AN IMAL

La présente invention vise un procédé, un dispositif et un document d'identification d'une personne ou d'un animal. Elle s'applique, en particulier, à la fabrication de pièces d'identité et à la vérification d'authenticité et d'intégrité des pièces d'identité.

On connaît de nombreux types de documents d'identité. Cependant, bien qu'ils soient difficilement falsifiables, des techniques existent pour modifier les informations biométriques qu'ils portent, que ce soit une photographie, une empreinte digitale, la taille, la couleur de cheveux ou des yeux de leur porteur.

De plus, la vérification de ces éléments est difficile car, une fois modifiés, ils peuvent correspondre à un nouveau porteur du document d'identité.

La présente invention vise à remédier à ces inconvénients.

A cet effet, selon un premier aspect, la présente invention vise un dispositif objet de la revendication 1 .

Grâce à ces dispositions, les données biométriques du porteur du document sont codées et dont particulièrement difficiles à falsifier. De plus, l'image d'authentification imprimée présente, dès sa première impression sur le document, une quantité importante d'erreurs aléatoires qui imposent qu'une copie, faite avec les mêmes moyens d'impression que le document original, de l'image d'identification imprimée comporterait encore plus d'erreurs, le nombre d'erreurs total de la copie permettant de détecter qu'il s'agit d'une copie. Les redondances présentes dans l'image d'identification permettent de corriger les défauts d'impression et/ou de lecture et les marques d'usure ou d'effacement de l'image d'identification.

Dans des modes de réalisation, le moyen d'obtention de données biométriques est configuré pour obtenir une photographie de la tête de la personne ou de l'animal et le moyen de codage des données biométriques est configuré pour coder la photographie pour former l'image d'identification.

Grâce à ces dispositions, un décodeur peut faire apparaître la photographie de la personne ou de l'animal et vérifier son identité.

Dans des modes de réalisation, le moyen de codage de données biométriques est configuré pour coder les données biométriques dans au moins cent mille cellules élémentaires.

Grâce à ces dispositions, une photographie compressée en quatre kilooctets peut être représentée avec plusieurs redondances. Cette photographie peut ainsi être très précise.

Dans des modes de réalisation, le moyen de codage de données biométriques est configuré pour appliquer un facteur de redondance au moins égal à trois.

Grâce à ces dispositions, la détection et la correction d'erreurs d'impression ou de capture d'image et de l'usure ou effacement de l'image peut être réalisée même avec beaucoup de données perdues.

Dans des modes de réalisation, chaque moyen de codage est configuré pour former une image susceptible d'être imprimée avec une résolution de 600 points par pouce en conservant ses capacités de lecture. Dans des modes de réalisation, le moyen d'obtention de données biométriques est configuré pour obtenir des données représentatives d'au moins une empreinte digitale de la personne et le moyen de codage de données biométriques est configuré pour coder les données représentatives de l'empreinte digitale.

Grâce à ces dispositions, l'identité du porteur du document d'identité peut être vérifiée en comparant chaque donnée d'empreinte digitale représentée par l'image d'identification avec la donnée correspondante d'une empreinte digitale fournie lors de l'identification.

Dans des modes de réalisation, le dispositif objet de l'invention comporte un moyen de formation, sur le document, d'au moins une surface de dépôt d'une empreinte digitale.

Grâce à ces dispositions, la capture d'au moins une empreinte digitale du porteur du document d'identité est réalisée directement sur le document d'identité après pression du doigt concerné sur la surface de dépôt correspondante.

Dans des modes de réalisation, le moyen de codage d'une image d'authentification est configuré pour former une image adaptée, lors de l'impression par le moyen d'impression, à comporter au moins une dixième de cellules élémentaires dont le contenu est erroné.

Grâce à ces dispositions, la détection de la copie du document est facilitée car elle impose un taux d'erreur d'au moins quinze pourcents.

Dans des modes de réalisation, le moyen de codage d'une image d'authentification est configuré pour coder au moins une information d'identification du porteur du document dans l'image d'authentification.

Grâce à ces dispositions, le code d'authentification, qui ne peut être falsifié, identifie le porteur du document, même si l'image d'identification a été falsifiée.

Dans des modes de réalisation, le moyen de codage d'une image d'authentification est configuré pour réaliser une permutation de cellules élémentaires en mettant en œuvre une fonction de hashage, ou condensât, mettant en œuvre une clé de hashage.

Grâce à ces dispositions, la récupération des données d'identification, par une personne malintentionnée, est complexifiée.

Dans des modes de réalisation, au moins l'un des moyens de codage est configuré pour réaliser une permutation de cellules élémentaires représentatives d'une empreinte digitale en mettant en œuvre une fonction de hashage, ou condensât, mettant en œuvre une clé de hashage.

Grâce à ces dispositions, la récupération des données d'empreinte digitale, par une personne malintentionnée, est complexifiée.

De plus, en mettant en œuvre une fonction inverse de la fonction de hashage, lors de la lecture de l'image d'identification ainsi réalisée, on réduit le taux d'erreur et on authentifie donc l'empreinte digitale.

Selon un deuxième aspect, la présente invention vise un dispositif objet de la revendication

12.

Selon un troisième aspect, la présente invention vise un procédé objet de la revendication 13. Selon un quatrième aspect, la présente invention vise un procédé objet de la revendication Dans des modes de réalisation, le procédé de vérification comporte l'étape d'affichage des données biométriques après une étape de capture de données biométriques du porteur du document et une étape de vérification de correspondance entre les données biométriques captées et les données biométriques décodées.

Grâce à ces dispositions, les personnes malintentionnées ne peuvent avoir accès aux données représentées par l'image d'identification. La falsification du document est ainsi rendue plus difficile.

De plus, seul le porteur du document peut ainsi avoir accès à des données mémorisées sur le document.

Selon un cinquième aspect, la présente invention vise un document objet de la revendication

16.

Dans des modes de réalisation, le document objet de l'invention comporte une surface de dépôt d'au moins une empreinte digitale.

Les avantages, buts et caractéristiques particulières de ce dispositif de vérification, de ces procédés et de ce document étant similaires à ceux du dispositif de réalisation d'un document objet de la présente invention, ils ne sont pas rappelés ici.

D'autres avantages, buts et caractéristiques particulières de la présente invention ressortiront de la description qui va suivre faite, dans un but explicatif et nullement limitatif, en regard de dessins annexés, dans lesquels :

- la figure 1 représente, schématiquement, des modes de réalisation particuliers du dispositif de réalisation d'un document d'identité et du dispositif de vérification objets de la présente invention,

la figure 2 représente, sous forme d'un logigramme, des étapes d'un mode de réalisation particulier du procédé de réalisation d'un document d'identité objet de la présente invention, - la figure 3 représente, sous forme d'un logigramme, des étapes d'un mode de réalisation particulier du procédé de vérification objet de la présente invention,

la figure 4 représente, schématiquement, un document d'identité objet de la présente invention et

la figure 5 représente, sous forme de logigramme, des étapes mises en œuvre pour réaliser une image d'authentification.

On note, dès à présent, que les figures ne sont pas à l'échelle.

On observe, en figure 1 , un dispositif 10 de réalisation d'un document 40 (dont un exemple est représenté en figure 4) supportant des données d'identification d'une personne ou d'un animal. Dans la suite de la description, on appelle un tel document un « document d'identité ». Ce document 40 prend, par exemple, la forme d'une carte d'identité, d'un permis de conduire, d'un passeport, d'une carte de membre, d'une carte médicale ou d'une carte de paiement.

Le dispositif 10 comporte :

- un moyen 1 90 de détermination de conditions d'impression dudit document ;

- un moyen 105 d'obtention de données biométriques représentatives de cette personne ou de cet animal, - un moyen 1 10 de codage des données biométriques pour former une image d'identification numérique comportant des redondances,

- un moyen 195 de détermination de caractéristiques physiques de cellules d'au moins une forme, en fonction des conditions d'impression, de telle manière que la proportion de cellules imprimée avec une erreur d'impression provenant exclusivement des aléas d'impression soit supérieure à une première valeur prédéterminée et inférieure à une deuxième valeur prédéterminée ;

- un moyen 1 15 de codage pour former une image d'authentification du document, ladite image d'authentification présentant des cellules élémentaires et

- un moyen 120 d'impression de l'image d'authentification et de l'image d'identification sur le document 40 pour générer des erreurs aléatoires dans les cellules élémentaires imprimées de l'image d'authentification.

Le moyen 1 05 d'obtention de données biométriques représentatives de cette personne ou de cet animal peut comporter au moins un capteur, par exemple un capteur d'une image de la tête du futur porteur du document d'identité ou un capteur d'empreinte digitale. Le moyen 105 peut aussi comporter un moyen de réception de données conservées dans une mémoire informatique, par exemple une mémoire d'une banque, d'un service fiscal ou d'un organisme de sécurité sociale, mémoire conservant des données biométriques, telles que la taille, la couleur de cheveux ou des yeux du futur porteur du document d'identité.

Le moyen 1 10 de codage des données biométriques pour former une image d'identification numérique met en œuvre une unité centrale 125 fonctionnant selon un programme 130 dont les instructions sont conservées dans une mémoire 135. Ce programme implémente, par exemple, les étapes illustrées en figure 2.

Le moyen 1 15 de codage pour former une image d'authentification du document, met aussi en œuvre l'unité centrale 125 et le programme 130.

Le moyen 120 d'impression de l'image d'authentification et de l'image d'identification sur le document 40 est, par exemple constitué d'une imprimante laser, à jet d'encre ou à cristal piézoélectrique.

Le moyen 120 d'impression est configuré pour, à la résolution de l'image d'authentification à imprimer, générer des erreurs aléatoires dans les cellules élémentaires imprimées de l'image d'authentification, comme exposé avec le détail des moyens 190 et 195.

Ainsi, les données biométriques du porteur du document sont codées et dont particulièrement difficiles à falsifier. De plus, l'image d'authentification imprimée présente, dès sa première impression sur le document, une quantité importante d'erreurs aléatoires qui imposent qu'une copie, faite avec les mêmes moyens d'impression que le document original, de l'image d'identification imprimée comporterait encore plus d'erreurs, le nombre d'erreurs total de la copie permettant de détecter qu'il s'agit d'une copie. Les redondances présentes dans l'image d'identification permettent de corriger les défauts d'impression et/ou de lecture et les marques d'usure ou d'effacement de l'image d'identification.

En ce qui concerne les moyens 190 et 195, on appelle, dans la suite de la description « erreur d'impression » une modification de l'apparence d'une cellule qui modifie l'interprétation de l'information portée par cette cellule, lors d'une analyse affranchie des erreurs de lecture ou capture, par exemple microscopique. On note que si les cellules ont souvent à l'origine des valeurs binaires, les images capturées sont fréquemment en niveau de gris, et on a donc une valeur non-binaire associée à une cellule ; cette dernière peut par exemple être interprétée en tant que probabilité sur la valeur binaire d'origine de la cellule.

Si on utilise, à la lecture, une valeur limite au niveau de gris pour déterminer si une cellule est d'une couleur (par exemple blanche) ou d'une autre (par exemple noir), une erreur d'impression consiste en une interprétation erronée de la couleur de la cellule du document numérique initial.

Les inventeurs ont découvert que, lorsque la proportion d'erreur d'impression est supérieure à une valeur prédéterminée, la copie de la forme effectuée en mettant en œuvre les mêmes moyens d'impression que l'impression originale, ou des moyens analogues, provoque nécessairement une proportion supplémentaire d'erreurs rendant détectable cette copie.

Les inventeurs ont aussi découvert qu'en fonction de contraintes données (telle qu'une contrainte de taille physique ou de nombre de cellules de la matrice d'information sécurisée « MIS »), il existe une proportion d'erreurs d'impression optimale en terme de capacité de détection de copie. Cette proportion d'erreur d'impression optimale correspond à une taille de cellule ou une résolution d'impression donnée fonction du moyen d'impression.

Ainsi, contrairement à un préjugé, la plus haute résolution d'impression n'est pas nécessairement, et est même rarement, une résolution donnant le meilleur résultat en terme de capacité de détection de copie.

Il convient, ici de différencier la résolution d'impression native des moyens d'impression et la résolution d'impression des cellules qui sont constituées, chacune, en général, d'une pluralité de points d'encre, chaque point d'encre correspondant à la résolution d'impression native. Formellement, on ne peut pas faire varier la résolution d'impression d'une MIS. En effet, la majorité des moyens d'impressions impriment en binaire (présence ou absence d'un point d'encre) à une résolution fixée, et les niveaux de gris ou de couleur sont simulés par les différentes techniques du tramage. Dans le cas de l'impression offset, cette résolution « native » est déterminée par la résolution de la plaque, qui est par exemple de 2.400 points/pouce (2.400 dpi). Ainsi, une image à niveau de gris à imprimer à 300 pixels/pouce (300 dpi) serait en réalité imprimée en binaire à 2.400 dpi, chaque pixel correspondant approximativement à 8 x 8 points de la trame.

Si on ne peut, généralement, pas varier la résolution d'impression, on peut par contre faire varier la taille en pixels des cellules de la M IS, de façon à ce qu'une cellule soit représentée par plusieurs points d'impression. Ainsi, on peut par exemple représenter une cellule par un bloc carré de 1 x 1 , 2 x 2, 3 x 3, 4 x 4 ou 5 x 5 pixels (des blocs non-carrés sont également possibles), correspondant à des résolutions de respectivement 2.400, 1 .200, 800, 600 et 480 cellules/pouce.

Dans des modes de réalisation, au cours de l'étape de détermination des caractéristiques physiques de cellules, on détermine la dimension des cellules à imprimer.

Dans des modes de réalisation, au cours de l'étape de détermination des caractéristiques physiques de cellules, on détermine une sous-partie des cellules, sous-partie qui est d'une couleur uniforme et variable pour représenter différentes valeurs d'une information, ladite sous-partie étant strictement inférieure à ladite cellule

Dans des modes de réalisation, la première valeur prédéterminée est supérieure à 5 %, préférentiellement à 10 % et, encore plus préférentiellement, à 15 % puis à 20 %.

Dans des modes de réalisation, la deuxième valeur prédéterminée est inférieure à 30 % et, préférentiellement, à 25 %.

Avant de donner le détail de différents modes de réalisation particuliers de certains aspects de la présente invention, on donne, ci-après, des définitions qui seront utilisées dans la description.

« matrice d'informations » : il s'agit d'une représentation physique d'un message, généralement apposée sur une surface unie (à la différence des watermarks ou stéganographies qui modifient les valeurs de pixels d'un décor à imprimer), lisible par une machine (en anglais « machine-readable représentation of information »). La définition de la matrice d'informations englobe, par exemple, les codes à barres 2D, les codes à barres à une dimension et d'autres moyens de représentation de l'information qui sont moins intrusifs, tel que les « Dataglyphs » (marquage de données) ;

« cellule » : il s'agit d'un élément de la matrice d'information qui représente une unité d'information ;

« document » : il s'agit de n'importe quel objet (physique) portant une matrice d'information ; « marquage » ou « impression » : tout processus par laquelle on passe d'une image digitale (incluant une matrice d'information, un document..) à sa représentation dans le monde réel, cette représentation étant généralement faite sur une surface : ceci inclut, de manière non- exclusive, l'impression à jet d'encre, laser, offset, thermique, ainsi que l'embossage, la gravure laser, la génération d'hologrammes. Des processus plus complexes, tel que le moulage, dans lequel la matrice d'information est d'abord gravée dans le moule, puis moulée sur chaque objet, sont également inclus (notons qu'une matrice d'information « moulée » pet être vue comme ayant trois dimensions dans le monde physique même si sa représentation digitale en comporte deux. Notons encore que plusieurs des procédés mentionnés incluent plusieurs transformation, par exemple l'impression offset classique (contrairement à l'offset « computer-to-plate »), inclut la création d'un film, ledit film sevrant à créer une plaque, ladite plaque étant utilisée dans l'impression. D'autres procédés permettent également d'imprimer une information dans le domaine non-visible, soit en utilisant des fréquences à l'extérieur du spectre visible, ou encore à inscrivant l'information à l'intérieur de la surface, etc, et

« capture » : tout processus par lequel on obtient une représentation digitale du monde réel, incluant la représentation digitale d'un document physique contenant une matrice d'information.

Dans toute la description qui va suivre, on met en œuvre des formes globalement carrées. Cependant, la présente invention ne se limite pas à ce type de forme mais s'étend, bien au contraire, à toutes les formes pouvant être imprimées. Par exemple, des formes constituées de M IS avec différentes résolutions et différentes charges d'encre, comme exposées ci-dessous peuvent être mises en œuvre, ce qui aurait pour avantage, notamment, qu'au moins une M IS corresponde à un optimum de résolution et un optimum de densité d'encrage.

Dans toute la description, on met en œuvre un remplissage de la forme imprimée qui peut être représenté par une matrice de cellules. Cependant, la présente invention ne se limite pas à ce type de forme, mais s'étend, bien au contraire, à tout remplissage par des cellules, de formes et de tailles identiques ou différentes.

En guise d'introduction à la description de modes de réalisation particuliers du procédé et du dispositif objets de la présente invention, on rappelle que la dégradation d'une matrice d'information a pour conséquence que les contenus de certaines cellules peuvent ne pas être correctement décodés.

Chaque étape de la création de la matrice d'information est effectuée dans le but que le message d'origine soit lisible sans erreur, même si, et c'est un effet désiré, la lecture initiale de la matrice d'informations est entachée d'erreurs. En particulier, un des buts de cette création de matrice d'information est d'utiliser le nombre ou le taux d'erreurs des messages encodés, répliqués, permutés ou brouillés pour déterminer l'authenticité d'une marque de la matrice d'informations et donc du document qui la porte.

En effet, le taux de cette dégradation peut être ajusté en fonction des caractéristiques de l'impression, de telle sorte que la production d'une copie entraîne des erreurs supplémentaires, résultant en un taux d'erreur en moyenne plus élevé lors de la lecture d'une copie, que lors de la lecture d'un original.

Pour comprendre pourquoi une mesure du taux d'erreurs du message peut suffire à déterminer si un document est un original ou une copie, une analogie avec les systèmes de communication s'avère utile. En effet, le passage du message codé, brouillé à la matrice d'information qui le représente n'est autre qu'une modulation du message, cette modulation étant définie comme le processus par lequel le message est transformé de sa forme originale en une forme adaptée à la transmission sur un canal. Ce canal de communication, soit le média de transmission d'information qui relie la source au destinataire et permet l'acheminement du message, diffère selon que la matrice d'information captée est une matrice d'information originale captée ou une matrice d'information copiée captée. Le canal de communication peut varier : on distingue ainsi le « canal de communication d'un original » et le « canal de communication d'une copie ». Cette différence peut se mesurer en terme de rapport signal/bruit, ce rapport étant plus faible pour une matrice d'information copiée captée.

Le message codé extrait d'une matrice d'information copiée captée aura plus d'erreurs que le message codé extrait d'une matrice d'information originale captée. Le nombre ou le taux d'erreurs détectés sont, conformément à certains aspects de la présente invention, utilisés pour différencier une copie d'un original.

Le canal de communication d'un original et le canal de communication d'une copie sont avantageusement décrit en termes des sous-canaux qui les composent, ceux-ci étant en partie différents dans les deux cas. Dans l'exposé ci-dessous, chaque sous-canal du canal de transmission du signal, c'est-à-dire de la matrice d'information, est une transformation analogique à numérique ou numérique à analogique. Le logigramme illustré en figure 5 expose différentes étapes de génération d'une matrice d'information et de marquage d'un document, selon un mode particulier de réalisation de certains aspects du procédé objet de la présente invention.

Après le démarrage, au cours d'une étape 505, on reçoit ou on mesure, au cours d'une étape 510, au moins une caractéristique de marquage ou impression, par exemple le type d'impression, le type de support, le type d'encre utilisée. Puis, au cours d'une étape 515, on détermine si la surface de la M IS ou son nombre de cellule est fixé pour l'application considérée ou le client considéré. Au cours d'une étape 520, on détermine la densité d'encrage correspondant aux caractéristiques de marquage/impression, par exemple, en lisant, dans une base de données ou une table de correspondance (en anglais « look-up table »), la densité correspondant aux caractéristiques d'impression. Au cours d'une étape 525, on détermine la taille des cellules de la M IS, par exemple, en lisant, dans une base de données ou une table de correspondance, la taille de cellules correspondant aux caractéristiques d'impression. Ces correspondances visent à obtenir une bonne qualité d'impression et une proportion d'erreurs d'impression entre une première valeur prédéterminée et une deuxième valeur prédéterminée, par exemple 5%, 10%, 15 % ou 20 % pour la première valeur prédéterminée et 25% ou 30 % pour la deuxième valeur prédéterminée.

Puis, on reçoit, au cours d'une étape 530, un message à faire porter par un document, ce message étant généralement fonction d'un identifiant du document, et, au cours d'une étape 535, au moins une clé secrète de chiffrement et/ou de brouillage.

Le message d'origine représente, par exemple, une désignation du document, le ou les propriétaires des droits de propriété intellectuelle attachés, un ordre de fabrication, une date de fabrication, une destination du document, un prestataire de fabrication. Il est constitué selon des techniques connues en soi. Le message d'origine est représenté dans un alphabet prédéfini, par exemple en caractères alphanumériques.

Au cours d'une étape 540, on chiffre le message, avec un clé symétrique ou, préférentiellement, avec une clé asymétrique, par exemple de type bi-clé de l'infrastructure à clés publiques PKI (acronyme de « public key infrastructure ») pour fournir un message chiffré. Ainsi, pour accroître le niveau de sécurité du message, on chiffre, ou encrypte, le message de telle manière qu'une variation d'une seule information binaire du message, en entrée de chiffrement, fait varier une grande quantité d'informations binaires en sortie de chiffrement.

Le chiffrement opère en général sur des blocs de bits, de taille fixée, par exemple 64 bits ou 128 bits. L'algorithme de chiffrement DES (acronyme de « data encryption standard » pour standard de chiffrement de données) avec une clé de 56 bits et une taille de bloc de message de 64 bits, le triple-DES, avec une clé de 168 bits et une taille de bloc de message de 64 bits, et l'AES (acronyme de « advanced encryption standard » pour standard de chiffrement avancé), avec une clé de 128, 1 92 ou 256 bits et une taille de bloc de message de 128 bits, peuvent être utilisés car ils sont très utilisés, et reconnus comme étant résistant aux attaques. Cependant, de nombreux autres algorithmes de chiffrement, par bloc ou séquentiels, peuvent également être utilisés. Notons que les algorithmes de chiffrement par bloc fournissent, en principe, des messages chiffrés de taille égale au message initial, pour autant que celui-ci soit un multiple de la taille de bloc. Au cours d'une étape 545, on encode le message chiffré pour générer un message chiffré encodé. Préférentiellement l'encodage met en oeuvre un codage convolutionnel, qui est très rapide à générer, le décodage étant lui-même rapide en utilisant, par exemple, la méthode très connue élaborée par Viterbi. Si le codage convolutionnel utilisé met en œuvre un polynôme générateur de degré neuf, et le taux du code est de deux bits en sortie pour un bit en entrée, on obtiendra un gain de codage de sept dB par rapport au même message qui serait simplement répliqué. Ceci se traduit par un risque d'erreur au décodage beaucoup plus bas. Pour un message à encoder contenant 128 bits, avec le code convolutionnel précédemment décrit, on aura un message encodé de 272 bits (il y a deux bits en sortie pour chacun des 128 bits du code et des huit bits appartenant à la mémoire de l'encodeur pour un polynôme générateur de degré neuf). Notons toutefois que de nombreux autres types d'encodage peuvent être réalisés (codage arithmétique, turbo-code,..) selon le même principe.

Préférentiellement, ce message chiffré encodé se trouve alors écrit en alphabet binaire, c'est- à-dire qu'il est composé de « 0 » et de « 1 » .

Au cours d'une étape 550, on insert et on réplique le message chiffré encodé dans une liste des cellules disponibles une matrice d'informations dont les zones indisponibles supportent des symboles de synchronisation, d'alignement ou de positionnement, ou des motifs d'aide à la localisation qui, dans des modes de réalisation, sont déterminés à partir d'une clé secrète. Les motifs d'alignement, sont, par exemple, des matrices de 9 x 9 pixels distribuées de manière périodique dans la matrice d'informations. Le message chiffré encodé est ainsi répliqué, ou répété, pour que chaque information binaire soit représentée plusieurs fois, pour correspondre au nombre de cellules disponibles dans la matrice d'informations. Cette réplication, qui s'apparente à un codage par répétition ou redondance, permet de significativement réduire le taux d'erreur du message encodé qui sera fourni en entrée à l'algorithme de décodage du code convolutionnel. Les erreurs non corrigées par les répétitions seront corrigées par le code convolutionnel dans la plupart des cas.

Au cours d'étapes 555 et 560, on brouille le message chiffré encodé répliqué, selon des techniques dites de « scrambling », ou brouillage, pour fournir un message chiffré encodé brouillé.

La fonction de brouillage, ou scrambling, du message chiffré encodé répliqué consiste préférentiellement, à appliquer successivement une permutation, étape 235, et une substitution, étape 560, chacune dépendant d'une deuxième clé secrète, éventuellement identique à la première clé secrète, des valeurs binaires du message. La substitution est préférentiellement faite à partir d'une fonction « ou exclusif » et d'une séquence pseudo-aléatoire.

Ainsi, le brouillage du message chiffré codé est effectué de manière non triviale, en mettant en œuvre une clé secrète, qui peut être une clé identique à celle utilisée pour le chiffrement du message ou une clé différente. Notons que si la clé est différente, dans des modes de réalisation particuliers, elle peut être calculée à partir d'une fonction de la clé utilisée pour le chiffrement.

L'utilisation d'une clé secrète, à la fois pour le chiffrement du message et pour le brouillage du message encodé, permet d'atteindre un niveau de sécurité élevé contre les contrefaçons. Par comparaison, les méthodes existantes de création de code à barres 2D ne brouillant pas le message encodé, le contrefacteur peut facilement recréer une matrice d'information originale après avoir décodé le message de la matrice d'information captée ; même si le message décodé est chiffré, il ne lui est pas nécessaire de décrypter le dit message pour recréer la matrice d'information à l'identique.

Le brouillage consiste ici préférentiellement, en une combinaison de permutation, étape 555, et, étape 560, de l'utilisation d'une fonction « XOR » ou « ou exclusif ». En effet, ce type de brouillage évite qu'une erreur se propage (il n'y a pas d'effet dit « d'avalanche » : une erreur sur un élément du message brouillé entraîne une erreur et une seule sur le message débrouillé) . L'effet d'avalanche n'est pas désirable car il rendrait difficile la lecture de la matrice d'informations à partir du moment où on aurait une seule erreur dans le message brouillé. Or, comme on l'a vu, les erreurs jouent un rôle important dans la mise en œuvre de la présente invention.

La permutation, étape 555, est déterminée à partir d'un algorithme de permutation auquel on fournit une clé, ladite clé permettant de générer pseudo aléatoirement l'ensemble des permutations effectuées. L'application de la fonction « ou exclusif », étape 560, se fait entre la séquence permutée (dont la taille correspond au nombre de cellules disponibles) et une séquence binaire de même taille générée également à partir d'une clé. On note que si le message n'est en mode binaire (les cellules permettant de représenter plus de deux valeurs possibles), la permutation peut s'effectuer de la même façon, et la fonction « ou exclusif » peut être remplacée par une fonction qui fait une addition modulo le nombre de valeurs possibles du message avec une séquence générée pseudo aléatoirement comportant le même nombre de valeurs possibles que le message brouillé.

Chacune des données binaires du message chiffré encodé répliqué brouillé est ainsi modulée dans une cellule de la matrice d'informations en attribuant l'une de deux couleurs (par exemple noir et blanc) aux données binaires « 0 » et l'autre de ces couleurs à une donnée binaire « 1 », la correspondance pouvant varier sur la surface de l'image.

Selon la méthode d'impression, étape 565, une seule des deux couleurs peut être imprimée, l'autre correspondant à la couleur d'origine du substrat, ou ayant été pré-imprimée en « toile de fond ». Pour les méthodes d'impression qui impriment un relief physique (par exemple l'embossage ou la gravure laser), une des deux couleurs associée à une certaine valeur binaire sera choisie, par exemple de manière arbitraire.

Des blocs d'alignements, de valeur connue ou déterminable par le détecteur, peuvent être insérés dans la matrice. Ces blocs peuvent être insérés à intervalle régulier depuis le coin supérieur gauche de la matrice, par exemple tous les 25 pixels, avec une taille de 10x10 pixels. On observe alors que la matrice comptera 5x5=25 blocs d'alignement, comptant chacun 100 pixels, pour un total de 25x100=2050 pixels d'alignement, ou 2050 cellules du message. Le nombre de cellules disponibles pour la réplication du message encodé. sera alors de 12.100-2.500=9.600. Sachant que, tel que décrit plus haut, le message encodé compte 272 bits, ledit message pourra être répliqué complètement 35 fois, et partiellement une 36 ^eme fois (les 80 premiers bits du message encodé). On note que ces 35 réplications permettent d'améliorer le rapport signal /bruit du signal encodé par plus de 15 dB, ce qui permet un risque d'erreur très bas à la lecture du message.

Au cours de l'étape 565, on marque un document avec la matrice d'informations, par exemple par impression ou gravure, avec une résolution de marquage telle que la représentation de la matrice d'information comporte des erreurs dues à ladite étape de marquage de telle manière que toute lecture de ladite matrice d'informations analogique révèle un taux d'erreur non nul. Au cours de cette étape 565 de marquage, on forme ainsi une marque comportant, du fait des conditions physiques de marquage, des erreurs locales, c'est-à-dire affectant individuellement des représentations de cellules de la matrice d'informations, au moins partiellement aléatoires ou imprévisibles.

Les conditions physiques de marquages comportent, notamment, les tolérances physique des moyens de marquage, support, et, en particulier, sont état de surface et matériau, par exemple encre, éventuellement déposé. Le terme d'imprévisible signifie que l'on ne peut déterminer, avant le marquage physique du document, quelles cellules de la matrice d'informations seront correctement représentées par le marquage et quelles cellules de la matrice seront erronées.

Pour chacune des clés secrètes utilisées, il suffit de changer de clé secrète pour renouveler le niveau de sécurité initiale, au cas où la clé précédente aurait été découverte par un tiers.

On note que l'encodage et l'éventuelle réplication permettent, d'une part, d'augmenter significativement la robustesse du message face aux dégradations et, d'autre part, d'authentifier le document, en estimant ou en mesure le nombre ou le taux d'erreurs affectant une lecture de la marque de la matrice d'informations.

Lorsque l'on examine des matrices d'informations originales captées imprimées avec une résolution de 1 .200 points par pouce, avec des cellules de 8 x 8, 4 x 4, 2 x 2 et 1 x 1 pixel(s), on observe que la lecture, en haute résolution, de la valeur binaire représentée par chaque cellule : ne présente pratiquement pas d'erreur avec des cellules de 8 x 8 pixels,

- présente quelques erreurs avec des cellules de 4 x 4 pixels,

présente de nombreuses erreurs avec des cellules de 2 x 2 pixels et

présente, pour les cellules de 1 x 1 pixels, un taux d'erreurs qui avoisine le maximum de 50 % si bien que les corrections d'erreurs serait probablement insuffisantes et que la dégradation due à une copie serait imperceptible puisque le taux d'erreur ne pourrait évoluer.

Entre les dimensions extrêmes des cellules, on passe par un optimum et, dans le choix limité représenté ici, l'un des cas où les cellules possèdent 4 x 4 ou 2 x 2 pixels est optimal. Une méthode de détermination de cet optimum est donnée plus loin.

On expose ci-dessous, plus en détail, comment est effectuée l'optimisation de la conception de la MIS en fonction des conditions d'impression.

On rappelle, d'abord, que la M IS en format numérique, avant impression, ne contient aucune erreur. En effet, il n'y a pas de génération aléatoire, volontaire, ni « artificielle », d'erreurs. Ces cas ne seraient, d'ailleurs, pas des erreurs d'impression au sens de la présente invention.

Ainsi, c'est la version imprimée de cette MIS qui contient des erreurs. Les erreurs en question, mises en œuvre dans la présente invention ne sont pas provoquées artificiellement, mais causées de manière naturelle. En effet, les erreurs considérées sont provoquées, de façon aléatoire et naturelle, durant l'étape de marquage, en imprimant la M IS à une résolution suffisamment élevée.

Ces erreurs sont nécessaires, bien que leur dosage soit délicat. En effet, si la M IS est marquée sans erreur (ou avec un très faible taux d'erreur), une copie de cette MIS réalisée dans des conditions comparables d'impression ne comportera pas davantage d'erreur. Ainsi une M IS imprimée « quasi-parfaitement » peut à l'évidence être copiée à l'identique avec un moyen de marquage analogue. A l'opposé, si la MIS est marquée avec un nombre trop élevé d'erreurs, seule une minorité de cellules seront susceptibles d'être copiées avec des erreurs additionnelles. Il faut donc éviter une résolution de marquage trop élevée, car la possibilité de différencier les originaux des copies s'en trouve réduite.

Formellement, on ne peut pas faire varier la résolution d'impression d'une MIS. En effet, la majorité des moyens d'impressions impriment en binaire (présence ou absence d'un point d'encre) à une résolution fixée, et les niveaux de gris ou de couleur sont simulés par les différentes techniques du tramage. Dans le cas de l'impression offset, cette résolution « native » est déterminée par la résolution de la plaque, qui est, par exemple, de 2.400 points/pouce (2.400 dpi). Ainsi, une image à niveau de gris à imprimer à 300 pixels/pouce (300 ppi) serait en réalité imprimée en binaire à 2.400 dpi, chaque pixel correspondant approximativement à 8 x 8 points de la trame.

Si on ne peut généralement pas faire varier la résolution d'impression, on peut, en revanche, faire varier la taille en pixels des cellules de la M IS, de façon à ce qu'une cellule soit représentée par plusieurs points d'impression et, dans des modes de réalisation particulier, la partie de chaque cellule dont l'apparence est variable, c'est-à-dire imprimée en noir ou blanc, dans les matrices d'information binaires. Ainsi, on peut, par exemple, représenter une cellule par un bloc carré de 1 x 1 , 2 x 2, 3 x 3, 4 x 4 ou 5 x 5 pixels (des blocs non-carrés sont également possibles), correspondant à des résolutions de, respectivement, 2.400, 1 .200, 800, 600 et 480 cellules/pouce.

Selon certains aspects de la présente invention, on détermine le nombre de pixels de la cellule menant à une dégradation naturelle à l'impression permettant de maximiser la différence entre les originaux et les copies.

Ainsi, on préfère utiliser un taux d'erreur entre 20 et 25 %, car on se trouve entre les optimums de détection de copie. L'optimum de 19,1 % correspond au cas où on a un nombre de cellules fixées, par exemple si la procédure de lecture ne peut lire que les MIS avec un nombre de cellules fixées, alors que l'optimum de 27,1 % correspond au cas où il n'y a pas de contrainte sur le nombre de cellules, alors qu'il y a une contrainte sur la dimension physique de la MIS.

On note que, afin de faciliter une authentification autonome de la matrice d'information, on peut stocker le ou les seuils de décisions, ou autres paramètres relatifs à l'impression, dans le ou les messages contenus dans la matrice d'information. Ainsi, il n'est pas nécessaire d'interroger la base de données pour ces paramètres, ni de les stocker sur les modules de vérification autonomes. De plus, cela permet de gérer des applications ou des matrices d'information, de même nature du point de vue applicatif, qui sont imprimés par des méthodes différentes. Par exemple, les matrices d'information appliquées au même type de document, mais imprimées sur des machines différentes, pourraient utiliser la ou les mêmes clés. Elles auraient des paramètres d'impressions stockées dans les messages respectifs.

On décrit, ci-dessous comment, en mesurant la quantité d'erreur du message, on peut prendre une décision sur l'authenticité du document en fonction de ladite quantité d'erreur. Pour cela, il est, en principe, nécessaire de décoder ledit message, car si le message est illisible, on ne peut pas déterminer les erreurs dont il est affecté. Cependant, si le marquage a fortement dégradé le message (ce qui est notamment le cas des copies), ou si la quantité d'information véhiculée est élevée, il est possible que le message ne soit pas lisible, auquel cas on ne peut mesurer un taux d'erreur. Il serait souhaitable de pouvoir mesurer la quantité d'erreur sans avoir à décoder ledit message.

D'autre part, l'étape de décodage du message met en œuvre des algorithmes qui peuvent se révéler coûteux. Si on ne souhaite pas lire le message mais seulement authentifier, l'opération de décodage n'est faite que dans le but de mesurer le taux d'erreur : on préférerait éliminer cette étape. De plus, si on souhaite faire une analyse plus fine du taux d'erreur, on doit reconstruire le message répliqué. Cette reconstitution du message répliqué d'origine peut s'avérer coûteuse, et il serait préférable de l'éviter.

Or, à l'origine d'un des aspects de la présente invention il a été découvert que, dans le but de mesurer une quantité d'erreurs, il n'est, paradoxalement, pas nécessaire de reconstituer le message répliqué d'origine, ni même de décoder le message. On peut en effet mesurer la quantité d'erreur d'un message en exploitant certaines propriétés du message lui-même, au moment de l'estimation du message encodé.

Prenons le cas d'un message binaire. Le message encodé est composé, d'une série de bits, qui sont répliqués, puis brouillés, et le message brouillé sert à constituer la M IS. Le brouillage comprend en règle générale une permutation, et optionnellement l'application d'une fonction Ou- exclusif, est dépend en général d'une ou plusieurs clés. Ainsi, chaque bit du message peut se trouver représenté plusieurs fois dans la matrice. Lors de l'étape d'accumulation estimation du message encodé, on accumule l'ensemble des indicateurs de la valeur de chaque bit ou élément du message. L'incertitude statistique sur la valeur du bit est généralement significativement réduite par cette opération. Ainsi, on peut utiliser cet estimé, que l'on considère comme la valeur correcte du bit, afin de mesurer la quantité d'erreur. En effet, si la matrice marquée comporte relativement peu d'erreurs, celles-ci seront essentiellement toutes corrigées lors de l'étape d'accumulation, et ainsi il n'est pas nécessaire de reconstruire le message encodé dont on a déjà une version sans erreur. De plus, si quelques bits du message encodé ont été mal estimés, en général les bits mal estimés auront un impact réduit sur la mesure de la quantité d'erreur.

On donne, ci-dessous, un algorithme d'étapes de mesure de quantité d'erreurs sans décodage du message, pour des données binaires.

- pour chaque bit du message encodé, accumuler les valeurs des indicateurs,

- déterminer par seuillage la valeur (la plus probable) du bit (« 1 » ou « 0 ») ; on obtient l'estimé le plus probable du message encodé et

- dénombrer le nombre d'indicateurs (pour chaque cellule, il s'agit de la densité, ou valeur de luminance normalisée) qui correspondent à l'estimé du bit du message encodé correspondant. On peut ainsi mesurer un nombre entier d'erreurs, ou un taux ou pourcentage de bits erronés.

Alternativement à cette dernière étape, on peut conserver la valeur de l'indicateur et mesurer un indice de similarité global entre les valeurs des indicateurs et les bits estimés correspondant du message encodé. Un indice de similarité pourrait être le coefficient de corrélation, par exemple.

En variante, on peut associer un poids ou coefficient indiquant la probabilité que chaque bit estimé du message encodé soit correctement estimé. Ce poids est utilisé pour pondérer les contributions de chaque indicateur en fonction de la probabilité que le bit associé soit correctement estimé. Une façon simple d'implémenter cette approche consiste à ne pas seuiller les accumulations correspondant à chaque bit du message encodé.

On note que, plus le message est bruité, plus il y a de risque que le bit estimé du message encodé soit erroné. Ceci entraîne un biais tel que la mesure de la quantité d'erreur sous-estime la quantité d'erreur réelle. Ce biais peut être estimé statistiquement et corrigé lors de la mesure de la quantité d'erreur.

Il est intéressant de remarquer qu'avec cette nouvelle approche à la mesure de la quantité d'erreur, une MIS peut être authentifiée sans qu'il soit nécessaire de connaître, directement ou indirectement, les messages nécessaires à sa conception. Il faut simplement connaître les groupements de cellules qui partagent des propriétés communes.

En variantes, on obtient plusieurs ensembles d'indicateurs, provenant de différents prétraitements appliqués à l'image (par exemple, une transformation d'histogramme), ou de lecture à des positions différentes de la M IS ; on calcule une quantité d'erreurs pour chaque ensemble d'indicateurs, et on retient le plus faible taux d'erreur ; pour accélérer les calculs, on peut ne faire l'estimation du message encodé qu'une seule fois (cette estimation ayant peu de chance de changer pour chaque ensemble d'indicateurs).

On peut considérer que l'on génère des images (ou matrices) dont des sous-parties partagent des propriétés communes. Dans le cas le plus simple, des sous-groupes de cellules ou pixels ont la même valeur, et ils sont répartis pseudo-aléatoirement dans l'image en fonction d'une clé. La propriété en question n'a pas besoin d'être connue. A la lecture, on n'a pas besoin de connaître cette propriété, puisqu'on peut l'estimer. Ainsi, la mesure d'un score permettant d'indiquer l'authenticité ne nécessite pas de référence à l'image d'origine, ni de détermination d'un message. Ainsi, dans des modes de réalisation, on met en œuvre les étapes suivantes, pour réaliser une authentification de document :

- une étape de réception d'un ensemble de sous-groupe d'éléments d'image (par exemple, des valeurs de pixels), chaque sous-groupe d'éléments d'images partageant la même caractéristique, lesdites caractéristiques n'étant pas nécessairement connues,

- une étape de capture d'image,

- une étape de mesure des caractéristiques de chaque élément d'image,

- une étape d'estimation des caractéristiques communes à chaque sous-groupe d'éléments d'image,

- une étape de mesure de correspondance entre lesdites estimations des caractéristiques communes à chaque sous-groupe, et lesdites caractéristiques mesurées de chacun des éléments d'image et

- une étape de décision de l'authenticité, en fonction de ladite mesure de correspondance.

Dans d'autres modes de réalisation, qui vont maintenant être décrits, pour authentifier une MIS, il n'est pas nécessaire de connaître ou reconstruire l'image d'origine, ni de décoder le message qu'il comporte. En fait, il suffit, à la création, de créer une image composée de sous-ensemble de pixels qui ont la même valeur. A la détection, il suffit de connaître les positions des pixels qui appartiennent à chacun des sous-ensembles. La propriété, par exemple la valeur des pixels appartenant au même sous-ensemble, ne doit pas être connue: elle peut être retrouvée lors de la lecture sans qu'un décodage de message soit nécessaire. Même si la propriété n'est pas retrouvée correctement, la M IS peut quand même être authentifié. Pour la suite, nous appelons « motif aléatoire authentifiant » (« MAA ») ce nouveau type de MIS. Le mot 'aléatoire' signifie que, à l'intérieur d'un ensemble donné de valeurs possibles, le MAA peut prendre n'importe laquelle de ses valeurs, sans que la valeur soit conservée après la création d'image.

Par exemple, supposons que l'on a une M IS composé de 12.1 00 pixels, soit un carré de 1 10 x 1 10 pixels. On peut diviser ces 12.100 pixels en 1 1 0 sous-ensembles faisant 1 1 0 pixels chacun, de telle sorte que chaque pixel se trouve dans exactement un sous-ensemble. La division des pixels en sous-ensembles se fait de manière pseudo-aléatoire, préférentiellement à l'aide d'une clé cryptographique, de telle sorte qu'il n'est pas possible sans la clé de connaître les positions des différents pixels appartenant à un sous-ensemble.

Une fois les 1 10 sous-ensembles déterminés, on attribue une valeur aléatoire ou pseudoaléatoire aux pixels de chaque sous-ensemble. Par exemple, pour des valeurs binaires de pixel, on peut attribuer la valeur « 1 » ou la valeur « 0 » aux pixels de chaque sous-ensemble, pour un total de 1 10 valeurs. Dans le cas de valeurs déterminées aléatoirement, on génère 1 10 bits avec un générateur aléatoire, ces 1 10 bits pouvant être ou ne pas être stockés par la suite. On note qu'il existe 2 ¹¹⁰ MAA possibles pour une division en sous-ensembles donnée. Dans le cas de valeurs générées pseudo-aléatoirement, on fait appel à un générateur de nombres pseudo-aléatoires auquel on fournit une clé cryptographique, généralement stockée par la suite. On remarque que pour un tel générateur basé sur la fonction de hachage SHA1 , la clé fait 160 bits, alors qu'il ne faut générer que 1 1 0 bits dans notre exemple. Ainsi, l'utilisation du générateur peut avoir une utilité limitée.

Connaissant la valeur de chacun des pixels, on peut alors assembler une image, dans notre cas de 1 10 x 1 10 pixels. L'image peut être un simple carré, augmenté d'une bordure noire facilitant sa détection, ou peut avoir une forme arbitraire, contenir du microtexte, etc. Des groupes de pixels aux valeurs connues servant à un alignement d'image précis peuvent aussi être utilisés.

L'image est marquée de façon à optimiser son degré de dégradation, en fonction de la qualité de marquage, elle-même tributaire de la qualité du substrat, de la précision de la machine de marquage et de ses réglages. Des méthodes sont données ci-dessus à cet effet.

La détection à partir d'une image captée d'un MAA se produit comme suit. Des méthodes de traitement et reconnaissance d'images connues de l'homme du métier sont appliquées, afin de repérer avec précision le motif dans l'image captée. Puis, les valeurs de chaque pixel du MAA sont mesurées (souvent sur une échelle de 256 niveaux de gris). Pour la commodité et l'uniformité des calculs, elles peuvent être normalisées, par exemple sur une échelle de -1 à +1 . Elles sont ensuite regroupées par sous-ensemble correspondant, dans notre exemple, à des sous-ensembles de 1 1 0 pixels.

Ainsi, pour un sous-ensemble de pixels ayant, à l'origine, une valeur donnée, on aura 1 10 valeurs. Si la valeur des pixels d'origine (sur une échelle binaire) était « 0 », les valeurs négatives (sur une échelle de -1 à +1 ) devraient dominer, alors que les valeurs positives devraient dominer si la valeur était « 1 ». On pourra alors assigner aux 1 1 0 pixels une valeur de « 1 » ou « 0 », et ceci pour chacun des 1 10 sous-ensembles.

Pour chacun des 12.100 pixels, nous avons une valeur mesurée dans l'image, possiblement normalisée, et une valeur estimée d'origine. On peut alors mesurer une quantité d'erreur, par exemple en dénombrant la quantité de pixels qui coïncident avec leur valeur estimée (c'est-à-dire, si les valeurs sont normalisées sur -1 à +1 , une valeur négative, respectivement positive, coïncide avec « 0 », respectivement « 1 »). On peut aussi mesurer un indice de corrélation, etc.

Le score (« score » signifiant à la fois un taux d'erreur ou une similitude) trouvé est alors comparé à un seuil afin de déterminer si l'image captée correspond à un original ou une copie. Des méthodes standard de statistique peuvent être utilisées pour déterminer ce seuil.

On note que la procédure décrite n'utilise pas de données extérieures à l'image, outre la composition des sous-ensembles, pour déterminer un score. Ainsi, on peut exprimer le dénombrement de la quantité d'erreur ainsi.

La quantité d'erreur est égale à la somme, sur les sous ensembles, des (Somme(Signe(zij)==f(zi1 ,..,ziM))).

où z est la valeur (possiblement normalisée) du i-ième pixel du j-ième sous-ensemble comportant M éléments et

f est une fonction estimant une valeur de pixel pour le sous-ensemble, par exemple f(z _M ,... ,z _iM )= Signe zn- .+ZiM) .

Dans des modes de réalisation, tel que celui représenté en figure 1 , le moyen 105 d'obtention de données biométriques comporte un capteur d'image 140 pour obtenir une photographie de la tête de la personne ou de l'animal et un capteur d'image 145 pour obtenir une image d'au moins une empreinte digitale de la personne ou de l'animal.

Le moyen 1 10 de codage des données biométriques est configuré pour coder la photographie pour former l'image d'identification et, éventuellement, pour coder l'image de l'empreinte digitale ou de ses éléments caractéristiques, appelés « minuties » .

Le moyen 1 10 de codage de données biométriques est configuré pour coder les données biométriques dans au moins cent mille cellules élémentaires. Ainsi, une photographie compressée en quatre kilooctets peut être représentée avec plusieurs redondances. Cette photographie peut ainsi être très précise.

Dans des modes de réalisation, le moyen de codage de données biométriques est configuré pour appliquer un facteur de redondance au moins égal à trois et, préférentiellement au moins égal à cinq. Par exemple, l'image d'identification illustrée en figure 4 comporte seize carrés d'une résolution de 1 00 par 100 cellules pouvant prendre l'une de deux teintes, soit 160 000 données élémentaires binaires, ou bits, ce qui permet de représenter 32 000 données élémentaires binaires, soit 4 000 octets, lorsque la redondance est de cinq.

Avec de tels taux de redondances, la détection et la correction d'erreurs d'impression ou de capture d'image et de l'usure ou effacement de l'image peut être réalisée même avec beaucoup de données perdues. Dans des modes de réalisation, chaque moyen 1 10 et 1 1 5 de codage est configuré pour former une image susceptible d'être imprimée avec une résolution de 600 points par pouce en conservant ses capacités de lecture et le moyen 120 d'impression imprime l'image d'identification et l'image d'authentification avec cette résolution. Ainsi, les imprimantes laser du marché, qui utilisent au moins cette résolution, permettent de générer des documents sécurisés dans chaque entreprise ou pour chaque particulier.

Préférentiellement, le moyen 1 1 5 de codage de l'image d'authentification est configuré pour coder l'image de l'empreinte digitale ou de ses éléments caractéristiques, appelés « minuties ». Ainsi, l'identité du porteur du document d'identité peut être vérifiée en comparant chaque donnée d'empreinte digitale représentée par l'image d'identification avec la donnée correspondante d'une empreinte digitale fournie lors de l'identification.

Dans des modes de réalisation, le dispositif 10 comporte, en outre, un moyen 150 de formation, sur le document, d'au moins une surface de dépôt d'une empreinte digitale. Dans ces modes de réalisation, la capture d'au moins une empreinte digitale du porteur du document d'identité est réalisée directement sur le document d'identité après pression du doigt concerné sur la surface de dépôt correspondante.

Dans des modes de réalisation, le moyen 1 15 de codage d'une image d'authentification est configuré pour former une image adaptée, lors de l'impression par le moyen d'impression, à comporter au moins une dixième de cellules élémentaires dont le contenu est erroné et, préférentiellement, au moins quinze pourcents. Ainsi, la détection de la copie du document est facilitée car elle impose un taux d'erreur d'au moins quinze pourcents (respectivement vingt-trois pourcents), et généralement d'au moins dix-neuf pourcents (respectivement vingt sept pourcents).

Dans des modes de réalisation, le moyen 1 15 de codage d'une image d'authentification est configuré pour coder au moins une information d'identification du porteur du document dans l'image d'authentification. Ainsi, le code d'authentification, qui ne peut être falsifié, identifie le porteur du document, même si l'image d'identification a été falsifiée.

Dans des modes de réalisation, le moyen 1 15 de codage d'une image d'authentification est configuré pour réaliser une permutation de cellules élémentaires en mettant en œuvre une fonction de hashage, ou condensât, mettant en œuvre une clé de hashage. Ainsi, la récupération des données d'identification, par une personne malintentionnée, est complexifiée. Préférentiellement la clé de hashage est asymétrique.

Dans des modes de réalisation, au moins l'un des moyens 1 1 0 et 1 15 de codage est configuré pour réaliser une permutation de cellules élémentaires représentatives d'une empreinte digitale ou de ses éléments caractéristiques, en mettant en œuvre une fonction de hashage, ou condensât, mettant en œuvre une clé de hashage. Ainsi, la récupération des données d'empreinte digitale, par une personne malintentionnée, est complexifiée. De plus, en mettant en œuvre une fonction inverse de la fonction de hashage, lors de la lecture de l'image d'identification ainsi réalisée, on réduit le taux d'erreur et on authentifie donc l'empreinte digitale.

On observe aussi, en figure 1 , un dispositif 20 de vérification d'authenticité d'un document d'identité 40 et d'identité d'une personne ou d'un animal. Le dispositif 20 comporte : - un moyen 155 de capture d'une image d'identification et d'une image d'authentification portées par le document 40, l'image d'authentification comportant des erreurs aléatoires d'impression dans les cellules élémentaires de l'image d'authentification, l'image d'identification représentant des données biométriques représentatives de cette personne ou de cet animal,

- un moyen 160 de décodage de l'image d'authentification,

- un moyen 165 de mesure d'un taux de cellules élémentaires erronées dans l'image d'authentification,

- un moyen 1 70 de comparaison du taux de cellules élémentaires erronées avec une valeur limite prédéterminée,

- un moyen 175 de décodage de données biométriques codées dans l'image d'identification numérique, en mettant en œuvre des redondances présentes dans l'image d'identification et

- un moyen 180 d'affichage des données biométriques décodées.

Le moyen 155 de capture d'une image d'identification et d'une image d'authentification portées par le document 40 est, par exemple, constitué d'un capteur d'image d'une résolution d'au moins quatorze mégapixels. Ce capteur peut être intégré dans un lecteur spécifique ou dans un smartphone.

Le moyen 1 60 de décodage de l'image d'authentification est adapté à décoder les données d'authentification, en mettant en œuvre les redondances.

Le moyen 165 de mesure d'un taux de cellules élémentaires erronées dans l'image d'authentification peut comparer l'image captée et une image reconstituée par recodage des données d'authentification ou peut compter le nombre de redondances utilisées pour décoder les données d'authentification. Ce nombre de cellules erronée rapporté au nombre de cellules total donne un taux de cellules élémentaires erronées.

Le moyen 1 70 de comparaison compare le taux de cellules élémentaires erronées avec une valeur limite prédéterminée. Si le taux de cellules élémentaires erronées est supérieur à la valeur limite prédéterminée (par exemple de 15 ou 23 pourcents, comme exposé ci-dessus pour des taux d'erreur d'impression de 1 0 et 15 pourcents), le document 40 est considéré comme falsifié.

Le moyen 1 75 de décodage de données biométriques codées dans l'image d'identification numérique, en mettant en œuvre des redondances présentes dans l'image d'identification fournit les données biométriques numériques (taille, couleur des cheveux et des yeux, par exemple) et les données d'images (visage et/ou empreintes digitales, par exemple).

Le moyen 180 d'affichage des données biométriques décodées est, par exemple constitué d'un écran de lecteur spécifique, d'ordinateur ou de smartphone.

Préférentiellement, le dispositif 20 comporte une unité centrale 185 pour comparer les données biométriques d'identification avec des données captées sur le porteur du document 40.

En particulier, en extrayant les éléments caractéristiques des empreintes digitales du porteur du document 40, captées sur la surface de dépôt d'empreinte digitale, puis en comparant ces éléments extraits avec les éléments caractéristiques d'empreinte digitale codés dans au moins l'une des deux images d'identification et d'authentification, l'unité centrale 185 détermine si le porteur du document 40 est le porteur que ce document 40 identifie. On observe, en figure 2, le procédé 30 de réalisation d'un document supportant une identification d'une personne ou d'un animal. Ce procédé 30 comporte :

- une étape 205 d'obtention de données biométriques représentatives de cette personne ou de cet animal,

- une étape 220 de codage des données biométriques pour former une image d'identification numérique comportant des redondances,

- une étape 225 de codage pour former une image d'authentification du document, ladite image d'authentification présentant des cellules élémentaires et

- une étape 230 d'impression de l'image d'authentification et de l'image d'identification sur le document pour générer des erreurs aléatoires dans les cellules élémentaires imprimées de l'image d'authentification.

L'étape 205 comporte une étape 21 0 de capture de données biométriques en mettant en œuvre au moins un capteur et une étape 215 de réception de données biométriques conservées dans des mémoires.

L'étape 220 code les données biométriques avec des redondances, par exemple des codes de détection et de correction d'erreurs (« CRC » pour « check redundancy code »).

L'étape 225 code des données d'identification préférentiellement avec des redondances, par exemple des codes de détection et de correction d'erreurs, CRC.

On observe, en figure 3, le procédé 50 de vérification d'authenticité d'un document d'identité et d'identité d'une personne ou d'un animal. Le procédé 50 comporte :

- une étape 305 de capture d'une image d'identification et d'une image d'authentification portées par le document, l'image d'authentification comportant des erreurs aléatoires d'impression dans les cellules élémentaires de l'image d'authentification, l'image d'identification représentant des données biométriques représentatives de cette personne ou de cet animal,

- une étape 310 de décodage de l'image d'authentification,

- une étape 315 de mesure d'un taux de cellules élémentaires erronées dans l'image d'authentification,

- une étape 320 de comparaison du taux de cellules élémentaires erronées avec une valeur limite prédéterminée,

- une étape 325 de décodage de données biométriques codées dans l'image d'identification numérique, en mettant en œuvre des redondances présentes dans l'image d'identification,

- une étape 330 de capture de données biométriques du porteur du document 40,

- une étape 335 de vérification de correspondance entre les données biométriques captées et les données biométriques décodées et

- une étape 340 d'affichage des données biométriques décodées.

Ainsi, les personnes malintentionnées ne peuvent avoir accès aux données représentées par l'image d'identification. La falsification du document est ainsi rendue plus difficile. De plus, seul le porteur du document peut ainsi avoir accès à des données mémorisées sur le document.

Pour la mise en œuvre des fonctions de hashage, l'homme du métier pourra se reporter à l'article « Symmetric Hash Functions for Fingerprint Minutiae » de Sergey Tulyakov, Faisal Farooq et Venu Govindaraju, SUNY à Buffalo 14228, Etats de New- York, Etats-Unis d'Amérique et aux références bibliographiques qui y sont cités.

On observe, en figure 4, un document 40 d'identification d'une personne ou d'un animal, qui comporte :

- une image 405 d'identification numérique comportant des redondances et représentative de données biométriques représentatives d'une cette personne ou de cet animal,

- une image 410 d'authentification présentant des cellules élémentaires et des erreurs aléatoires d'impression dans les cellules élémentaires et

- une surface 415 de dépôt d'empreinte digitale.

La surface 41 5 de dépôt est, par exemple constituée de deux surfaces situées à proximité du bord du document 40 pour que le porteur applique ses pouces sur cette surface 415 lorsqu'il remet le document 40 à une personne chargée de sa vérification.

La surface 415 est nettoyable par simple passage d'un tissu ou d'un mouchoir. Par exemple, la surface 41 5 est une surface lisse métallisée ou noire.

Chaque code comporte, préférentiellement des éléments 420 de repérage pour permettre de mettre à l'échelle et effectuer une rotation de l'image captée afin de la décoder en en repérant chaque cellule.

Dans le mode de réalisation illustré en figure 4, le document 40 est une carte à microcircuit

425.

Comme on le comprend à la lecture de la description qui précède, la présente invention peut être mise en œuvre pour des documents officiels très sécurisés mais aussi pour des documents privés générés et imprimés par des moyens à disposition du grand public, tels que des ordinateurs personnels et des imprimantes laser.

De plus, la vérification d'authenticité et l'obtention des données biométriques peuvent être réalisées sur un terminal non dédié, par exemple avec une application informatique téléchargées sur un téléphone portable muni d'un capteur d'image d'une résolution suffisante.

On note que la capture de l'image d'authentification, de plus haute résolution, peut être effectuée en utilisant le même capteur d'image que la capture de l'image d'identification, mais à une distance du document plus faible.