comprendre chacun un signal numérique d'une caractéristique biométrique.

[0017] Le signal numérique d'une caractéristique biométrique peut dans ce cas repré senter une image d'un individu.

[0018] L'image d'un individu peut alors représenter une image photographique d'indi vidu.

[0019] Le signal numérique d'une caractéristique biométrique peut représenter un en semble de points d'intérêt extraits d'une image d'un individu.

[0020] Le signal numérique d'une caractéristique biométrique peut également repré senter une image auditive d'un individu.

[0021] L'étape d'obtention du signal numérique peut comprendre la réalisation d'une mesure biométrique.

[0022] L'étape c. de détermination du signal numérique le plus proche du signal numé rique obtenu entre le signal numérique sélectionné du premier ensemble et le signal numérique sélectionné du deuxième ensemble peut comprendre :

- un calcul d'une première distance entre le signal numérique obtenu et le signal numérique sélectionné du premier ensemble ; - un calcul d'une deuxième distance entre le signal numérique obtenu et le signal numérique sélectionné du deuxième ensemble ;

- une étape de comparaison de la première distance avec la deuxième distance afin de déterminer la distance la plus petite, si la première distance est la distance la plus petite alors le signal numérique sélectionné du premier ensemble est plus proche du signal numérique obtenu et dans le cas contraire, le signal numérique sélectionné du deuxième ensemble est plus proche du signal numérique obtenu.

[0023] Dans ce cas, la première distance entre le signal numérique obtenu et le signal numérique sélectionné du premier ensemble et la deuxième distance entre le si gnal numérique obtenu et le signal numérique sélectionné du deuxième en semble peuvent alors être des distances euclidiennes.

[0024] Chaque signal numérique du premier ensemble et du deuxième ensemble peut en outre, être défini par sa position dans l'ensemble, et le signal numérique sé lectionné dans le premier ensemble et le signal numérique sélectionné dans le deuxième ensemble ont alors la même position dans le premier et le deuxième ensemble respectivement.

[0025] L'invention a également pour objet un dispositif configuré pour mettre en œuvre le procédé précédemment décrit.

[0026] Selon le second aspect, l'invention a pour objet un procédé de génération d'informations d'authentification associées à un individu ayant un identifiant donné. Le procédé comprend les étapes suivantes :

- obtention d'un signal numérique d'une caractéristique personnelle de l'indi vidu ayant ledit identifiant ;

- génération de données associées au signal numérique obtenu ;

- génération d'un mot de code issu d'un code correcteur d'erreurs choisi pour corriger une quantité d'erreurs en relation avec une quantité d'erreurs statistique entre deux signaux numériques d'une caractéristique personnelle relative à un même individu, à partir des données associées au signal numérique obtenu, le mot de code étant dépendant en outre d'un code de traitement ;

- génération d'une graine à partir d'au moins une partie du mot de code ;

- génération d'une clé de chiffrement à partir de la graine ;

- génération d'informations d'authentification comprenant l'identifiant de l'indi vidu, la clé de chiffrement et le code de traitement.

[0027] Le code de traitement peut être une donnée aléatoire et la génération du mot de code peut être réalisée à partir des données associées au signal numérique ob tenu et du code de traitement.

[0028] De manière alternative, la génération du mot de code peut être issue d'un code correcteur d'erreurs systémique à partir des données associées au signal numé- rique obtenu, le mot de code comprenant les données associées au signal numé rique obtenu et un code de traitement, le code de traitement étant des données de redondance.

[0029] Dans ce cas, la génération de la graine peut être réalisée au moins à partir du code de traitement du mot de code.

[0030] De manière alternative, la génération de la graine peut consister à réaliser une empreinte d'au moins une partie du mot de code.

[0031] La génération d'une clé de chiffrement peut comprendre la génération d'une clé publique et la génération d'informations d'authentification peut alors com prendre la génération d'un certificat de l'individu comprenant l'identifiant de l'individu, la clé publique et le code de traitement.

[0032] De manière alternative, la génération d'une clé de chiffrement peut comprendre la génération d'une clé symétrique et les informations d'authentification peu vent alors comprendre l'identifiant de l'individu, la clé symétrique et le code de traitement.

[0033] Selon le second aspect, l'invention a également pour objet un procédé de con trôle d'identité d'un individu ayant un identifiant donné à partir d'informations d'authentification associées audit individu préalablement mémorisées, les infor mations d'authentification comprenant l'identifiant de l'individu, une clé de chiffrement et un code de traitement dont dépend un mot de code issu d'un code correcteur d'erreurs. Ce mot de code a été en outre généré à partir de don nées associées au signal numérique d'une caractéristique personnelle de l'indi vidu et le code correcteur d'erreurs est choisi pour corriger une quantité d'er reurs en relation avec une quantité d'erreurs statistique entre deux signaux nu mériques d'une caractéristique personnelle relative à un même individu. La clé de chiffrement est obtenue à partir d'une graine générée à partir d'au moins une partie du mot de code. Le procédé comprend les étapes suivantes :

- obtention d'un nouveau signal numérique d'une caractéristique personnelle de l'individu ayant ledit identifiant ;

- génération de nouvelles données associées au nouveau signal numérique ob tenu ;

- génération d'un nouveau mot de code issu d'un code correcteur d'erreurs choisi pour corriger une quantité d'erreurs en relation avec une quantité d'er reurs statistique entre deux signaux numériques d'une caractéristique person nelle relative à un même individu, à partir des nouvelles données associées au nouveau signal numérique obtenu, le nouveau mot de code étant dépendant en outre du code de traitement compris dans les informations d'authentification dudit individu ;

- génération d'une nouvelle graine à partir d'au moins une partie du nouveau mot de code ;

- génération d'une nouvelle clé de chiffrement à partir de la nouvelle graine ; - authentification de l'individu au moyen de la nouvelle clé de chiffrement, d'une donnée d'authentification et de la clé de chiffrement comprise dans les in formations d'authentification dudit individu afin de contrôler l'identité dudit in dividu.

[0034] Le code de traitement compris dans les informations d'authentification peut être une donnée aléatoire et la génération du nouveau mot de code peut alors être réalisée à partir des nouvelles données associées au nouveau signal numé rique obtenu et du code de traitement.

[0035] De manière alternative, le code de traitement compris dans les informations d'authentification peut être constitué de données de redondance, et la généra tion du nouveau mot de code peut alors être issue d'une fonction de correction de code correcteur d'erreurs systémique à partir des nouvelles données asso ciées au nouveau signal numérique obtenu et du code de traitement, le nouveau mot de code comprenant des données corrigées et le code de traitement, les données corrigées correspondant aux nouvelles données associées au nouveau signal numérique obtenu, après correction.

[0036] Dans ce cas, la génération de la nouvelle graine est réalisée au moins à partir du code de traitement du nouveau mot de code.

[0037] De manière alternative, la génération de la graine peut consister à réaliser une empreinte d'au moins une partie du mot de code.

[0038] La clé de chiffrement comprise dans les informations d'authentification peut être une clé publique et la génération de la nouvelle clé de chiffrement peut comprendre la génération d'une nouvelle clé privée et l'authentification de l'individu peut alors comprendre les étapes suivantes :

- signature d'une donnée d'authentification avec la nouvelle clé privée ; et

- vérification de l'identité de l'individu à partir de la donnée d'authentification signée et de la clé publique comprise dans les informations d'authentification.

[0039] Selon une variante de réalisation, la clé de chiffrement comprise dans les infor mations d'authentification peut être une clé publique, la génération de la nou velle clé de chiffrement peut comprendre la génération d'une nouvelle clé pri vée et l'authentification de l'individu peut alors comprendre les étapes sui vantes :

- chiffrement d'une donnée d'authentification avec la clé publique comprise dans les informations d'authentification; et

- vérification de l'identité de l'individu par déchiffrement de la donnée d'au thentification chiffrée et de la nouvelle clé privée.

[0040] Selon encore une autre variante de réalisation, la clé de chiffrement comprise dans les informations d'authentification peut être une clé symétrique, la généra tion de la nouvelle clé de chiffrement peut comprendre la génération d'une nou velle clé symétrique ; et l'authentification de l'individu peut alors comprendre les étapes suivantes : - génération d'un premier code d'authentification à partir d'une donnée d'au thentification et de la nouvelle clé symétrique ;

- génération d'un deuxième code d'authentification à partir de la donnée d'au thentification et de la clé symétrique comprise dans les informations d'authenti fication ;

- vérification de l'identité de l'individu au moyen du premier et du deuxième codes d'authentification.

[0041] L'invention a également pour objet un dispositif configuré pour mettre en œuvre au moins l'un des procédés précédemment décrits.

[0042] On va maintenant décrire des exemples de réalisation de la présente invention en référence aux figures annexées où les mêmes références désignent d'une fi gure à l'autre des éléments identiques ou fonctionnellement semblables :

[0043] [fig.l] illustre un mode de réalisation particulier d'un dispositif électronique configuré pour mettre en œuvre le procédé de génération de données associées à un signal numérique conformément au premier aspect de l'invention.

[0044] [fig.2] illustre un exemple de mode de réalisation du procédé de génération de données associées à un signal numérique conformément au premier aspect de l'invention, mis en œuvre dans un dispositif électronique.

[0045] [fig.3] illustre un exemple de mode de réalisation du procédé de génération de données associées à un signal numérique dans le cas particulier d'un signal nu mérique d'une caractéristique personnelle d'un individu, à savoir une caractéris tique biométrique, mis en œuvre dans un dispositif électronique.

[0046] [fig.4] illustre un mode de réalisation particulier d'un dispositif électronique configuré pour mettre en œuvre le procédé de génération d'informations d'au thentification associées à un individu et le procédé de contrôle d'identité asso cié conformément au second aspect de l'invention.

[0047] [fig.5] illustre un autre mode de réalisation particulier du dispositif électro nique configuré pour mettre en œuvre le procédé de génération d'informations d'authentification associées à un individu et le procédé de contrôle d'identité as socié conformément au second aspect de l'invention.

[0048] [fig.6] illustre un mode de réalisation du procédé de génération d'informations d'authentification associées à un individu conformément au second aspect de l'invention.

[0049] [fig.7] illustre une première variante de réalisation du procédé de génération d'informations d'authentification associées à un individu conformément au se cond aspect de l'invention.

[0050] [fig.8] illustre une deuxième variante de réalisation du procédé de génération d'informations d'authentification associées à un individu conformément au se cond aspect de l'invention.

[0051] [fig.9] illustre une troisième variante de réalisation du procédé de génération d'informations d'authentification associées à un individu conformément au se cond aspect de l'invention.

[0052] [fig.10] illustre une quatrième variante de réalisation du procédé de génération d'informations d'authentification associées à un individu conformément au se cond aspect de l'invention.

[0053] [fig .11] illustre un mode de réalisation du procédé de contrôle d'identité confor mément au second aspect de l'invention.

[0054] [fig.12] illustre une première variante de réalisation du procédé de contrôle d'identité conformément au second aspect de l'invention.

[0055] [fig.13] illustre une deuxième variante de réalisation du procédé de contrôle d'identité conformément au second aspect de l'invention.

[0056] [fig.14] illustre une troisième variante de réalisation du procédé de contrôle d'identité conformément au second aspect de l'invention.

[0057] [fig.15] illustre une quatrième variante de réalisation du procédé de contrôle d'identité conformément au second aspect de l'invention.

[0058] La présente invention concerne, selon un premier aspect, la génération de don nées associées à un signal numérique afin d'être utilisées ultérieurement par exemple lors de la génération d'un certificat, lors de l'enrôlement d'un individu et/ou lors de l'authentification d'un individu. En particulier, l'invention con cerne un procédé de génération de données associées à un signal numérique, au moyen d'un premier ensemble de signaux numériques et d'un deuxième en semble de signaux numériques, mis en œuvre dans un dispositif électronique, tel qu'un téléphone mobile, un ordinateur ou une tablette.

[0059] La présente invention concerne, selon un deuxième aspect, la génération d'informations d'authentification associées à un individu ayant un identifiant donné et le contrôle d'identité d'un individu. En particulier, l'invention concerne un procédé de génération d'informations d'authentification associées à un indi vidu ayant un identifiant donné et un procédé de contrôle d'identité d'un indi vidu ayant un identifiant donné à partir d'informations d'authentification préala blement mémorisées mis en œuvre au moins en partie, dans un dispositif élec tronique, tel qu'un téléphone mobile, un ordinateur ou une tablette.

[0060] En référence à la Figure 1, il est décrit un mode de réalisation d'un dispositif électronique DE dans lequel est mis en œuvre le procédé de génération de don nées associées à un signal numérique.

[0061] Le dispositif électronique DE peut être tout type de dispositif, tel qu'un télé phone portable, une tablette, un ordinateur, etc., lequel comprend une plate forme matérielle et logicielle sur laquelle s'exécutent des logiciels, ces logiciels étant soit directement exécutables soit interprétés sur une machine virtuelle.

[0062] Selon un mode de réalisation particulier, le dispositif électronique DE com prend une base de données BD-SIG mémorisant au moins un premier ensemble de signaux numériques L et un deuxième ensemble de signaux numériques R. [0063] Selon un autre mode de réalisation, la base de données BD-SIG est mémorisée sur un serveur distant mémorisant une base de données d'ensembles de signaux numériques. Selon ce mode de réalisation, le dispositif électronique DE com prend des moyens de communication avec ce serveur distant afin d'accéder di rectement aux ensembles de signaux numériques ou indirectement au moyen de messages requérant et réceptionnant un premier ensemble de signaux numé riques L et un deuxième ensemble de signaux numériques R.

[0064] Le premier ensemble de signaux numériques L et le deuxième ensemble de si gnaux numériques R comprennent une pluralité de signaux numériques.

[0065] Un signal numérique est une chaîne d'éléments binaires au moyen de laquelle des informations sont représentées. Les informations représentées sont soit des données brutes soit des données après traitement.

[0066] Les données brutes correspondent par exemple à une caractéristique person nelle d'un individu, à savoir une caractéristique biométrique d'un individu (iris des yeux, empreintes digitales, image de portrait, caractéristiques vocales, image auditive, etc.) ou une caractéristique d'un dispositif (adresse MAC, etc.). Les données brutes peuvent aussi correspondre à tout autre information telle qu'une image d'un paysage, apte à être représentée par un signal numérique. Ainsi, un signal numérique représentant des données brutes, aussi appelé signal numérique brut, est à titre d'exemple, un signal numérique d'une caractéristique biométrique d'un individu telle qu'une image photographique d'individu. L'image d'individu peut être une image d'un individu réel ou non.

[0067] Les données après traitement correspondent par exemple à des données particu lières extraites des données brutes, ou à des données obtenues après un filtrage des données brutes afin d'enlever le bruit, c'est-à-dire les informations non utiles. Les données après traitement sont par exemple les points d'intérêts d'une image. Ainsi, un signal numérique représentant des données après traitement, aussi appelé signal numérique traité, est un signal numérique généré par extrac tion des caractéristiques d'un signal numérique brut. A titre d'exemple, un si gnal numérique représentant des données après traitement, est un signal numé rique représentant un ensemble de points d'intérêt d'une caractéristique biomé trique d'un individu tel qu'une image d'individu ou une image photographique d'individu.

[0068] Le premier ensemble de signaux numériques L et le deuxième ensemble de si gnaux numériques R peuvent être créés à partir de signaux numériques (brut ou traités) issus de capture de caractéristiques réelles ou être générés aléatoirement ou non.

[0069] Le dispositif électronique DE comprend en outre, un dispositif de capture C permettant l'obtention d'un signal numérique S. Le dispositif de capture C est par exemple, une caméra, un appareil photographique, un enregistreur de son ou tout dispositif apte à mesurer et analyser des caractéristiques biométriques d'un individu et notamment des caractéristiques physiologiques ou comporte mentales de l'individu.

[0070] Selon un autre mode de réalisation, le dispositif électronique DE peut aussi comprendre des moyens de communication COMM afin d'obtenir d'un disposi tif distant le signal numérique à traiter.

[0071] Le dispositif électronique DE comprend en outre, un générateur de données

GEN, apte à générer des données à partir d'un signal numérique S obtenu con formément à l'invention.

[0072] La Figure 2 illustre un mode de réalisation d'un procédé de génération de don nées associées à un signal numérique S, au moyen d'un premier ensemble de signaux numériques L et d'un deuxième ensemble de signaux numériques R conformément à l'invention. Les données associées à un signal numérique S se ront générées sous forme d'un vecteur binaire de longueur n, aussi appelée chaîne binaire. La valeur n peut être inférieure ou égale au nombre de signaux numériques mémorisés dans le premier ensemble de signaux numériques L et au nombre de signaux numériques mémorisés dans le deuxième ensemble de signaux numériques R. Dans ce cas, la génération de données associées à un si gnal numérique S peut être réalisée soit à partir de l'ensemble des signaux du premier ensemble de signaux numériques L et du deuxième ensemble de si gnaux numériques R, soit à partir d'un sous ensemble de signaux du premier ensemble de signaux numériques L et d'un sous ensemble de signaux du deu xième ensemble de signaux numériques R.

[0073] Le procédé débute par l'obtention d'un signal numérique S (étape 210). Cette étape est réalisée par exemple au moyen du dispositif de capture C ou par la ré ception d'un signal numérique à traiter. L'étape 210 est suivie d'une étape d'ob tention d'un premier ensemble de signaux numériques L (étape 215) et d'une étape d'obtention d'un deuxième ensemble de signaux numériques R (étape 220). Selon un premier mode de réalisation, les étapes 215 et 220 sont réalisées par l'extraction de ces deux ensembles de la base de données d'ensembles de signaux numériques BD-SIG. Selon un autre mode de réalisation, les étapes 215 et 220 sont réalisées via l'envoi de messages à un serveur distant requérant et réceptionnant un premier ensemble de signaux numériques L et un deuxième ensemble de signaux numériques R.

[0074] Selon un autre mode de réalisation, les étapes 215 et 220 peuvent être réalisées préalablement à l'étape 210.

[0075] Les étapes 210, 215 et 220 sont suivies d'une étape consistant à positionner un indicateur i à la valeur 1 (étape 225). Cet indicateur i représente la i ^eme position dans le vecteur V et va prendre au cours du procédé, une valeur allant de 1 à n, n étant la longueur du vecteur binaire V. Cet indicateur i peut également être utilisé aux étapes 230 et 235 lors des étapes de sélection d'un signal numérique. [0076] L'étape 225 est suivie d'une étape a. de sélection d'un signal numérique du pre mier ensemble de signaux numériques L (étape 230) et une étape b. de sélec tion d'un signal numérique du deuxième ensemble de signaux numériques R (étape 235).

[0077] Selon un mode de réalisation particulier des étapes 230 et 235, chaque signal numérique du premier ensemble L et du deuxième ensemble R est défini en outre par sa position dans l'ensemble, et le signal numérique sélectionné dans le premier ensemble L (étape 230) et le signal numérique sélectionné dans le deu xième ensemble R (étape 235) ont la même position dans le premier et le deu xième ensemble respectivement.

[0078] Par exemple, l'étape 230 et l'étape 235 consistent à identifier et sélectionner le signal numérique présent à la i ^eme position respectivement dans le premier en semble de signaux numériques L et dans le deuxième ensemble de signaux nu mériques R.

[0079] Les étapes 230 et 235 se poursuivent avec une étape c. de détermination du si gnal numérique le plus proche du signal numérique obtenu S entre le signal nu mérique sélectionné du premier ensemble L et le signal numérique sélectionné du deuxième ensemble R (étape 240).

[0080] Selon un mode de réalisation particulier, cette étape c. de détermination du si gnal numérique le plus proche comprend un calcul d'une première distance entre le signal numérique obtenu S et le signal numérique sélectionné du pre mier ensemble L, et un calcul d'une deuxième distance entre le signal numé rique obtenu S et le signal numérique sélectionné du deuxième ensemble R. Le calcul de la première distance et de la deuxième distance est réalisé au moyen d'une fonction capable de déterminer une distance entre deux signaux numé riques. Cette fonction est notamment prédéterminée avant l'exécution du pro cédé de génération de données associées à un signal numérique ou est obtenue au début de l'exécution dudit procédé de génération. Les distances calculées sont par exemple des distances euclidiennes ou des distances déterminées à partir d'un réseau de neurones.

[0081] A l'issue du calcul de la première distance et de la deuxième distance, il est procédé à une étape de comparaison de ces deux distances afin de déterminer la distance la plus petite. Si la première distance est la distance la plus petite alors le signal numérique sélectionné du premier ensemble L est plus proche du si gnal numérique obtenu S et, dans le cas contraire, le signal numérique sélec tionné du deuxième ensemble R est plus proche du signal numérique obtenu S.

[0082] A l'issue de l'étape c. de détermination du signal numérique le plus proche du signal numérique obtenu S (étape 240), un test est réalisé lors d'une étape 245 afin de déterminer si le signal numérique du premier ensemble L est le signal le plus proche du signal numérique obtenu S.

[0083] Si tel est le cas, le procédé se poursuit par une étape d. d'insertion d'un élément binaire à 1 dans un vecteur binaire V[i] (étape 250). Dans le cas contraire, le procédé se poursuit par une étape d. d'insertion d'un élément binaire à 0 dans un vecteur binaire V[i] (étape 255).

[0084] Les étapes 250 et 255 se poursuivent par une étape 260 incrémentant l'indica teur i de 1. Cette étape est suivie d'une étape de test (étape 265) afin de déter miner si l'indicateur i est inférieur ou égal à la valeur n, n étant la longueur du vecteur binaire V. Si tel est le cas, le procédé se poursuit à l'étape 230 précé demment décrite. Ainsi, les étapes a. à d. sont réitérées n fois pour une pluralité n de signaux numériques du premier ensemble et une pluralité n de signaux nu mériques du deuxième ensemble. Ainsi, l'élément binaire à 1 ou 0 inséré à l'étape d. (étape 250 ou étape 255) est inséré à une i ^eme position respective cor respondante du vecteur binaire V, avec i = 1 ... n. Lorsque le test à l'étape 265 est négatif, c'est-à-dire que l'indicateur i est supérieur à la valeur n, alors le pro cédé délivre un vecteur binaire de longueur n en tant que données associées au signal numérique obtenu (étape 270).

[0085] A l'issue de ce procédé de génération, le signal numérique obtenu est codé sous la forme d'un vecteur binaire.

[0086] La Figure 3 illustre un mode de réalisation particulier du procédé décrit au sup port de la Figure 2, dans lequel les signaux numériques considérés sont des si gnaux numériques représentant une caractéristique personnelle d'individus, par exemple une caractéristique biométrique. Dans la suite de la description, un si gnal numérique représentant une caractéristique biométrique d'un individu est appelé signal numérique d'une caractéristique biométrique d'un individu. Ainsi, la Figure 3 illustre un procédé de génération de données associées à un signal numérique d'une caractéristique biométrique d'un individu S, au moyen d'un premier ensemble de signaux numériques de caractéristiques biométriques d'individus L et d'un deuxième ensemble de signaux numériques de caractéris tiques biométriques d'individus R conformément à l'invention. Comme il a été vu précédemment, les données associées à un signal numérique S seront géné rées sous forme d'un vecteur binaire de longueur n. La valeur n peut être infé rieure ou égale au nombre de signaux numériques mémorisés dans le premier ensemble de signaux numériques de caractéristiques biométriques d'individus L et au nombre de signaux numériques mémorisés dans le deuxième ensemble de signaux numériques de caractéristiques biométriques d'individus R. Dans ce cas, la génération de données associées à un signal numérique d'une caractéris tique biométrique d'un individu S peut être réalisée soit à partir de l'ensemble des signaux du premier ensemble de signaux numériques de caractéristiques biométriques d'individus L et du deuxième ensemble de signaux numériques de caractéristiques biométriques d'individus R, soit à partir d'un sous ensemble de signaux du premier ensemble de signaux numériques de caractéristiques bio- métriques d'individus L et d'un sous ensemble de signaux du deuxième en semble de signaux numériques de caractéristiques biométriques d'individus R.

[0087] Le procédé débute par l'obtention d'un signal numérique d'une caractéristique biométrique d'un individu S (étape 310). Cette étape est réalisée par exemple au moyen du dispositif de capture C ou par la réception d'un signal numérique à traiter ou par tout autre moyen de capture d'une caractéristique biométrique de l'individu. Le signal numérique d'une caractéristique biométrique S est par exemple réalisé à partir d'une mesure de la caractéristique biométrique de l'individu.

[0088] L'étape 310 est suivie d'une étape d'obtention d'un premier ensemble de si gnaux numériques de caractéristiques biométriques d'individus L (étape 315) et d'une étape d'obtention d'un deuxième ensemble de signaux numériques de ca ractéristiques biométriques d'individus R (étape 320). Selon un premier mode de réalisation, les étapes 315 et 320 sont réalisées par l'extraction de ces deux ensembles de la base de données d'ensembles de signaux numériques BD-SIG. Selon un autre mode de réalisation, les étapes 315 et 320 sont réalisées via l'en voi de messages à un serveur distant requérant et réceptionnant un premier en semble de signaux numériques L et un deuxième ensemble de signaux numé riques R.

[0089] Selon un autre mode de réalisation particulier, les étapes 315 et 320 sont réali sées préalablement à l'étape 310.

[0090] Les étapes 310, 315 et 320 sont suivies d'une étape consistant à positionner un indicateur i à la valeur 1 (étape 325). Cet indicateur i représente la i ^eme position dans le vecteur V et va prendre au cours du procédé, une valeur allant de 1 à n, n étant la longueur du vecteur binaire V. Cet indicateur i peut également être utilisé aux étapes 230 et 235 lors des étapes de sélection d'un signal numérique.

[0091] L'étape 325 est suivie d'une étape a. de sélection d'un signal numérique du pre mier ensemble de signaux numériques de caractéristiques biométriques d'indi vidus L (étape 330) et une étape b. de sélection d'un signal numérique du deu xième ensemble de signaux numériques de caractéristiques biométriques d'individus R (étape 335).

[0092] Selon un mode de réalisation particulier, chaque signal numérique du premier ensemble de signaux numériques de caractéristiques biométriques d'individus L et du deuxième ensemble de signaux numériques de caractéristiques biomé triques d'individus R est défini en outre par sa position dans l'ensemble, et le signal numérique sélectionné dans le premier ensemble L (étape 330) et le si gnal numérique sélectionné dans le deuxième ensemble R (étape 335) ont la même position dans le premier et le deuxième ensemble respectivement.

[0093] Par exemple, l'étape 330 et l'étape 335 consistent à identifier et sélectionner le signal numérique présent à la i ^eme position respectivement dans le premier en- semble de signaux numériques L et dans le deuxième ensemble de signaux nu mériques R.

[0094] Les étapes 330 et 335 se poursuivent avec une étape c. de détermination du si gnal numérique le plus proche du signal numérique d'une caractéristique bio métrique obtenu S entre le signal numérique sélectionné du premier ensemble L et le signal numérique sélectionné du deuxième ensemble R (étape 340).

[0095] Selon un mode de réalisation particulier, cette étape c. de détermination du si gnal numérique le plus proche comprend un calcul d'une première distance entre le signal numérique d'une caractéristique biométrique obtenu S et le si gnal numérique d'une caractéristique biométrique sélectionné du premier en semble L, et un calcul d'une deuxième distance entre le signal numérique d'une caractéristique biométrique obtenu S et le signal numérique d'une caractéris tique biométrique sélectionné du deuxième ensemble R. Le calcul de la pre mière distance et de la deuxième distance est réalisé au moyen d'une fonction capable de déterminer une distance entre deux signaux numériques. Cette fonc tion est notamment prédéterminée avant l'exécution du procédé de génération de données associées à un signal numérique ou est obtenue au début de l'exécu tion dudit procédé de génération. Les distances calculées sont par exemple des distances euclidiennes ou des distances déterminées à partir d'un réseau de neu rones. A l'issue du calcul de la première distance et de la deuxième distance, il est procédé à une étape de comparaison de ces deux distances afin de détermi ner la distance la plus petite. Si la première distance est la distance la plus pe tite alors le signal numérique d'une caractéristique biométrique sélectionné du premier ensemble L est plus proche du signal numérique d'une caractéristique biométrique obtenu S et, dans le cas contraire, le signal numérique d'une carac téristique biométrique sélectionné du deuxième ensemble R est plus proche du signal numérique d'une caractéristique biométrique obtenu S.

[0096] A l'issue de l'étape c. de détermination du signal numérique le plus proche du signal numérique d'une caractéristique biométrique obtenu S (étape 340), un test est réalisé lors d'une étape 345 afin de déterminer si le signal numérique d'une caractéristique biométrique sélectionné du premier ensemble L est le si gnal le plus proche du signal numérique d'une caractéristique biométrique ob tenu S.

[0097] Si tel est le cas, le procédé se poursuit à une étape d. d'insertion d'un élément binaire à 1 dans un vecteur binaire V[i] (étape 350). Dans le cas contraire, le procédé se poursuit à une étape d. d'insertion d'un élément binaire à 0 dans un vecteur binaire V[i] (étape 355).

[0098] Les étapes 350 et 355 se poursuivent à une étape 360 incrémentant l'indicateur i de 1. Cette étape est suivie d'une étape de test (étape 365) afin de déterminer si l'indicateur i est inférieur ou égal à la valeur n. Si tel est le cas, le procédé se poursuit à l'étape 330 précédemment décrite. Ainsi, les étapes a. à d. sont réité rées n fois pour une pluralité n de signaux numériques du premier ensemble et une pluralité n de signaux numériques du deuxième ensemble. Ainsi, l'élément binaire à 1 ou 0 inséré à l'étape d. (étapes 350 ou 355) est inséré à une i ^eme posi tion respective correspondante du vecteur binaire, avec i = 1 ... n. Lorsque le test à l'étape 365 est négatif, c'est-à-dire que l'indicateur i est supérieur à la va leur n, alors le procédé délivre un vecteur binaire de longueur n en tant que données associées au signal numérique obtenu (étape 370).

[0099] Bien que le procédé de génération de données de la Figure 3 soit décrit au re gard d'une caractéristique biométrique, ce procédé est également applicable à toute caractéristique personnelle d'un individu.

[0100] Les Figures 4 et 5 illustrent un premier et un second mode de réalisation de la structure d'un dispositif électronique DE-AUTH dans lequel sont mis en œuvre en tout ou partie le procédé de génération d'informations d'authentification as sociées à un individu et le procédé de contrôle d'identité d'un individu.

[0101] Le dispositif électronique DE-AUTH peut être tout type de dispositif, tel qu'un téléphone portable, une tablette, un ordinateur, etc., lequel comprend une plate forme matérielle et logicielle sur laquelle s'exécutent des logiciels, ces logiciels étant soit directement exécutables soit interprétés sur une machine virtuelle.

[0102] Le dispositif électronique DE-AUTH comprend un dispositif d'enrôlement

ENR c'est-à-dire d'enregistrement des informations d'authentification d'un indi vidu. Le dispositif d'enrôlement ENR est en outre apte à mettre en œuvre le procédé de génération d'informations d'authentification DATA-AUTH associé à un individu conformément au second aspect de l'invention. Les informations d'authentification DATA-AUTH sont mémorisées, par exemple dans une mé moire ou dans une base de données BD-AUTH. La mémorisation des informa tions d'authentification DATA-AUTH peut être réalisée sur le dispositif électro nique DE-AUTH ou dans un dispositif distant.

[0103] Le dispositif électronique DE-AUTH comprend en outre un dispositif d'authen tification AUTH apte à mettre en œuvre tout ou partie du procédé de contrôle d'identité d'un individu ayant préalablement fait l'objet d'un enrôlement confor mément au second aspect de l'invention.

[0104] Le dispositif électronique DE-AUTH peut comprendre un dispositif de capture C permettant l'obtention d'un signal numérique. Le dispositif de capture C est, par exemple, une caméra, un appareil photographique un enregistreur de son ou tout dispositif apte à mesurer et analyser des caractéristiques biométriques d'un individu et notamment des caractéristiques physiologiques ou comportemen tales d'un individu.

[0105] Le dispositif électronique DE-AUTH peut comprendre des moyens de commu nications COMM afin d'obtenir d'un dispositif distant un signal numérique à traiter. Le dispositif électronique DE-AUTH peut comprendre en outre, des moyens d'acquisition ACQU apte à permettre l'obtention de toute caractéris tique personnelle de l'individu, à savoir une information connue de lui (mot de passe, etc) ou une caractéristique propre à l'objet qu'il détient et/ou une caracté ristique propre à l'individu telle qu'une caractéristique biométrique.

[0106] Le dispositif électronique DE-AUTH illustré en Figure 5 est un mode de réali sation particulier du dispositif de la Figure 4, lequel comprend un générateur de données GEN apte à mettre en œuvre le procédé de génération de données as sociées à un signal numérique d'une caractéristique personnelle d'un individu, et notamment une caractéristique biométrique obtenue tel qu'illustré aux Fi gures 1 à 3. Il comprend en outre, une base de données BD-SIG mémorisant au moins un premier ensemble de signaux numériques de caractéristiques biomé triques d'individus F et un deuxième ensemble de signaux numériques de ca ractéristiques biométriques d'individus R.

[0107] Fa Figure 6 illustre un mode de réalisation du procédé de génération d'informa tions d'authentification DATA-AUTH associées à un individu ayant un identi fiant donné ID conformément au second aspect de l'invention.

[0108] F'identifiant ID de l'individu peut être un identifiant personnel ou un identifiant de groupe auquel appartient l'individu. F'identifiant ID est, par exemple, un nu méro d'identification, des données personnelles comme un nom, un numéro de téléphone, une date de naissance, l'identifiant IMEI (. International Mobile Equipement Identity) du dispositif électronique DE-AUTH, le numéro ou iden tifiant de la carte SIM ( Subscriber Identity Module), un identifiant du système d'exploitation du dispositif électronique DE-AUTH, la localisation géogra phique du dispositif électronique DE-AUTH.

[0109] Fe procédé débute par l'obtention d'un signal numérique représentant une ca ractéristique personnelle, telle qu'une caractéristique biométrique, de l'individu ayant ledit identifiant ID (étape 610). Fe signal numérique représentant une ca ractéristique personnelle d'un individu sera appelé dans la suite de la descrip tion, signal numérique d'une caractéristique personnelle de l'individu. Cette étape d'obtention d'un signal numérique d'une caractéristique personnelle de l'individu est notamment réalisée par les moyens d'acquisition ACQU illustrés à la Figure 4 ou par les moyens de communication COMM ou le dispositif de capture C illustrés en Figure 4 et en Figure 5. Cette étape comprend l'acquisi tion d'une information connue par l'individu (mot de passe, etc) ou l'obtention d'une caractéristique propre à l'objet détenu par l'individu, ou l'acquisition d'une caractéristique propre à l'individu (caractéristique biométrique, telle qu'une photo du visage de l'individu obtenue au moyen du dispositif de capture C) ou par la réception d'un signal numérique d'une caractéristique personnelle de l'individu via les moyens de communication COMM.

[0110] F'étape 610 est suivie d'une étape de génération de données b associées au si- gnal numérique obtenu (étape 615), consistant à coder le signal numérique ob tenu. Les données b associées au signal numérique sont générées sous forme d'une chaîne binaire ou d'un vecteur binaire.

[0111] Selon un premier mode de réalisation, cette étape 615 est réalisée conformé ment au procédé de génération de données associées à un signal numérique il lustré en Figure 2 ou en Figure 3, par exemple par le générateur de données GEN. Selon un autre mode de réalisation, cette étape est réalisée par tout autre procédé apte à générer un signal numérique sous forme d'une chaine binaire à partir d'un signal numérique d'une caractéristique personnelle d'un individu.

[0112] L'étape 615 est suivie d'une étape de génération d'un mot de code c issu d'un code correcteur d'erreurs à partir des données b associées au signal numérique obtenu, le mot de code c étant dépendant en outre d'un code de traitement r (étape 620). Il existe une multitude de codes correcteurs d'erreurs dont la carac téristique commune est de générer un mot à partir d'une information initiale (à savoir les données b associées au signal numérique obtenu) en y introduisant de la redondance. Un tel code correcteur d'erreurs est choisi pour corriger une quantité d'erreurs en relation avec une quantité d'erreurs statistique entre deux signaux numériques d'une caractéristique personnelle relative à un même indi vidu. Selon des modes de réalisation particuliers, un code correcteur d'erreurs non systémique est utilisé tel qu'illustré aux Figures 7 et 9. Selon d'autres modes de réalisation particuliers, un code correcteur d'erreurs systémique est utilisé tel qu'illustré aux Figures 8 et 10. Ainsi, différents modes de réalisation du procédé de génération d'informations d'authentification DATA-AUTH se ront détaillés au support des Figures 7 à 10.

[0113] L'étape 620 est suivie d'une étape de génération d'une graine ds à partir d'au moins une partie du mot de code c (étape 625). Une graine est une valeur ini tiale utilisée pour la détermination d'une clé de chiffrement. Selon un exemple de réalisation, cette étape est réalisée en appliquant une fonction de transforma tion sur tout ou partie du mot de code c. Une telle fonction peut être une fonc tion de hachage. Une fonction de hachage est une fonction non injective qui à partir d'une donnée de taille arbitraire et souvent de grande taille, va renvoyer une valeur de taille limitée ou fixe. Une telle fonction est notamment la fonc tion SHA-384.

[0114] A partir de la graine ds, une clé de chiffrement Kex est générée (étape 630). Se lon des modes de réalisation décrits aux Figures 7 et 8, la clé de chiffrement Kex comprend une paire de clés asymétriques. Selon d'autres modes de réalisa tion décrits aux Figures 9 et 10, la clé de chiffrement Kex est une clé symé trique.

[0115] L'étape 630 est suivie d'une étape de génération d'informations d'authentifica tion DATA-AUTH comprenant notamment l'identifiant de l'individu ID, la clé de chiffrement Kex et le code de traitement r (étape 635) et d'une étape de mé morisation des informations d'authentification DATA-AUTH (étape 640). Les informations d'authentification DATA-AUTH peuvent être mémorisées locale ment dans le dispositif de l'individu DE-AUTH, notamment dans une mémoire ou dans une base de données BD-AUTH tel qu'illustré en Figure 4 et en Figure 5. Selon un autre mode de réalisation, les informations d'authentification DATA-AUTH peuvent être mémorisées dans une mémoire ou dans une base de données distantes, c'est-à-dire sur un serveur distinct du dispositif DE-AUTH de l'individu.

[0116] Selon la présente invention, les informations d'authentification DATA-AUTH générées dépendent du signal numérique d'une caractéristique personnelle de l'individu sans toutefois être calculées directement à partir du mot de code c gé néré à partir des données b associées au signal numérique obtenu, renforçant ainsi la sécurité des informations d'authentification. Fe mot de code c n'est donc pas mémorisé dans les informations d'authentification DATA-AUTH.

[0117] Fa Figure 7 illustre une première variante de réalisation du procédé de généra tion d'informations d'authentification DATA-AUTH associées à un individu ayant un identifiant donné ID conformément au second aspect de l'invention.

[0118] On ne décrira en détail ci-après que les étapes qui diffèrent de celles du mode de réalisation décrit au support de la Figure 6. Pour le reste, il est renvoyé au mode de réalisation décrit au support de la Figure 6.

[0119] Tel qu'illustré en Figure 7, l'étape 610 d'obtention d'un signal numérique d'une caractéristique personnelle de l'individu ayant ledit identifiant ID et l'étape 615 de génération de données b associées au signal numérique obtenu, précédem ment décrites, sont suivies d'une étape de génération d'un mot de code c.

F'étape de génération d'un mot de code c décrite précédemment au support de l'étape 620 de la Figure 6 comprend, dans cette variante de réalisation, la géné ration d'un code de traitement r qui est une donnée aléatoire ou pseudo-aléa toire et la génération d'un mot de code c issu d'un code correcteur d'erreurs, en particulier d'un code correcteur d'erreurs non systémique, à partir des données b associées au signal numérique obtenu et de la donnée aléatoire ou pseudo aléatoire r (étape 720). Selon un exemple de réalisation de cette étape, la don née aléatoire ou pseudo-aléatoire r est concaténée aux données b associées au signal numérique obtenu et le code correcteur d'erreurs est appliqué sur le ré sultat de la concaténation des données b et de la donnée aléatoire ou pseudo aléatoire r, afin de générer le mode de code c.

[0120] F'étape 720 est suivie de l'étape 625 précédemment décrite de génération d'une graine ds à partir d'au moins une partie du mot de code c.

[0121] F'étape 625 est suivie d'une étape de génération d'une clé de chiffrement Kex à partir de la graine ds (étape 730). Selon cette variante de réalisation, la clé de chiffrement Kex comprend une paire de clés asymétriques, laquelle comprend une clé publique Kpub et une clé privée Kpriv. La génération de la paire de clés asymétriques est réalisée par exemple pour un chiffrement RSA ou ECDSA.

[0122] L'étape 730 est suivie d'une étape de génération d'informations d'authentifica tion DATA-AUTH (étape 735) comprenant notamment l'identifiant de l'indi vidu ID, la clé publique Kpub en tant que clé de chiffrement Kex et la donnée aléatoire ou pseudo-aléatoire r en tant que code de traitement r.

[0123] Selon la variante de réalisation particulier de la Figure 7, la génération des in formations d'authentification DATA-AUTH consiste à générer un certificat pour l'identifiant ID comprenant au moins l'identifiant de l'individu ID, la clé publique Kpub et la donnée aléatoire ou pseudo-aléatoire r.

[0124] L'étape 735 est suivie d'une étape de mémorisation des informations d'authenti fication DATA-AUTH de l'individu (étape 740). Les informations d'authentifi cation DATA-AUTH, à savoir le certificat de l'individu, peuvent être mémori sées localement dans le dispositif de l'individu DE-AUTH, notamment dans une mémoire ou dans une base de données BD-AUTH tel qu'illustré en Figure 4 et en Figure 5. Selon un autre mode de réalisation, les informations d'authen tification DATA-AUTH, à savoir le certificat de l'individu, peuvent être mémo risées dans une mémoire ou dans une base de données distantes, c'est-à-dire sur un serveur distinct du dispositif de l'individu DE-AUTH.

[0125] Fa Figure 8 illustre une deuxième variante de réalisation du procédé de généra tion d'informations d'authentification DATA-AUTH associées à un individu ayant un identifiant donné ID conformément au second aspect de l'invention.

[0126] On ne décrira en détail ci-après que les étapes qui diffèrent de celles du mode de réalisation décrit au support de la Figure 6. Pour le reste, il est renvoyé au mode de réalisation décrit au support de la Figure 6.

[0127] Tel qu'illustré en Figure 8, l'étape 610 d'obtention d'un signal numérique d'une caractéristique personnelle de l'individu ayant ledit identifiant ID et l'étape 615 de génération de données b associées au signal numérique obtenu, précédem ment décrites, sont suivies d'une étape de génération d'un mot de code c.

F'étape de génération d'un mot de code c décrite précédemment au support de l'étape 620 de la Figure 6 comprend, dans cette variante de réalisation, la géné ration d'un mot de code c issu d'un code correcteur d'erreurs systémique à partir des données b associées au signal numérique obtenu (étape 820). Fe mot de code c ainsi généré comprend les données b et un code de traitement r. Ce der nier est dans le cas présent des données de redondance r.

[0128] F'étape 820 est suivie de l'étape 625 précédemment décrite de génération d'une graine ds à partir d'au moins une partie du mot de code c. Selon un exemple de réalisation, l'étape de génération d'une graine ds est réalisée en appliquant une fonction de transformation sur tout ou partie du mot de code c. Selon un autre mode de réalisation, la graine ds correspond aux données de redondance, à sa voir le code de traitement r. [0129] L'étape 625 est suivie d'une étape de génération d'une clé de chiffrement Kex à partir de la graine ds (étape 830). Selon cette variante de réalisation, la clé de chiffrement Kex comprend une paire de clés asymétriques, laquelle comprend une clé publique Kpub et une clé privée Kpriv. La génération de la paire de clés asymétriques est réalisée par exemple pour un chiffrement RSA ou ECDSA.

[0130] L'étape 830 est suivie d'une étape de génération d'informations d'authentifica tion DATA-AUTH (étape 835) comprenant notamment l'identifiant de l'indi vidu ID, la clé publique Kpub en tant que clé de chiffrement Kex et les données de redondance r en tant que code de traitement r.

[0131] Selon le mode de réalisation particulier de la Figure 8, la génération des infor mations d'authentification DATA-AUTH consiste à générer un certificat pour l'identifiant ID comprenant au moins l'identifiant de l'individu ID, la clé pu blique Kpub et les données de redondance r.

[0132] L'étape 835 est suivie d'une étape de mémorisation des informations d'authenti fication DATA-AUTH de l'individu (étape 840). Les informations d'authentifi cation DATA-AUTH, à savoir le certificat de l'individu, peuvent être mémori sées localement dans le dispositif de l'individu DE-AUTH, notamment dans une mémoire ou dans une base de données BD-AUTH tel qu'illustré en Figure 4 et en Figure 5. Selon un autre mode de réalisation, les informations d'authen tification DATA-AUTH à savoir le certificat de l'individu, peuvent être mémo risées dans une mémoire ou dans une base de données distantes, c'est-à-dire sur un serveur distinct du dispositif de l'individu DE-AUTH.

[0133] Fa Figure 9 illustre une troisième variante de réalisation du procédé de généra tion d'informations d'authentification DATA-AUTH associées à un individu ayant un identifiant donné ID conformément au second aspect de l'invention.

[0134] On ne décrira en détail ci-après que les étapes qui diffèrent de celles du mode de réalisation décrit au support de la Figure 6. Pour le reste, il est renvoyé au mode de réalisation décrit au support de la Figure 6.

[0135] Tel qu'illustré en Figure 9, l'étape 610 d'obtention d'un signal numérique d'une caractéristique personnelle de l'individu ayant ledit identifiant ID et l'étape 615 de génération de données b associées au signal numérique obtenu, précédem ment décrites, sont suivies d'une étape de génération d'un mot de code c.

F'étape de génération d'un mot de code c décrite précédemment au support de l'étape 620 de la Figure 6 comprend, dans cette variante de réalisation, la géné ration d'un code de traitement r qui est une donnée aléatoire ou pseudo-aléa toire et la génération d'un mot de code c issu d'un code correcteur d'erreurs, en particulier d'un code correcteur d'erreurs non systémique, à partir des données b associées au signal numérique obtenu et de la donnée aléatoire ou pseudo aléatoire r (étape 920). Selon un exemple de réalisation de cette étape, la don née aléatoire ou pseudo-aléatoire r est concaténée aux données b associées au signal numérique obtenu et le code correcteur d'erreurs est appliqué sur le ré sultat de la concaténation des données b et de la donnée aléatoire ou pseudo aléatoire r, afin de générer le mot de code c.

[0136] L'étape 920 est suivie de l'étape 625 précédemment décrite de génération d’une graine ds à partir d'au moins une partie du mot de code c.

[0137] L'étape 625 est suivie d'une étape de génération d'une clé de chiffrement Kex à partir de la graine ds (étape 930). Selon ce mode de réalisation, la clé de chif frement Kex est une clé symétrique Ksym. La génération de la clé symétrique est réalisée par exemple pour un chiffrement AES.

[0138] L'étape 930 est suivie d'une étape de génération d'informations d'authentifica tion DATA-AUTH (étape 935) comprenant notamment l'identifiant de l'indi vidu ID, la clé symétrique Ksym en tant que clé de chiffrement Kex, et la don née aléatoire ou pseudo-aléatoire r en tant que code de traitement r.

[0139] Selon un exemple particulier de réalisation, la clé symétrique Ksym est chiffrée à partir d'une clé publique d'un certificat d'un serveur distant. Dans ce cas, le serveur distant interviendra dans le procédé de contrôle d'identité de l'individu.

[0140] L'étape 935 est suivie d'une étape de mémorisation des informations d'authenti fication DATA-AUTH (étape 940). Les informations d'authentification DATA- AUTH peuvent être mémorisées localement dans le dispositif de l'individu DE- AUTH, notamment dans une mémoire ou dans une base de données BD-AUTH tel qu'illustré en Figure 4 et en Figure 5.

[0141] Dans le mode de réalisation particulier dans lequel la clé symétrique Ksym est chiffrée à partir d'une clé publique d'un certificat d'un serveur distant, ces d'informations d'authentification DATA-AUTH sont mémorisées dans une mé moire ou dans une base de données de ce serveur distant, le serveur distant dis posant de la clé privée correspondant à la clé publique qui a servi à chiffrer la clé symétrique Ksym, permettant ainsi son déchiffrement.

[0142] La Figure 10 illustre une quatrième variante de réalisation du procédé de géné ration d'informations d'authentification DATA-AUTH associées à un individu ayant un identifiant donné ID conformément au second aspect de l'invention.

[0143] On ne décrira en détail ci-après que les étapes qui diffèrent de celles du mode de réalisation décrit au support de la Figure 6. Pour le reste, il est renvoyé au mode de réalisation décrit au support de la Figure 6.

[0144] Tel qu'illustré en Figure 10, l'étape 610 d'obtention d'un signal numérique d'une caractéristique personnelle de l'individu ayant ledit identifiant ID et l'étape 615 de génération de données b associées au signal numérique obtenu, précédem ment décrites, sont suivies d'une étape de génération d'un mot de code c.

L'étape de génération d'un mot de code c décrite précédemment au support de l'étape 620 de la Figure 6, comprend, dans cette variante de réalisation, la géné ration d'un mot de code c issu d'un code correcteur d'erreurs systémique à partir des données b associées au signal numérique obtenu (étape 1020). Le mot de code c ainsi généré comprend les données b et un code de traitement r. Ce der nier est dans le cas présent des données de redondance r.

[0145] L'étape 1020 est suivie de l'étape 625 précédemment décrite de génération d'une graine ds à partir d'au moins une partie du mot de code c. Selon un exemple de réalisation, l'étape de génération d'une graine ds est réalisée en ap pliquant une fonction de transformation sur tout ou partie du mot de code c. Se lon un autre mode de réalisation, la graine ds correspond aux données de re dondance, à savoir le code de traitement r.

[0146] L'étape 625 est suivie d'une étape de génération d'une clé de chiffrement Kex à partir de la graine ds (étape 1030). Selon ce mode de réalisation, la clé de chif frement Kex est une clé symétrique Ksym. La génération de la clé symétrique est réalisée par exemple pour un chiffrement AES.

[0147] L'étape 1030 est suivie d'une étape de génération d'informations d'authentifica tion DATA-AUTH (étape 1035) comprenant notamment l'identifiant de l'indi vidu ID, la clé symétrique Ksym en tant que clé de chiffrement Kex et les don nées de redondance r en tant que code de traitement r.

[0148] Selon un exemple particulier de réalisation, la clé symétrique Ksym est chiffré à partir d'une clé publique d'un certificat d'un serveur distant. Dans ce cas, le serveur distant interviendra dans le procédé de contrôle d'identité de l'individu.

[0149] L'étape 1035 est suivie d'une étape de mémorisation des informations d'authen tification DATA-AUTH (étape 1040). Les informations d'authentification DATA-AUTH peuvent être mémorisées localement dans le dispositif de l'indi vidu DE-AUTH, notamment dans une mémoire ou dans une base de données BD-AUTH tel qu'illustré en Figure 4 et en Figure 5.

[0150] Dans le mode de réalisation particulier dans lequel la clé symétrique Ksym est chiffrée à partir d'une clé publique d'un certificat d'un serveur distant, ces d'informations d'authentification DATA-AUTH sont mémorisées dans une mé moire ou dans une base de données de ce serveur distant, le serveur distant dis posant de la clé privée correspondant à la clé publique qui a servi à chiffrer la clé symétrique Ksym, permettant ainsi son déchiffrement.

[0151] La Figure 11 illustre un mode de réalisation du procédé de contrôle d'identité d'un individu ayant un identifiant donné ID à partir d'informations d'authentifi cation DATA-AUTH associées audit individu préalablement mémorisées, con formément au second aspect de l'invention.

[0152] Les informations d'authentification DATA-AUTH associées audit individu ont été générées par exemple, au moyen du procédé de génération d'informations d'authentification décrit précédemment au regard des Figures 6 à 10. Elles comprennent notamment l'identifiant de l'individu ID, une clé de chiffrement Kex et un code de traitement r. Le code de traitement r est un code dont dépend un mot de code c issu d'un code correcteur d'erreurs généré à partir de données b associées au signal numérique d'une caractéristique personnelle de l'individu. Le code correcteur d'erreurs a été choisi pour corriger une quantité d'erreurs en relation avec une quantité d'erreurs statistiques entre deux signaux numériques d'une caractéristique personnelle relative à un même individu. La clé de chif frement Kex est obtenue à partir d'une graine ds générée à partir d'au moins une partie du mot de code c.

[0153] Les informations d'authentification sont stockées dans une mémoire ou une base de données BD-AUTH du dispositif client ou dans une mémoire ou une base de données d'un serveur distant.

[0154] Le procédé débute par l'obtention d'un nouveau signal numérique d'une carac téristique personnelle, telle qu'une caractéristique biométrique, de l'individu ayant ledit identifiant ID (étape 1110). Cette étape est notamment réalisée par les moyens d'acquisition ACQU illustrés à la Figure 4 ou par ou les moyens de communication COMM ou le dispositif de capture C illustrés en Figure 4 et en Figure 5. Cette étape comprend l'acquisition d'une information connue par l'individu (mot de passe, etc) ou l'obtention d'une caractéristique propre à l'ob jet que détient l'individu, ou l'acquisition d'une caractéristique propre à l'indi vidu (caractéristique biométrique, telle qu'une photo du visage de l'individu ob tenue au moyen du dispositif de capture C) ou par la réception d'un signal nu mérique d'une caractéristique personnelle de l'individu via les moyens de com munication COMM.

[0155] L'étape 1110 est suivie d'une étape d'obtention d'au moins une partie des infor mations d'authentification DATA-AUTH de l'individu ayant l'identifiant ID (étape 1115). Selon un mode de réalisation particulier, les informations sont ob tenues à partir des informations d'authentification DATA-AUTH mémorisées localement dans le dispositif de l'individu DE-AUTH, notamment dans une mémoire ou dans une base de données BD-AUTH tel qu'illustré en Figure 4 et en Figure 5. Selon un autre mode de réalisation, les informations sont obtenues à partir des informations d'authentification DATA-AUTH mémorisées dans une mémoire ou dans une base de données distantes, c'est-à-dire sur un serveur dis tinct du dispositif DE-AUTH de l'individu.

[0156] L'étape 1115 est suivie d'une étape d'obtention d'une donnée d'authentification CHA (étape 1120). Une données d'authentification peut être un message à si gner.

[0157] L'étape 1120 est suivie d'une étape de génération de nouvelles données b' asso ciées au nouveau signal numérique obtenu (étape 1125). Les nouvelles données b' associées au nouveau signal numérique obtenu sont générées sous forme d'une chaîne binaire ou d'un vecteur binaire.

[0158] Selon un premier mode de réalisation, cette étape 1125 est réalisée conformé ment au procédé de génération de données associées à un signal numérique il lustré en Figure 2 ou en Figure 3, par exemple par le générateur de données GEN. Selon un autre mode de réalisation, cette étape est réalisée par tout autre procédé apte à générer un signal numérique sous forme d'une chaîne binaire à partir d'un signal numérique d'une caractéristique personnelle d'un individu.

[0159] L'étape 1125 est suivie d'une étape de génération d'un nouveau mot de code c' (étape 1130) issu d'un code correcteur d'erreurs à partir des nouvelles données b' associées au nouveau signal numérique obtenu, le nouveau mot de code c' étant dépendant en outre du code de traitement r compris dans les informations d'authentification DATA-AUTH dudit individu. Un tel code correcteur d'er reurs est choisi pour corriger une quantité d'erreurs en relation avec une quan tité d'erreurs statistique entre deux signaux numériques d'une caractéristique personnelle relative à un même individu. Bien entendu, le code correcteur d'er reurs utilisé pour le contrôle de l'identité de l'individu est le même que celui utilisé pour générer les informations d'authentification DATA-AUTH dudit in dividu. Selon des modes de réalisation, un code correcteur d'erreurs non systé mique est utilisé tel qu'illustré aux Figures 12 et 14. Selon d'autres modes de réalisation, un code correcteur d'erreurs systémique est utilisé tel qu'illustré aux Figures 13 et 15. Ainsi, différents modes de réalisation de l'étape 1130 seront détaillés au support des Figures 12 à 15.

[0160] L'étape 1130 est suivie d'une étape de génération d'une nouvelle graine ds' à partir d'au moins une partie du nouveau mot de code c' (étape 1135). Selon un exemple de réalisation, cette étape est réalisée en appliquant une fonction de transformation sur tout ou partie du nouveau mot de code c'. Une telle fonction peut être une fonction de hachage. Une fonction de hachage est une fonction non injective qui à partir d'une donnée de taille arbitraire et souvent de grande taille, va renvoyer une valeur de taille limitée ou fixe. Une telle fonction est no tamment la fonction SHA-384.

[0161] A partir de la nouvelle graine ds', une nouvelle clé de chiffrement Kex' est gé nérée (étape 1140). Selon des modes de réalisation décrits aux Figures 12 et 13, la nouvelle clé de chiffrement Kex' comprend une paire de clés asymétriques. Selon d'autres modes de réalisation décrits aux Figures 14 et 15, la nouvelle clé de chiffrement Kex' est une clé symétrique.

[0162] L'étape 1140 est suivie d'une étape d'authentification de l'individu (étape 1145) au moyen de la nouvelle clé de chiffrement Kex', de la donnée d'authentifica tion CHA obtenue et de la clé de chiffrement Kex comprise dans les informa tions d'authentification DATA-AUTH dudit individu, afin de contrôler l'identité dudit individu.

[0163] La Figure 12 illustre une première variante de réalisation du procédé de con trôle d'identité d'un individu ayant un identifiant donné ID à partir d'informa tions d'authentification DATA-AUTH associées audit individu préalablement mémorisées conformément au second aspect de l'invention.

[0164] Dans cette variante de réalisation, les informations d'authentification DATA-

AUTH de l'individu sont mémorisées par exemple, sous la forme d'un certificat pour l'identifiant ID, et comprennent au moins l'identifiant ID de l'individu, une clé publique Kpub en tant que clé de chiffrement Kex et une donnée aléatoire ou pseudo-aléatoire en tant que code de traitement r. Ces informations d'au thentification DATA-AUTH sont par exemple générées conformément au pro cédé de génération d'informations d'authentification décrit au support de la Fi gure 7.

[0165] On ne décrira en détail ci-après que les étapes qui diffèrent de celles du mode de réalisation décrit au support de la Figure 11. Pour le reste, il est renvoyé au mode de réalisation décrit au support de la Figure 11.

[0166] L'étape 1110 d'obtention d'un nouveau signal numérique d'une caractéristique personnelle de l'individu ayant ledit identifiant ID est suivie d'une étape d'ob tention des informations d'authentification DATA-AUTH de l'individu ayant l'identifiant ID (étape 1215). Cette étape comprend notamment l'obtention du certificat de l'individu. Le certificat peut être lu à partir d'une mémoire ou d'une base de données BD-AUTH du dispositif DE-AUTH de l'individu ou d'une mé moire ou d'une base de données d'un serveur distant.

[0167] L'étape 1215 est suivie d'une étape d'obtention d'une donnée d'authentification CHA (étape 1120). La donnée d'authentification peut être un message à signer.

[0168] L'étape 1120 est suivie de l'étape de génération de nouvelles données b' asso ciées au nouveau signal numérique obtenu (étape 1125) précédemment décrite au support de la Figure 11.

[0169] Les étapes 1215, 1120 et 1125 peuvent être réalisées selon un ordre différent.

[0170] L'étape 1125 est suivie d'une étape de génération d'un nouveau mot de code c'. Cette étape précédemment décrite au support de l'étape 1130 de la Figure 11, comprend, dans cette variante de réalisation, la génération d'un nouveau mot de code c' issu d'un code correcteur d'erreurs, en particulier d'un code correcteur d'erreurs non systémique, à partir des nouvelles données b' associées au nou veau signal numérique obtenu et de la donnée aléatoire ou pseudo-aléatoire r comprise dans le certificat de l'individu (étape 1230). Pour réaliser cette étape, la donnée aléatoire ou pseudo-aléatoire r est concaténée aux nouvelles données b' associées au nouveau signal numérique obtenu et le code correcteur d'erreurs est appliqué sur le résultat de la concaténation des nouvelles données b' et de la donnée aléatoire ou pseudo-aléatoire r, afin de générer le nouveau mot de code c'.

[0171] L'étape 1230 est suivie de l'étape de génération d'une nouvelle graine ds' à par tir d'au moins une partie du nouveau mot de code c' (étape 1135 précédemment décrite).

[0172] L'étape 1135 est suivie d'une étape de génération d'une nouvelle clé de chiffre ment Kex' à partir de la nouvelle graine ds' (étape 1240). Dans ce mode de réa lisation, la nouvelle clé de chiffrement Kex' comprend une paire de clés asymé triques laquelle comprend une nouvelle clé publique Kpub' et une nouvelle clé privée Kpriv'. La génération de la paire de clés asymétriques est réalisée par exemple pour un chiffrement RSA ou ECDSA.

[0173] L'étape 1240 est suivie de l'authentification de l'individu (étape 1245).

[0174] Selon cette variante de réalisation, l'authentification (étape 1245) comprend les étapes 1250 et 1260. L'étape 1250 comprend la signature de la donnée d'au thentification CHA à partir de la nouvelle clé privée Kpriv' au moyen d'un algo rithme de chiffrement à clé asymétrique tel que AES ou ECDSA. L'étape 1250 est suivie d'une étape 1260 de vérification de la donnée d'authentification CHA signée au moyen de la clé publique Kpub comprise dans les informations d'au thentification DATA-AUTH, notamment le certificat de l'individu, afin de con trôler l'identité dudit individu.

[0175] Selon un mode de réalisation particulier dans lequel le certificat de l'individu est mémorisé sur un serveur distant, l'étape 1260 peut être réalisée sur ce ser veur distant.

[0176] Selon une alternative de réalisation des étapes 1250 et 1260, l'authentification de l'individu comprend les étapes suivantes : une étape de signature de la don née d'authentification CHA à partir de la clé publique Kpub comprise dans les informations d'authentification DATA-AUTH de l'individu, notamment le certi ficat de l'individu et une étape de vérification de la donnée d'authentification CHA signée, au moyen de la nouvelle clé privée Kpriv' afin de contrôler l'iden tité dudit individu. Cette dernière étape est notamment réalisée par le déchiffre ment de la donnée d'authentification CHA signée en utilisant la nouvelle clé privée Kpriv'. Si la donnée d'authentification déchiffrée correspond à la donnée d'authentification CHA, alors le contrôle d'identité de l'individu est validé.

[0177] La Figure 13 illustre une deuxième variante de réalisation du procédé de con trôle d'identité d'un individu ayant un identifiant donné ID à partir d'informa tions d'authentification DATA-AUTH associées audit individu préalablement mémorisées conformément au second aspect de l'invention.

[0178] Dans cette variante de réalisation, les informations d'authentification DATA-

AUTH de l'individu sont mémorisées par exemple, sous la forme d'un certificat pour l'identifiant ID, qui comprennent au moins l'identifiant ID de l'individu, une clé publique Kpub en tant que clé de chiffrement Kex et des données de re dondance en tant que code de traitement r. Ces informations d'authentification DATA-AUTH sont par exemple générées conformément au procédé de généra tion d'informations d'authentification décrit au support de la Figure 8.

[0179] On ne décrira en détail ci-après que les étapes qui diffèrent de celles du mode de réalisation décrit au support de la Figure 11. Pour le reste, il est renvoyé au mode de réalisation décrit au support de la Figure 11.

[0180] L'étape 1110 d'obtention d'un nouveau signal numérique d'une caractéristique personnelle de l'individu ayant ledit identifiant ID est suivie d'une étape d'ob tention des informations d'authentification DATA-AUTH de l'individu ayant l'identifiant ID (étape 1315). Cette étape comprend notamment l'obtention du certificat de l'individu. Le certificat peut être lu à partir d'une mémoire ou d'une base de données BD-AUTH du dispositif DE-AUTH de l'individu ou d'une mé moire ou d'une base de données d'un serveur distant.

[0181] L'étape 1315 est suivie d'une étape d'obtention d'une donnée d'authentification CHA (étape 1120). La donnée d'authentification peut être un message à signer.

[0182] L'étape 1120 est suivie de l'étape de génération de nouvelles données b' asso ciées au nouveau signal numérique obtenu (étape 1125) précédemment décrite au support de la Ligure 11.

[0183] Les étapes 1315, 1120 et 1125 peuvent être réalisées selon un ordre différent.

[0184] L'étape 1125 est suivie d'une étape de génération d'un nouveau mot de code c'. Cette étape précédemment décrite au support de l'étape 1130 de la Ligure 11, comprend, dans cette variante de réalisation, la génération d'un nouveau mot de code c' issu d'un algorithme de correction de code correcteur d'erreurs systé mique, à partir des nouvelles données b' associées au nouveau signal numé rique obtenu et des données de redondance r comprises dans les informations d'authentification DATA-AUTH, notamment dans le certificat de l'individu (étape 1330). Le nouveau mot de code c' ainsi obtenu comprend des données b" correspondant aux nouvelles données b' associées au nouveau signal numérique obtenu, après correction, et les données de redondance r correspondant aux données de redondance r comprises dans les informations d'authentification DATA-AUTH, notamment dans le certificat de l'individu.

[0185] L'étape 1330 est suivie de l'étape de génération d'une nouvelle graine ds' à par tir d'au moins une partie du nouveau mot de code c' (étape 1135 précédemment décrite).

[0186] L'étape 1135 est suivie d'une étape de génération d'une nouvelle clé de chiffre ment Kex' à partir de la nouvelle graine ds' (étape 1340). Dans ce mode de réa lisation, la nouvelle clé de chiffrement Kex' comprend une paire de clés asymé triques laquelle comprend une nouvelle clé publique Kpub' et une nouvelle clé privée Kpriv'. La génération de la paire de clés asymétriques est réalisée par exemple pour un chiffrement RSA ou ECDSA.

[0187] L'étape 1340 est suivie de l'authentification de l'individu (étape 1345).

[0188] Selon cette variante de réalisation, l'authentification (étape 1345) comprend les étapes 1350 et 1360. L'étape 1350 comprend la signature de la donnée d'au thentification CHA à partir de la nouvelle clé privée Kpriv' au moyen d'un algo rithme de chiffrement à clé asymétrique tel que AES ou ECDSA. L'étape 1350 est suivie d'une étape 1360 de vérification de la donnée d'authentification CHA signée au moyen de la clé publique Kpub comprise dans les informations d'au thentification DATA-AUTH, notamment le certificat de l'individu, afin de con trôler l'identité dudit individu.

[0189] Selon un mode de réalisation particulier dans lequel le certificat de l'individu est mémorisé sur un serveur distant, l'étape 1360 peut être réalisée sur ce ser veur distant.

[0190] Selon une alternative de réalisation des étapes 1350 et 1360, l'authentification de l'individu comprend les étapes suivantes : une étape de signature de la don née d'authentification CHA à partir de la clé publique Kpub comprise dans les informations d'authentification DATA-AUTH de l'individu, notamment le certi ficat de l'individu et une étape de vérification de la donnée d'authentification CHA signée, au moyen de la nouvelle clé privée Kpriv' afin de contrôler l'iden tité dudit individu. Cette dernière étape est notamment réalisée par le déchiffre ment de la donnée d'authentification CHA signée en utilisant la nouvelle clé privée Kpriv'. Si la donnée d'authentification déchiffrée correspond à la donnée d'authentification CHA, alors le contrôle d'identité est validé.

[0191] La Figure 14 illustre une troisième variante de réalisation du procédé de con trôle d'identité d'un individu ayant un identifiant donné ID à partir d'informa tions d'authentification DATA-AUTH associées audit individu préalablement mémorisées conformément au second aspect de l'invention.

[0192] Dans cette variante de réalisation, les informations d'authentification DATA- AUTH de l'individu comprennent au moins l'identifiant ID de l'individu, une clé symétrique Ksym en tant que clé de chiffrement mémorisée Kex et une donnée aléatoire ou pseudo-aléatoire en tant que code de traitement r. Ces in formations d'authentification DATA-AUTH sont par exemple générées confor mément au procédé de génération d'informations d'authentification décrit au support de la Figure 9. Selon un mode de réalisation particulier, la clé symé trique Ksym est chiffrée, par exemple au moyen d'une clé publique d'un ser veur distant.

[0193] On ne décrira en détail ci-après que les étapes qui diffèrent de celles du mode de réalisation décrit au support de la Figure 11. Pour le reste, il est renvoyé au mode de réalisation décrit au support de la Figure 11.

[0194] Dans ce mode de réalisation, l'étape 1110 d'obtention d'un nouveau signal nu mérique d'une caractéristique personnelle de l'individu ayant ledit identifiant ID est suivie d'une étape d'obtention d'au moins une partie des informations d'authentification DATA-AUTH de l'individu ayant l'identifiant ID (étape 1415). Ces informations d'authentification DATA-AUTH peuvent être lues à partir d'une mémoire ou d'une base de données BD-AUTH du dispositif DE- AUTH de l'individu ou d'une mémoire ou d'une base de données d'un serveur distant.

[0195] L'étape 1415 est suivie d'une étape d'obtention d'une donnée d'authentification CHA (étape 1120). La donnée d'authentification peut être un message à signer.

[0196] Selon un mode de réalisation particulier, dans lequel les informations d'authen tification DATA-AUTH sont mémorisées sur un serveur distant, le code de trai- tement r et la donnée d'authentification CHA peuvent être transmis de ce ser veur distant au dispositif DE-AUTH de l'individu soit via un message soit via un code matriciel, tel qu'un code QR à scanner par le dispositif DE-AUTH de l'individu.

[0197] L'étape 1120 est suivie de l'étape de génération de nouvelles données b' asso ciées au nouveau signal numérique obtenu (étape 1125) précédemment décrite au support de la Figure 11.

[0198] Les étapes 1415, 1120 et 1125 peuvent être réalisées selon un ordre différent.

[0199] L'étape 1125 est suivie d'une étape de génération d'un nouveau mot de code c'. Cette étape précédemment décrite au support de l'étape 1130 de la Figure 11 comprend, dans cette variante de réalisation, la génération d'un nouveau mot de code c' issu d'un code correcteur d'erreurs, en particulier d'un code correcteur d'erreurs non systémique, à partir des nouvelles données b' associées au nou veau signal numérique obtenu et de la donnée aléatoire ou pseudo-aléatoire r comprise dans les informations d'authentification DATA-AUTH (étape 1430). Pour réaliser cette étape, la donnée aléatoire ou pseudo-aléatoire r est concaté- née aux nouvelles données b' associées au nouveau signal numérique obtenu et le code correcteur d'erreurs est appliqué sur le résultat de la concaténation des nouvelles données b' et de la donnée aléatoire ou pseudo-aléatoire r, afin de gé nérer le nouveau mot de code c'.

[0200] L'étape 1430 est suivie de l'étape de génération d'une nouvelle graine ds' à par tir d'au moins une partie du nouveau mot de code c' (étape 1135 précédemment décrite).

[0201] L'étape 1135 est suivie d'une étape de génération d'une nouvelle clé de chiffre ment Kex' à partir de la nouvelle graine ds' (étape 1440). Dans ce mode de réa lisation, la nouvelle clé de chiffrement Kex' est une nouvelle clé symétrique gé nérée Ksym'. La génération de la clé symétrique est réalisée par exemple pour un chiffrement AES.

[0202] L'étape 1440 est suivie de l'authentification de l'individu (étape 1445).

[0203] Selon cette variante de réalisation, l'authentification (étape 1445) comprend les étapes 1450 et 1460. L'étape 1450 est une étape de génération d'un premier code d'authentification OTP1 à partir de la donnée d'authentification CHA et de la nouvelle clé symétrique Ksym'. Ce premier code d'authentification OTP1 est par exemple un mot de passe à usage unique.

[0204] L'étape 1450 est suivie d'une étape d'authentification de l'individu à partir du premier code d'authentification OTP1 (étape 1460). Dans le mode de réalisa tion dans lequel les informations d'authentification DATA-AUTH sont mémori sées dans le dispositif DE-AUTH de l'individu, alors l'authentification est réali sée localement dans le dispositif DE-AUTH de l'individu. Dans le mode de réa lisation dans lequel les informations d'authentification DATA-AUTH sont mé morisées sur un serveur distant, le premier code d'authentification OTP1 doit être transmis à ce serveur pour la réalisation de cette authentification. Cette transmission peut être réalisée par l'envoi d'un message du dispositif DE- AUTH de l'individu au serveur distant ou par la saisie de ce premier code d'au thentification OTP1 par l'individu sur le site, notamment le site web, du serveur distant.

[0205] Cette étape d'authentification de l'individu (étape 1460) comprend la génération d'un deuxième code d'authentification OTP2 à partir de la clé symétrique Ksym comprise dans les informations d'authentification DATA-AUTH de l'individu et de la donnée d'authentification CHA, puis la comparaison du premier code d'authentification OTP1 avec le deuxième code d'authentification OTP2 afin de valider ou non le contrôle d'identité de l'individu. Dans le mode de réalisation particulier dans lequel la clé symétrique Ksym comprise dans les informations d'authentification DATA-AUTH est chiffrée, cette clé est déchiffrée préalable ment à la génération du deuxième code d'authentification OTP2.

[0206] La Figure 15 illustre une quatrième variante de réalisation du procédé de con trôle d'identité d'un individu ayant un identifiant donné ID à partir d'informa tions d'authentification DATA-AUTH associées audit individu préalablement mémorisées conformément au second aspect de l'invention.

[0207] Dans cette variante de réalisation, les informations d'authentification DATA- AUTH de l'individu comprennent au moins l'identifiant ID de l'individu, une clé symétrique Ksym en tant que clé de chiffrement mémorisée Kex et des don nées de redondance en tant que code de traitement r. Ces informations d'au thentification DATA-AUTH sont par exemple générées conformément au pro cédé de génération d'informations d'authentification décrit au support de la Fi gure 10. Selon un mode de réalisation particulier, la clé symétrique Ksym est chiffrée, par exemple au moyen d'une clé publique d'un serveur distant.

[0208] On ne décrira en détail ci-après que les étapes qui diffèrent de celles du mode de réalisation décrit au support de la Figure 11. Pour le reste, il est renvoyé au mode de réalisation décrit au support de la Figure 11.

[0209] Dans ce mode de réalisation, l'étape 1110 d'obtention d'un nouveau signal nu mérique d'une caractéristique personnelle de l'individu ayant ledit identifiant ID est suivie d'une étape d'obtention d'au moins une partie des informations d'authentification DATA-AUTH de l'individu ayant l'identifiant ID (étape 1515). Ces informations d'authentification DATA-AUTH peuvent être lues à partir d'une mémoire ou d'une base de données BD-AUTH du dispositif DE- AUTH de l'individu ou d'une mémoire ou d'une base de données d'un serveur distant.

[0210] L'étape 1515 est suivie d'une étape d'obtention d'une donnée d'authentification CHA qui peut être un message à signer (étape 1120).

[0211] Selon un mode de réalisation particulier, dans lequel les informations d'authen- tification DATA-AUTH sont mémorisées sur un serveur distant, le code de trai tement r et la donnée d'authentification CHA peuvent être transmis de ce ser veur distant au dispositif DE-AUTH de l'individu soit via un message soit via un code matriciel, tel qu'un code QR à scanner par le dispositif DE-AUTH de l'individu.

[0212] L'étape 1120 est suivie de l'étape de génération de nouvelles données b' asso ciées au nouveau signal numérique obtenu (étape 1125) précédemment décrite au support de la Figure 11.

[0213] Les étapes 1515, 1120 et 1125 peuvent être réalisées selon un ordre différent.

[0214] L'étape 1125 est suivie d'une étape de génération d'un nouveau mot de code c'. Cette étape précédemment décrite au support de l'étape 1130 de la Figure 11, comprend, dans cette variante de réalisation, la génération d'un nouveau mot de code c' issu d'un algorithme de correction de code correcteur d'erreurs systé mique, à partir des nouvelles données b' associées au nouveau signal numé rique obtenu et des données de redondance r comprises dans les informations d'authentification DATA-AUTH, notamment dans le certificat de l'individu (étape 1530). Le nouveau mot de code c' ainsi obtenu comprend des données b" correspondant aux nouvelles données b' associées au nouveau signal numérique obtenu, après correction, et les données de redondance r. Ce dernier est dans le cas présent les données de redondance r correspondant aux données de redon dance r comprises dans les informations d'authentification DATA-AUTH.

[0215] L'étape 1530 est suivie de l'étape de génération d'une nouvelle graine ds' à par tir d'au moins une partie du nouveau mot de code c' (étape 1135 précédemment décrite).

[0216] L'étape 1135 est suivie d'une étape de génération d'une nouvelle clé de chiffre ment Kex' à partir de la nouvelle graine ds' (étape 1540). Dans ce mode de réa lisation, la nouvelle clé de chiffrement Kex' est une nouvelle clé symétrique Ksym'. La génération de la clé symétrique est réalisée par exemple pour un chiffrement AES .

[0217] L'étape 1540 est suivie de l'authentification de l'individu (étape 1545).

[0218] Selon cette variante de réalisation, l'authentification (étape 1545) comprend les étapes 1550 et 1560. L'étape 1550 est une étape de génération d'un premier code d'authentification OTP1 à partir de la donnée d'authentification CHA et de la nouvelle clé symétrique Ksym'. Ce code d'authentification OTP1 est par exemple un mot de passe à usage unique.

[0219] L'étape 1550 est suivie d'une étape d'authentification de l'individu à partir du premier code d'authentification OTP1 (étape 1560). Dans le mode de réalisa tion dans lequel les informations d'authentification DATA-AUTH sont mémori sées dans le dispositif DE-AUTH de l'individu, alors l'authentification est réali sée localement dans le dispositif DE-AUTH de l'individu. Dans le mode de réa- lisation dans lequel les informations d'authentification DATA-AUTH sont mé morisées sur un serveur distant, le premier code d'authentification OTP1 doit être transmis à ce serveur pour la réalisation de cette authentification. Cette transmission peut être réalisée par l'envoi d'un message du dispositif DE- AUTH de l'individu au serveur distant ou par la saisie de ce premier code d'au thentification OTP1 par l'individu sur le site, notamment le site web, du serveur distant.

[0220] Cette étape d'authentification de l'individu (étape 1560) comprend la génération d'un deuxième code d'authentification OTP2 à partir de la clé symétrique Ksym comprise dans les informations d'authentification DATA-AUTH de l'individu et de la donnée d'authentification CHA, puis la comparaison du premier code d'authentification OTP1 avec le deuxième code d'authentification OTP2 afin de valider ou non le contrôle d'identité de l'individu. Dans le mode de réalisation particulier dans lequel la clé symétrique Ksym comprise dans les informations d'authentification DATA-AUTH est chiffrée, cette clé est déchiffrée préalable ment à la génération du deuxième code d'authentification OTP2.