Titre de l’invention : PROCEDE ET SYSTEME D’IDENTIFICATION D’UN INDIVIDU SANS FRICTION

[0001] L’invention concerne un procédé et un système pour identifier des individus, sans friction, tout en respectant le respect de leur liberté et de leur vie privée.

[0002] Le garant du respect du règlement général sur la protection des données, veille à ce que le stockage des données biométriques et l’usage que l’on en fait respectent la vie privée des individus.

[0003] De ce fait, la mise en oeuvre d’un processus d’identification utilisant la biométrie nécessite la mise en place de mécanismes complexes ayant un haut niveau de sécurité garantissant la confidentialité des données et un usage maîtrisé. [0004] Le document US 2013/339749 divulgue un procédé permettant l’identification d’un individu, les données biométriques associées à cet individu étant stockées dans une carte à puce.

[0005] Le document US 2013/262873 divulgue un procédé et un système d’authentification d’utilisateurs.

[0006] L’enseignement technique du document US 2003/088782 concerne le stockage de données biométriques au niveau d’un réseau.

[0007] L’objet de l’invention a notamment pour objectif d’offrir un procédé et un système permettant l’identification d’un individu sans friction, répondant aux objectifs de respect de la vie privée.

[0008] Le mot « token » est utilisé dans la suite de la description pour désigner un ensemble de données contenant au moins un modèle biométrique chiffré propre à un individu pour son authentification et d’autres informations qui serviront à son identification (une clé de chiffrement des données, un identifiant Id, ...).

[0009] L’invention concerne un procédé pour identifier un individu à partir de données biométriques au sein d’un système comprenant un dispositif de contrôle, un serveur sur lequel est installée une application de signature et de chiffrement, caractérisé en ce qu’il comporte au moins les étapes suivantes :

Enrôlement d’un individu et acquisition des données biométrique de l’individu, Transmission desdites données biométriques audit serveur qui génère un modèle biométrique M, Ledit serveur via son application de signature et de chiffrement signe et chiffre le modèle biométrique, génère un token contenant au moins ledit modèle biométrique M et des données d’identification,

Diviser le token chiffré en au moins deux parties T-i, T ₂ ,

Transmettre une première partie du token Ti pour stockage sur un terminal mobile de l’individu et d’une deuxième partie du token T ₂ à une base de données d’un serveur distincte du stockage,

Contrôler des données d’identité de l’individu,

Détecter le terminal mobile de l’individu par le dispositif de contrôle,

Appairer le terminal mobile détecté avec le dispositif de contrôle,

Récupérer la première partie du token T-i et la deuxième partie du token T ₂ , en utilisant une communication sans friction, puis fusionner les deux parties du token pour retrouver le token T initial, déchiffrer le token et vérifier sa signature, retourner le modèle biométrique correspondant,

En parallèle, acquérir des données biométriques de l’individu, comparer les données biométriques au modèle biométrique et déclencher l’ouverture du moyen de contrôle si les données correspondent.

[0010] La communication sans friction est par exemple une liaison de type Bluetooth, Ultrason, Wifi Aware, connues de l’homme du métier.

[0011] Les données biométriques peuvent être des caractéristiques physiques du visage, le procédé acquiert une image du visage et génère un modèle biométrique correspondant pour le contrôle.

[0012] Selon une autre variante de réalisation, le procédé prend en compte des empreintes digitales, acquiert les empreintes de l’individu et génère les modèles biométriques correspondant pour l’étape de contrôle.

[0013] On peut utiliser un QRCode comme support de la première partie du token. [0014] On génère, par exemple, un token chiffré et on réalise sa séparation en deux parties en exécutant les étapes suivantes :

Génération d’une clé de chiffrement AES 256,

Chiffrement du modèle biométrique,

Constitution d’un token contenant la clé AES 256 et le modèle biométrique chiffré,

Transmission de la clé AES, T-i, pour stockage sur le terminal mobile de l’individu, Transmission de la partie T2, du modèle biométrique chiffré dans la base de données du serveur.

[0015] Selon une autre variante de réalisation, la génération et la séparation du token en deux parties peut comprendre les étapes suivantes :

On génère deux clés AES 256,

On chiffre alternativement des blocs de données biométriques avec l’une des clés, puis,

On transmet une première moitié de chaque bloc chiffré et une première clé pour stockage sur le terminal mobile et une deuxième moitié de chaque bloc chiffré et une deuxième clé pour stockage sur le serveur.

[0016] Le procédé est utilisé pour contrôler l’identité d’un voyageur lors de passage des points de contrôle dans un aéroport.

[0017] L’invention concerne aussi un système pour identifier un individu à partir de données biométriques au sein d’un système comprenant un dispositif de contrôle, un serveur, ledit individu étant équipé d’un terminal mobile, caractérisé en ce qu’il comporte au moins les éléments suivants :

Un dispositif d’enrôlement configuré pour acquérir les informations d’identité et les données biométriques de l’individu, un moyen de transmission desdites données vers le serveur,

Le serveur comporte une application de génération de modèle biométrique, de chiffrement d’un modèle biométrique et de génération d’un token, une application configurée pour séparer en au moins deux parties ledit token et générer une première partie du token T-i transmise pour stockage dans une mémoire du terminal mobile de l’individu et une deuxième partie du token T ₂ transmise à une base de données dudit serveur distincte de la mémoire, et comprend une application pour fusionner lesdites parties du token lors du contrôle d’accès,

Le dispositif de contrôle d’accès est équipé :

- d’un module de communication avec le serveur, de moyens de détection de téléphone mobile, d’un applicatif configuré pour détecter un téléphone mobile, l’appairer, d’une application configurée pour effectuer une comparaison entre un modèle biométrique et des données acquises au niveau du portique de contrôle,

- d’un mécanisme permettant le passage de l’individu. [0018] Le dispositif de contrôle d’accès peut être un portique d’un aéroport, le modèle biométrique est un visage et le dispositif est équipé d’une caméra adaptée à enregistrer en temps réel le visage d’un individu se présentant au portique après appairage.

[0019] Le dispositif d’enrôlement est par exemple une borne d’enregistrement en accès libre.

[0020] D’autres caractéristiques, détails et avantages de l’invention ressortiront à la lecture de la description faite en référence aux dessins annexés donnés à titre d’exemple non limitatifs et qui représentent, respectivement :

[0021] [Fig.1] une illustration des étapes d’enrôlement d’un individu et la génération d’un token représentant son identité,

[0022] [Fig.2] une illustration des étapes de vérification des données présentées par un individu,

[0023] [Fig.3] un exemple de génération d’un token,

[0024] [Fig.4] une méthode de séparation d’un token en deux parties.

[0025] La description qui suit est donnée à titre illustratif et nullement limitatif. Le support d’une partie du token est un QRCode. Le contrôle d’identité est celui d’un voyageur au sein d’un aéroport, via le passage d’un ou plusieurs portiques de contrôle pour accéder à une zone « sécurisée », à accès limité, passer une frontière, embarquer à bord d’un avion.

[0026] La figure 1 illustre un exemple d’enrôlement des données d’un individu. L’individu dispose d’un terminal mobile 1 , tel qu’un smartphone, une tablette qui va lui permettre de dialoguer avec les bornes de contrôle et de mémoriser une partie de ses données d’identité lui permettant de s’authentifier.

[0027] Le terminal mobile 1 comprend des moyens de communication (antenne, émetteur, récepteur) 10, un processeur 11 configuré pour exécuter les étapes du procédé, une application 12 servant à disposer d’une partie d’un token mémorisé dans un conteneur sécurisé 13. L’application 12 comporte par exemple les fonctionnalités suivantes : importer (scanner) un nouveau token, gérer un token, consulter des informations sur son déplacement, donner et/ou supprimer son consentement.

[0028] Le voyageur va s’enrôler sur une borne d’enregistrement ou kiosque en libre- service dans un aéroport. Le kiosque d’enrôlement 2 est équipé d’un dispositif et d’une application 21 permettant d’afficher un QRCode contenant une partie au moins du token. Le QRCode est stocké pour une durée limitée dans une mémoire temporaire 22 du kiosque. La borne d’enregistrement 2 comprend par un exemple un clavier 23 ou une interface physique qui permet au voyageur de saisir ses données d’identité.

[0029] Le système comprend un serveur 3 équipé d’une application de signature et de chiffrement des données 31 , une application 32 configurée pour générer un modèle biométrique, une application 36 pour générer un QRCode ou tout autre support équivalent, une application 35 de fusion de données, une base de données 33 ou mémoire mémorisant une partie du token, et des moyens de communication 34 pour dialoguer avec le kiosque 2 lors de la phase d’enrôlement et un portique d’accès 5 lors de la phase de contrôle d’identité (figure 2).

[0030] Le voyageur va s’enrôler sur le kiosque afin de pouvoir réaliser un parcours dans l’aéroport qui s’appuiera sur une authentification biométrique, 101. Lors de cette phase d’enrôlement, l’individu donne son consentement explicite pour l’utilisation de ses données personnelles et de sa biométrie, selon un processus de consentement connu de l’homme du métier (IHM de dialogue pour demander et accepter le consentement explicite du voyageur). Puis, le voyageur 1 communique ses données d’identité au kiosque, par exemple en saisissant au niveau du clavier ses données personnelles ou par lecture de son passeport via l’application de lecture du kiosque et acquiert les données biométriques nécessaire à l’authentification. Le kiosque 2 transmet ces données biométriques, 102, au serveur 3 qui via son application génère un modèle biométrique, par exemple de visage, par des mécanismes connus de l’homme du métier.

[0031] Le serveur 3 via son application de signature et de chiffrement va signer et chiffrer le modèle biométrique M et générer un token qui comporte à minima le modèle biométrique M. Il mémorise le token chiffré dans une mémoire temporaire, 104. Ce token T est ensuite scindé en N parties de taille variables. A partir des N parties du token, dans l’exemple deux parties T-i, T ₂ , le serveur va : sauvegarder 105 la deuxième partie T ₂ du token dans une base de données 33, par exemple intégrée au serveur, générer 106 un QRCode support d’une première partie Ti du token qu’il transmet au kiosque 2 pour affichage.

Une méthode de génération de token et de scission de token en plusieurs parties est explicitée ci-après. [0032] L’individu voyageur va scanner le QRCode se trouvant sur le kiosque avec son smartphone équipé de l’application qui enregistre les données contenues dans le QRCode dans sa mémoire 13, 107. Le résultat du scan est vérifié par un processus connu de l’homme du métier. Il utilisera cette partie de token pour le contrôle d’identité réalisé par les portiques de contrôle ou portillons d’accès.

[0033] La figure 2 illustre l’accès et l’usage du token lors d’un contrôle sur un portillon d’accès. L’identification biométrique d’un individu requiert le consentement ou l’autorisation du voyageur qu’il a donné au moment de son enrôlement sur le kiosque. [0034] Dans cet exemple, un portique d’accès 5 est équipé d’un module de communication 51 avec le serveur, de moyens de détection 52 de smartphones compatibles avec le système, d’un applicatif 53 configuré pour sélectionner un smartphone, le plus proche par exemple et de l’appairer 201 , une application 54 qui va effectuer une comparaison entre un modèle biométrique et des données acquises au niveau du portique de contrôle, une image de la personne par exemple. Le résultat de l’application se traduit par exemple sous la forme d’un signal qui va déclencher un mécanisme 60 d’ouverture du portique.

[0035] Le dialogue ou échange de données entre le portique d’accès 5 et le terminal mobile du voyageur s’effectue par exemple au moyen de communication sans friction, par exemple de type Bluetooth Low Energy, Ultrason, Wifi Aware, etc. La liaison entre le serveur et le portique d’accès est une liaison standard connue de l’homme du métier.

[0036] Le portique d’accès après détection 201 recherche l’identifiant, connu par le système, du service sur le smartphone mettant à disposition la partie du token T-i mémorisée dans le smartphone du voyageur. La première partie Ti du token est récupérée 202 par le portique d’accès 5 et transmise 203 au serveur 3 qui analyse son contenu, recherche l’identifiant correspondant Id du voyageur et, en utilisant cet identifiant va rechercher, 204, la deuxième partie du token T ₂ dans sa base de données 33. Puis le serveur 3 va fusionner 206 la première partie Ti du token et la deuxième partie T ₂ retournée 205 par la base de données. La fusion des deux parties est déclenchée automatiquement sur réception de la première partie du token. Le token reconstitué est ensuite déchiffré via l’application de chiffrement/déchiffrement du serveur, puis la signature est vérifiée afin de garantir l’authenticité des données. Le serveur retourne ensuite le modèle biométrique M, 207, au portique d’accès qui va effectuer une comparaison biométrique entre le flux vidéo de la caméra et ce modèle biométrique.

[0037] Lorsque les données du flux vidéo correspondent au modèle biométrique, le portique d’accès déclenche l’ouverture du passage au voyageur.

[0038] Le portique d’accès comprend une caméra 55 ou un dispositif équivalent pour capter l’image de l’individu. Le module communication peut être un Dongle Bluetooth, une carte Wifi, un Haut-parleur, etc.

[0039] Les données sont stockées de manière temporaire au niveau de la porte de contrôle d’accès. Au niveau du serveur, les données peuvent être effacées au bout d’un certain temps, ou encore dès que l’individu retire son consentement, selon un processus d’effacement connu de l’homme du métier.

[0040] Un exemple de séparation de token consiste à appliquer la méthode suivante :

Chiffrage AES 256 du modèle biométrique

Génération du token : clé AES 256 + modèle biométrique chiffré,

Envoi de la clé AES sur le smartphone, Ti

Stockage du modèle biométrique chiffré dans la base de données, T ₂ .

[0041] La figure 3 illustre une autre méthode de génération d’un token et la figure 4 un exemple de séparation du token en deux parties.

[0042] 31 - La méthode de génération du token consiste en un chiffrement par propagation des chiffrés en chaîne (AES PCBC).

[0043] La méthode utilise un vecteur d’initialisation 30.

[0044] Un « OU exclusif » est appliqué entre un vecteur d’initialisation 30 et le premier bloc en clair B-i pour obtenir un résultat XORO.

[0045] Le résultat du « OU exclusif » XORO est chiffré avec une première clé AES, K- _| . [0046] En sortie de chiffrement, un « OU exclusif » est appliqué entre le bloc en clair initial et le bloc chiffré B-ic pour obtenir un résultat XORi.

[0047] Un « OU exclusif » entre le résultat XORi et le deuxième bloc en clair B ₂ pour obtenir un résultat XOR ₂ .

[0048] Le résultat du « OU exclusif » XOR2 est chiffré avec une deuxième clé AES. [0049] On applique ce principe à tous les blocs suivant en alternant le chiffrement avec l’une des deux clés.

[0050] Ce mécanisme permet de s’assurer que l’ensemble des blocs sont nécessaires pour déchiffrer un bloc (i.e. pour déchiffrer le bloc B ₂ , il faut la clé K ₂ , le bloc B-ic crypté et le bloc Bi décrypté, qui ne peut l’être qu’à l’aide de la clé Ki et du vecteur d’initialisation).

[0051] La figure 4 illustre les étapes de séparation ou scission d’un token en deux parties.

[0052] 40 - Séparation des données.

[0053] 41 - A partir d’un token, une première partie du token est générée contenant : le vecteur d’initialisation, la deuxième clé de chiffrement K ₂ et une partie de chaque bloc chiffré.

[0054] 42 - Une deuxième partie du token est générée contenant : la première clé de chiffrement Ki et les autres parties de chaque bloc chiffré.

[0055] 43 - Envoi d’une des deux parties du token sur le smartphone.

[0056] 44 - Stockage de l’autre partie du token sur le serveur.

[0057] La description ci-dessus est donnée pour un support de données de type QRCode. Tout autre support peut être utilisé.

[0058] Le token peut être séparé en N parties selon la capacité de stockage.

[0059] L’exemple est donné dans le cadre d’un parcours d’identification au sein d’un aéroport, mais peut être étendu à un contrôle au sein d’une gare pour accéder au train, ou bien à tout type d’infrastructure de transport ou d’accueil de personnes, ou encore au sein d’une entreprise pour le contrôle d’accès des salariés ou des visiteurs. [0060] Le support des données biométriques peut être un QRCode ou tout autre support connu de l’homme du métier.

[0061] Le modèle biométrique dans l’exemple a été établi à partir d’une image d’un individu. Sans sortir du cadre de l’invention, on pourrait aussi utiliser les empreintes digitales, la voix, etc. permettant l’identification.

[0062] Le procédé selon l’invention peut aussi s’appliquer pour le contrôle d’un salarié ou d’un visiteur au sein d’une entreprise équipée de portillons. Le terminal mobile pourrait se présenter sous la forme d’un badge intelligent comportant l’ensemble des fonctionnalités qui viennent d’être décrites.

[0063] Le procédé et le système selon l’invention permettent un stockage des données utilisées pour identifier et authentifier un individu sans friction, c’est-à-dire sans nécessité pour l’utilisateur d’avoir à effectuer une action particulière (sortir son passeport ou son smartphone) et en respectant les règles de respect de la vie privée.