⚠ This English version is an AI-assisted translation, not reviewed by the author — refer to the original French for accuracy.
Texte intégral tel que déposé. Sections collapsibles ci-dessous.
$ cat > En-tête
Description
Titre de l'invention : Protocole et système de validation de réalité physique comprenant des
procédés utilisant une pluralité de sources et de dispositifs de capture avec recoupement
synchronisé des données, et ensemble de techniques de vérification complémentaires
$ cat > 1. DOMAINE TECHNIQUE
DOMAINE TECHNIQUE
La présente invention concerne le domaine de la vérification d'intégrité
physique, de l'authentification de présence, et de la validation de réalité
à distance.
Plus particulièrement, l'invention se rapporte aux systèmes et procédés
permettant de confirmer qu'une scène, un sujet humain, un objet, ou une
situation observée à distance correspond à une réalité physique authentique,
et non à une simulation, reproduction, ou manipulation numérique.
L'invention trouve des applications dans, mais sans s'y limiter :
A) Vérification d'identité et de présence humaine :
- La vérification d'identité biométrique
- La détection de présence physique (liveness detection)
- La vérification de présence humaine réelle sans identification
(proof-of-human), incluant, sans s'y limiter : inscriptions sur
services en ligne, création de comptes, accès à des ressources
- La vérification anonyme ou semi-anonyme (confirmation qu'un sujet
est un être humain réel et physiquement présent, avec ou sans
divulgation de son identité, avec ou sans association à une
identité officielle)
- La preuve d'unicité humaine (un individu physique = un compte ou
une entité, sans nécessairement connaître l'identité de cet individu)
- La distinction humain/machine (alternative ou complément aux CAPTCHAs
et systèmes de vérification automatisés traditionnels)
- L'anti-usurpation d'identité (anti-spoofing, anti-impersonation)
- La confirmation de présence et/ou d'intention pour opérations à enjeux
élevés (incluant, sans s'y limiter : actes juridiques, transactions
financières, décisions corporatives, ou tout contexte où l'authenticité
de la volonté de l'acteur doit être établie)
B) Vérification d'objets et de documents :
- La vérification d'authenticité d'objets à distance (tels que, sans s'y
limiter : oeuvres d'art, objets de collection, produits de luxe)
- La vérification d'intégrité de documents physiques
- L'inspection d'objets de valeur dans des espaces sécurisés (tels que,
sans s'y limiter : coffres-forts, réserves de musées, salles bancaires)
C) Vérification de lieux et de scènes :
- L'état des lieux immobiliers à distance (incluant, sans s'y limiter :
entrée/sortie de locataires, constats d'inventaire)
- L'inspection à distance de locaux ou d'installations
- Les constats de sinistres ou d'incidents (incluant, sans s'y limiter :
assurances, expertises, litiges)
- La vérification de l'intégrité d'espaces sécurisés
� - La documentation de scènes pour preuves juridiques
D) Applications générales :
- Toute application nécessitant la confirmation qu'une capture audiovisuelle
provient d'une réalité physique et non d'une source synthétique ou manipulée
- Tout contexte où la manipulation numérique d'une scène représente un risque
$ cat > 2. ÉTAT DE LA TECHNIQUE
ÉTAT DE LA TECHNIQUE
2.1 Contexte général
Dans le contexte actuel de numérisation croissante des services et des
interactions, la nécessité de vérifier à distance l'authenticité d'une
personne, d'un objet, ou d'une situation est devenue critique. Les domaines
bancaires, juridiques, médicaux, et administratifs requièrent des moyens
fiables pour confirmer que l'entité observée via une capture audiovisuelle
est bien réelle et présente physiquement.
Parallèlement, les technologies de génération et manipulation d'images et
de vidéos ont connu des avancées majeures. Les techniques dites de
"deepfake", les moteurs de rendu en temps réel, et les outils d'intelligence
artificielle générative permettent désormais de créer des contenus visuels
synthétiques difficilement distinguables de la réalité.
Cette situation crée une "course aux armements" perpétuelle entre les
technologies de vérification (détection) et les technologies de falsification
(génération), où chaque avancée d'un côté entraîne une réponse de l'autre.
2.2 Solutions existantes
Les solutions actuelles de vérification de présence et d'authenticité
reposent principalement sur :
a) Analyse d'image par intelligence artificielle :
Des modèles entraînés tentent de détecter des artefacts visuels
caractéristiques des contenus générés ou manipulés. Ces systèmes
analysent la texture de la peau, les reflets, les micro-mouvements,
et d'autres caractéristiques visuelles.
b) Capteurs de profondeur (mono-dispositif) :
Des dispositifs équipés de projecteurs de points infrarouges ou de
caméras stéréoscopiques intégrées tentent de vérifier la tridimensionnalité
du sujet. Exemples : Face ID (Apple), capteurs de profondeur Android.
c) Défis actifs (challenges) :
Le système demande à l'utilisateur d'effectuer des actions spécifiques
(tourner la tête, cligner des yeux, sourire) et vérifie la cohérence
de la réponse.
d) Flash d'écran et analyse de réflexion :
L'écran du dispositif émet des séquences lumineuses et le système
� analyse les réflexions sur le visage de l'utilisateur.
Les solutions actuelles présentent les inconvénients suivants :
- VULNÉRABILITÉ À L'AMÉLIORATION DES GÉNÉRATEURS : Les systèmes basés sur
la détection d'artefacts sont voués à devenir obsolètes à mesure que les
technologies génératives s'améliorent. Un détecteur entraîné sur les
artefacts de 2024 sera inefficace contre les générateurs de 2026.
- LIMITATION MONO-DISPOSITIF : Toutes les solutions actuelles opèrent sur
un dispositif unique, permettant à un attaquant de compromettre ce seul
point de capture (injection de flux vidéo, émulation de capteurs).
- ABSENCE DE VALIDATION PHYSIQUE CROISÉE : Les systèmes actuels ne peuvent
pas vérifier la cohérence géométrique, photométrique, radiométrique, et
télémetrique d'une scène vue depuis plusieurs angles indépendants
simultanément.
- COÛT COMPUTATIONNEL DE LA DÉTECTION VS GÉNÉRATION : Détecter un contenu
falsifié requiert une analyse complexe, tandis que générer un contenu
falsifié devient de moins en moins coûteux. Ce déséquilibre favorise
structurellement les attaquants.
- ATTAQUES PAR INJECTION : Un attaquant peut intercepter le flux de données
entre le capteur physique et le logiciel de vérification, injectant un
flux synthétique qui contourne entièrement les capteurs réels.
2.3 Problème technique à résoudre
Le problème technique que la présente invention vise à résoudre est le
suivant :
Comment concevoir un système de vérification d'authenticité et de présence
physique qui :
1. Ne repose pas principalement sur la détection d'artefacts visuels
(approche vouée à l'obsolescence)
2. Exploite les limitations physiques et computationnelles inhérentes à
toute tentative de simulation en temps réel
3. Rende le coût et la complexité d'une attaque réussie disproportionnés
par rapport aux bénéfices potentiels
4. Soit résilient face aux compromissions de dispositifs individuels
5. Puisse s'adapter à différents niveaux de risque (vérification quotidienne
vs. opérations à enjeux élevés)
$ cat > 3. EXPOSÉ DE L'INVENTION
EXPOSÉ DE L'INVENTION
�3.1 Objectifs de l'invention
L'invention a pour objectif de proposer une rupture technologique dans le
domaine de la vérification d'authenticité physique, en déplaçant le paradigme
depuis la "détection d'artefacts ou autres indices et marqueurs de falsification"
vers la "validation de cohérence physique multi-sources".
Les objectifs spécifiques sont :
- Rendre la falsification computationnellement impraticable plutôt que
simplement difficile à détecter
- Exploiter les lois de la physique (incluant, sans s'y limiter : comportements
optiques et propagation lumineuse, réflexions et réfractions, dynamique des
fluides (liquides, gaz, fumées, particules), dynamique des solides,
interactions mécaniques, comportements inertiels, phénomènes acoustiques,
phénomènes thermiques (conduction, convection, rayonnement infrarouge),
latences et temps de traitements) comme fondement de la vérification
- Exploiter l'impossibilité pratique de simuler ces phénomènes physiques de
manière convaincante en temps réel, sous la contrainte de réaction aux
instructions du système - que ces instructions soient destinées aux
dispositifs (incluant, sans s'y limiter : affichage de séquences visuelles,
émission de signaux) ou aux utilisateurs (incluant, sans s'y limiter :
mouvements, positionnements, manipulations d'objets) - et ce sur plusieurs
angles de capture simultanés avec une pluralité de capteurs
- Permettre une vérification à plusieurs niveaux de rigueur selon les enjeux
(une inscription sur un réseau social ne requiert pas le même niveau de
vérification qu'une transaction immobilière ou un acte notarié)
- Offrir une solution pérenne qui ne devienne pas obsolète avec l'amélioration
des technologies génératives, et dont les techniques de vérification peuvent
être déployées progressivement, renforcées ou combinées au fur et à mesure
de l'évolution des capacités des attaquants
3.2 Solution technique proposée
Pour atteindre ces objectifs, l'invention propose un système et procédé
utilisant une pluralité de sources de capture (incluant, sans s'y limiter :
caméras, microphones, capteurs inertiels, capteurs de profondeur, récepteurs
de signaux) réparties sur un ou plusieurs dispositifs, dont les données sont
analysées de manière corrélée et synchronisée par une entité de vérification.
Le principe fondamental est le suivant : simuler, générer, synthétiser, ou
rendre (render) une scène réelle de manière convaincante sur UN flux vidéo
est devenu possible grâce aux avancées en intelligence artificielle générative,
inférence neuronale, et techniques de rendu en temps réel. Cependant, simuler,
générer ou inférer cette même scène de manière parfaitement cohérente sur
PLUSIEURS flux vidéo simultanés, provenant d'angles différents, avec des
interactions lumineuses croisées, des réflexions cohérentes, et des contraintes
temporelles strictes, dépasse les capacités computationnelles actuelles et
�prévisibles à moyen, voire long terme.
L'invention se caractérise par :
- CAPTURE MULTI-SOURCES : Utilisation d'au moins deux sources de capture
distinctes fournissant soit des perspectives différentes de la même scène,
soit des perceptions de nature différente de cette même scène, soit une
combinaison des deux.
Ces sources peuvent être :
(a) réparties sur plusieurs dispositifs distincts, indépendants ou organisés
selon une architecture de coordination (incluant, sans s'y limiter :
configuration maître-esclave, coordinateur-participants, ou toute autre
topologie de contrôle),
(b) intégrées à un dispositif unique (capteurs multiples intégrés, fixes ou
mobiles),
(c) connectées à un dispositif principal via liaison filaire ou sans fil
(capteurs internes ou externes, détachables ou non détachables, mobiles
ou fixes, motorisés ou non motorisés),
(d) intégrées à un dispositif auxiliaire ou accessoire, lui-même rattaché
à un dispositif principal, ou intégrées à une partie détachable d'un
dispositif modulaire ou segmentable (incluant, sans s'y limiter : modules
de capture, extensions sensorielles, accessoires avec capteurs intégrés,
parties détachables de dispositifs pliables ou modulaires fonctionnant
de manière autonome ou semi-autonome),
(e) réparties sur un ensemble de dispositifs équivalents ou jumelés,
commercialisés comme un système unifié, où aucun dispositif n'est
désigné comme principal (par exemple : dispositifs jumeaux, appareils
symétriques détachables, ou configurations pair-à-pair),
(f) appartenant à l'utilisateur, à un tiers, ou à disposition publique,
incluant sans s'y limiter : dispositifs vestimentaires ou corporels
(montres, lunettes, accessoires connectés, implants), capteurs
d'infrastructure (caméras de surveillance, capteurs de bâtiment),
dispositifs publics ou semi-publics (bornes, terminaux, distributeurs),
ou dispositifs mis à disposition temporairement (empruntés, loués,
partagés, que ce soit dans le cadre d'un service dédié, d'un partenariat,
ou de toute autre circonstance), fixes ou mobiles,
ou toute combinaison de ces configurations, quel que soit le format, la
taille, ou la destination première des dispositifs concernés (incluant,
sans s'y limiter : dispositifs avec ou sans écran, vestimentaires,
corporels, fixes, mobiles, d'infrastructure, dédiés ou non à la vérification,
électroménagers connectés, consoles de jeu, ou tout autre dispositif
disposant de capacités de capture).
- RECOUPEMENT SYNCHRONISÉ : Analyse corrélée des flux provenant des
différentes sources pour vérifier leur cohérence selon de multiples critères
incluant, sans s'y limiter : cohérence géométrique, photométrique,
radiométrique, télémetrique, temporelle, acoustique, inertielle, thermique,
spectrale, cinématique (mouvements et vitesses), topologique (relations
spatiales), comportementale, statistique, électromagnétique (signaux RF,
WiFi, Bluetooth), positionnelle, biométrique, entropique, causale (relations
cause-effet), et contextuelle.
�- DÉFIS PHYSIQUES : Introduction d'éléments de vérification exploitant les
lois de la physique, incluant sans s'y limiter :
* Comportements optiques : propagation lumineuse, réflexions, réfractions,
caustiques, interréflexions, sous-diffusion de surface (subsurface
scattering), ombres et pénombres, parallaxe
* Dynamique des fluides : liquides, gaz, fumées, particules, turbulences,
effets capillaires, comportements chaotiques
* Dynamique des solides : déformations, collisions, interactions mécaniques,
comportements élastiques
* Comportements inertiels : accélérations, décélérations, momentum,
forces gravitationnelles
* Phénomènes acoustiques : propagation sonore, réverbération, échos,
signatures acoustiques environnementales
* Phénomènes thermiques : transferts de chaleur (conduction, convection,
rayonnement), signatures thermiques
* Phénomènes électromagnétiques : propagation des signaux RF, WiFi,
Bluetooth, variations de champ magnétique
La simulation correcte de ces phénomènes en temps réel, sur plusieurs
angles simultanément, demeure computationnellement prohibitive dans
l'état actuel de la technologie.
- VÉRIFICATION PAR CAPTURE CROISÉE : Dans la configuration de base, chaque
dispositif peut être dans le champ de capture d'au moins un autre dispositif,
confirmant leur co-présence physique dans la même scène. Cette capture
mutuelle permet de vérifier que les dispositifs sont effectivement co-localisés
et non simulés indépendamment.
- DÉFIS VISUELS ON-SCREEN : L'entité de vérification commande l'affichage de
stimuli visuels (incluant, sans s'y limiter : formes géométriques, patterns
de couleurs, séquences animées) sur l'écran d'un dispositif, ces stimuli
étant capturés par un autre dispositif. Cette technique permet de vérifier :
* La correspondance entre le stimulus envoyé et le stimulus capturé
* La cohérence géométrique de la capture (distorsion, angle)
* La synchronisation temporelle (timing correct)
* L'authenticité de l'écran (non injection de flux)
Cette vérification peut être effectuée sans nécessiter de boucle de rétroaction
complète (mise en abyme). Les stimuli peuvent également être générés et gérés
localement par les dispositifs eux-mêmes.
- BOUCLE DE RÉTROACTION OPTIQUE : Dans certains modes de réalisation, les
écrans des dispositifs se "voient" mutuellement à travers leurs caméras,
créant un effet de rétroaction visuelle (mise en abyme) dont la simulation
fidèle requiert un rendu récursif en temps réel. Il peut également être
envisagé d'intégrer une surface réfléchissante dans le processus de vérification,
permettant notamment une vérification améliorée avec un seul dispositif :
l'écran du dispositif se voyant lui-même dans la surface réfléchissante via la caméra,
créant une boucle de rétroaction sans nécessiter de second appareil. La surface
réfléchissante présente en outre l'avantage d'être un élément optique physique,
avec les implications et avantages associés.
Cette configuration mono-dispositif avec surface réfléchissante constitue un niveau de vérification
accessible lorsque l'utilisateur ne dispose pas d'un second dispositif,
d'un lieu public équipé, ou d'un accessoire de vérification dédié.
�- ANCRES D'ENTROPIE : Introduction d'éléments physiques à haute entropie
(tels que, sans s'y limiter : mouvements de fluides, objets déformables)
dont le comportement chaotique
est pratiquement impossible à simuler de manière convaincante sur plusieurs
angles simultanément.
- TECHNIQUES COMPLÉMENTAIRES : Ensemble de méthodes auxiliaires incluant,
sans s'y limiter : vérification par ondes sonores, pièges d'interface
utilisateur, stéganographie dynamique, corrélation accélérométrique,
et tests de latence.
3.3 Avantages et capacités du multi-source
Le principe de capture multi-source ouvre un large éventail de techniques de
vérification, exploitables individuellement ou en combinaison. Ces techniques
incluent, sans s'y limiter :
A) TECHNIQUES DE RECOUPEMENT GÉOMÉTRIQUE :
- Vérification de cohérence angulaire entre les perspectives capturées
- Analyse de parallaxe (déplacement différentiel objets proches/lointains)
- Reconstruction 3D implicite à partir des vues multiples
- Vérification de cohérence des dispositions, proportions et dimensions
- Analyse des relations d'occlusion (quel objet cache quel autre)
B) TECHNIQUES DE RECOUPEMENT PHOTOMÉTRIQUE :
- Cohérence des conditions d'éclairage entre les sources
- Vérification de cohérence des ombres et pénombres
- Analyse des reflets et leur cohérence géométrique
- Vérification des caustiques et interréflexions
- Cohérence chromatique entre les captures
C) TECHNIQUES DE RECOUPEMENT TEMPOREL :
- Synchronisation précise des flux capturés
- Corrélation temporelle des événements observés
- Analyse de la cohérence des mouvements entre perspectives
- Vérification des délais et latences
D) TECHNIQUES EXPLOITANT L'AFFICHAGE (ON-SCREEN) :
- Défis visuels commandés par l'entité de vérification
- Patterns géométriques à reconnaissance de forme
- Séquences de couleurs avec vérification de correspondance
- Animations dont le timing et la forme sont vérifiés
- QR codes dynamiques ou motifs visuels encodés
E) TECHNIQUES DE CAPTURE CROISÉE :
- Vérification de co-présence des dispositifs dans la scène
- Un dispositif capturant l'écran d'un autre
- Même flux capturé par plusieurs sources (multi-niveau)
- Validation croisée des flux directs et indirects
F) TECHNIQUES INERTIELLES ET POSITIONNELLES :
� - Corrélation des données inertielles (accéléromètre, gyroscope, orientation)
avec le mouvement visuel observé
- Cohérence des données GPS/positionnelles entre dispositifs
G) TECHNIQUES ACOUSTIQUES :
- Cohérence de l'empreinte acoustique environnementale entre sources
- Corrélation audio/vidéo (lip-sync multi-angles)
- Analyse des délais de propagation sonore
- Vérification de réverbération cohérente
H) TECHNIQUES ÉLECTROMAGNÉTIQUES :
- Cohérence des signaux RF/WiFi/Bluetooth entre dispositifs
- Comparaison de l'environnement électromagnétique ambiant (tout signal détectable)
- Vérification de cohérence du champ magnétique local
- Corrélation des variations magnétométriques avec les mouvements observés
I) TECHNIQUES D'ENTROPIE ET CHAOS :
- Utilisation d'ancres d'entropie (fluides, objets déformables)
- Exploitation de comportements chaotiques vérifiables
- Patterns imprévisibles mais cohérents entre perspectives
J) TECHNIQUES DE BOUCLE OPTIQUE :
- Mise en abyme : appareils équipés d'écran et/ou caméra, se voyant
et/ou se filmant mutuellement, et/ou se filmant eux-mêmes via
surface réfléchissante ou par l'intermédiaire de l'affichage
d'un autre appareil
- Rétroaction visuelle récursive
Axes de vérification exploitables (incluant, sans s'y limiter) :
- Fidélité de la récursion (correspondance stimulus affiché / capturé)
- Portion visible de la scène dans la boucle (varie selon orientation/position)
- Cohérence géométrique (angles, distorsions, perspectives)
- Cohérence temporelle (délais de propagation dans la boucle)
- Réponse aux défis commandés visibles dans la récursion
- Cohérence photométrique (couleurs, luminosité, reflets)
K) TECHNIQUES BIOMÉTRIQUES MULTI-ANGLES :
Capture et vérification de marqueurs biométriques via le setup multi-source,
incluant, sans s'y limiter :
- Cohérence faciale sous plusieurs angles
- Analyse de micro-expressions multi-perspectives
- Cohérence des mouvements corporels
- Empreintes digitales et palmaires (capture visuelle et/ou multi-angle
en haute résolution)
- Géométrie de la main (forme, proportions, articulations)
- Morphologie de l'oreille
- Patterns veineux (main, poignet)
- Texture cutanée
- Iris et motifs oculaires (si résolution suffisante)
- Tout autre marqueur biométrique captable visuellement
Utilisation simultanée de capteurs biométriques dédiés :
- Lecture simultanée sur les capteurs des différents dispositifs
� (ex: un doigt de chaque main sur le lecteur d'empreinte de chaque appareil),
que les données biométriques soient transmises au serveur ou non
- Lecture séquentielle du même doigt sur plusieurs dispositifs, sans
coupure du champ visuel (le doigt reste visible durant le passage
d'un capteur à l'autre)
- Corrélation temporelle des captures biométriques
- Vérification que les données proviennent du même individu, si applicable
(incluant, sans s'y limiter : synchronicité des données de pouls,
cohérence des caractéristiques biométriques entre capteurs)
L) TECHNIQUES DE DÉFI COMMANDÉ :
- Instructions de mouvement vérifiables (tourner, pivoter)
- Commandes d'interaction avec objets physiques
- Timing imposé par l'entité de vérification
- Challenges imprévisibles avec réponse attendue
Avantage du second écran pour les instructions :
- En présence d'un second dispositif avec écran, les instructions peuvent
être affichées de manière plus précise et détaillée visuellement
(voir Figure 3)
- Guidage visuel en temps réel (flèches, animations, zones à cibler)
- Feedback immédiat sur l'exécution des instructions
- Précision accrue par rapport aux instructions textuelles ou audio seules
Ces techniques peuvent être combinées selon les enjeux de la vérification,
permettant un gradient de rigueur adapté au contexte.
3.4 Avantages de l'invention
- RÉSILIENCE TEMPORELLE : Contrairement aux détecteurs d'artefacts, le
système ne devient pas obsolète avec l'amélioration des générateurs,
car il exploite des limitations physiques fondamentales.
- COÛT ASYMÉTRIQUE : Le coût computationnel pour falsifier le système est
exponentiellement plus élevé que le coût pour le vérifier, inversant
le déséquilibre actuel.
- AVANTAGE ASYMÉTRIQUE TEMPOREL : L'attaquant doit simuler en temps réel
(contrainte forte de latence pour maintenir l'illusion), tandis que le
serveur/vérificateur peut analyser les données a posteriori, sans contrainte
de temps réel. Pour les opérations à enjeux élevés, la validation peut être
asynchrone, permettant des analyses plus profondes (reconstruction 3D,
corrélation fine des micro-mouvements, vérification de cohérence exhaustive).
Cette asymétrie temporelle constitue un avantage structurel majeur du système.
- ADAPTABILITÉ : Le système peut opérer à différents niveaux de rigueur,
depuis une vérification basique (deux caméras, tests simples) jusqu'à
une vérification maximale (grand nombre de dispositifs, intégration de
tous les tests disponibles dans une seule session).
- RÉSISTANCE AUX COMPROMISSIONS : La compromission d'un, voire de tous les
dispositifs, ne suffit pas nécessairement à tromper le système, car la
� cohérence multi-sources et la fidélité de la scène doivent être maintenues.
- INDÉPENDANCE DES ALGORITHMES : Le procédé ne dépend pas d'un algorithme
de détection spécifique qui pourrait être contourné ; il repose sur une
combinaison de facteurs, ainsi que sur des principes physiques universels.
- EFFICACITÉ ÉCONOMIQUE ET PRIVACY : Certaines techniques de vérification (incluant,
sans
s'y limiter : pièges algorithmiques, tests à résultat attendu, vérifications
statistiques) offrent un rapport coût/efficacité particulièrement favorable
au défenseur, permettant une protection robuste avec des ressources modérées.
La combinaison de ces techniques peut constituer une première ligne de défense
efficace et accessible. Ces mêmes techniques permettent également, lorsque
souhaité, de réduire l'exposition de données sensibles en effectuant certaines
vérifications sur la base de signatures, hashs, métadonnées, ou résultats de
tests plutôt que sur les flux bruts complets, limitant ainsi le volume de
données personnelles transmises ou stockées.
- SYNERGIE AVEC ÉVOLUTIONS HARDWARE : Le protocole bénéficiera des améliorations
futures des dispositifs (incluant, sans s'y limiter : attestation hardware de
l'origine des flux, signatures cryptographiques au niveau capteur, patterns
d'image certifiés, chaîne de confiance depuis le capteur). Ces évolutions
renforceront le protocole sans le remplacer ; celui-ci reste pleinement
efficace avec le matériel actuel, sans dépendance envers les fabricants ou
opérateurs contrôlant l'authentification hardware - garantissant ainsi une
autonomie de fonctionnement.
- AVANTAGE STRUCTUREL DU DÉFENSEUR : La centralisation des ressources de
vérification (data science, R&D, adaptation continue des tests) permet au
défenseur d'évoluer plus rapidement que les attaquants, qui doivent
reverse-engineer chaque mise à jour sans accès aux données statistiques
globales. Chaque nouveau facteur de vérification multiplie le coût d'attaque.
$ cat > 4. DESCRIPTION DÉTAILLÉE
DESCRIPTION DÉTAILLÉE
4.1 Architecture générale
Le système selon l'invention comprend :
a) AU MOINS DEUX SOURCES DE CAPTURE, DE NATURE ET/OU DE PERSPECTIVE
DIFFÉRENTE :
Ces sources peuvent être configurées selon l'une des modalités suivantes,
ou toute combinaison de celles-ci :
- CONFIGURATION MULTI-DISPOSITIFS : Deux ou plusieurs dispositifs
physiquement distincts, incluant, sans s'y limiter :
* Dispositifs personnels de l'utilisateur (téléphones, tablettes,
ordinateurs avec webcam, montres connectées, lunettes connectées)
* Dispositifs tiers, dédiés ou non dédiés à la vérification
* Dispositifs publics ou semi-publics (bornes interactives, terminaux
de paiement, distributeurs automatiques équipés de caméras, guichets
automatiques bancaires, écrans publicitaires interactifs, kiosques
� d'information, automates de vente)
* Dispositifs d'infrastructure existante (caméras de surveillance,
systèmes de vidéoconférence, équipements de points de vente,
caméras de contrôle d'accès)
* Dispositifs mis à disposition par un opérateur, partenaire commercial,
établissement public ou privé, ou tout autre tiers (de manière
permanente, temporaire, ou ponctuelle)
* Tout appareil équipé d'au moins une source de capture et capable de
communiquer avec le système de vérification, ou autrement capable de
servir de point de référence pour la vérification (incluant, sans s'y limiter :
dispositifs affichant des valeurs dynamiques validables par secret
cryptographique partagé), indépendamment de sa fonction première ou
de son propriétaire
- CONFIGURATION MONO-DISPOSITIF INTÉGRÉE : Un dispositif unique équipé de
multiples capteurs intégrés (exemple : caméra frontale et caméra arrière
d'un téléphone, ou multiples caméras arrière)
- CONFIGURATION AVEC CAPTEURS EXTERNES : Un dispositif principal connecté
à un ou plusieurs capteurs externes via liaison filaire ou sans fil
(exemple : téléphone connecté à une caméra externe, drone, capteur
détachable, ou périphérique mobile)
- Les sources de données, permettant de caractériser des grandeurs physiques
et/ou l'état de la scène ou situation vérifiée, incluent, sans s'y limiter :
* Capteurs de grandeurs physiques (images, sons, profondeur, température,
pression, accélération, orientation, luminosité, proximité)
* Capteurs télémétriques (lidar, ToF, radar, ultrasons)
* Récepteurs de signaux électromagnétiques (antennes radio, WiFi, Bluetooth,
NFC, GSM/cellulaire, GPS, signaux radio locaux)
* Modules cryptographiques ou de sécurité (puces sécurisées, éléments
de réponse cryptographique, générateurs de tokens)
* Données environnementales captées (stations radio détectées, réseaux
WiFi visibles, tours cellulaires à proximité, balises Bluetooth)
* Toute donnée ou métadonnée reflétant l'état, la configuration, ou les
conditions de la scène, de l'environnement, ou de la situation vérifiée
* Tout autre moyen de capture, réception, ou génération de données
pouvant être corrélées pour établir l'authenticité
La présente invention couvre également les configurations où les sources de
capture multiples sont intégrées à un même produit commercial sous forme de
modules détachables, périphériques embarqués, extensions du dispositif
principal, ou composants d'un écosystème de produit unifié, indépendamment
de leur mode de connexion (filaire, sans fil, ou interne) ou de leur
commercialisation comme produit unique ou ensemble de produits séparés.
L'invention s'applique dès lors qu'au moins deux perspectives distinctes
d'une même scène sont capturées et analysées de manière corrélée,
quelle que soit la configuration matérielle utilisée.
Note : Dans le cadre du protocole, tout dispositif peut assumer le rôle
de sujet requérant vérification, d'auxiliaire participant à la vérification
d'un autre sujet, ou les deux simultanément. Les dispositifs peuvent
recevoir toute instruction et assumer tout rôle nécessaire au processus
de vérification, selon les besoins et la configuration de la session.
�b) UNE ENTITÉ DE VÉRIFICATION :
Unité ou ensemble d'unités de traitement recevant les flux de données
des sources de capture et effectuant l'analyse corrélée. Cette entité peut
prendre diverses formes, incluant, sans s'y limiter :
ARCHITECTURES CENTRALISÉES (niveau de sécurité maximal) :
- Un serveur distant contrôlé par le vérificateur
- Une infrastructure cloud contrôlée par le vérificateur
- Une instance locale dédiée
- Un système distribué sous contrôle unifié
ARCHITECTURES DÉCENTRALISÉES OU HYBRIDES :
- Un réseau pair-à-pair (peer-to-peer) de nœuds de vérification
- Des ressources de calcul externalisées (incluant, sans s'y limiter,
des réseaux de calcul distribué, des services de computation à la
demande, ou des ressources louées ou empruntées sur des appareils tiers)
- Un dispositif public ou semi-public servant de point d'ancrage de
confiance (incluant, sans s'y limiter : borne, terminal, distributeur
automatique) effectuant tout ou partie de la vérification localement
- Une vérification répartie entre plusieurs dispositifs participants,
avec ou sans serveur central
ARCHITECTURES HORS-LIGNE OU AUTONOMES [MODES DÉGRADÉS] :
- Vérification effectuée localement sur les dispositifs eux-mêmes,
avec synchronisation ultérieure optionnelle
- Vérification pair-à-pair directe entre dispositifs sans serveur
- Dispositifs effectuant tout ou partie de la vérification, qu'ils soient
de confiance ou non, pré-autorisés ou non, incluant sans s'y limiter :
dispositifs désignés, dispositifs sélectionnés arbitrairement, dispositifs
tiers actuellement connectés, ou tout dispositif recruté dynamiquement
IMPORTANT - STATUT DE CES ARCHITECTURES :
Les architectures hors-ligne et autonomes décrites ci-dessus constituent
des MODES DÉGRADÉS ou de REPLI (fallback). Elles sont décrites pour assurer
la flexibilité opérationnelle du système, mais NE SONT PAS revendiquées
comme innovantes en elles-mêmes lorsqu'elles impliquent un mono-dispositif
sans dépendance externe. Une vérification purement locale sur un appareil
unique relève de l'état de l'art existant (cf. section 6.1 - EXCLUSION).
Toutefois, même en mode dégradé, les TECHNIQUES SPÉCIFIQUES décrites dans
la présente demande (rétroaction visuelle, ancres d'entropie, etc.) restent
des innovations protégeables indépendamment.
Note : Le niveau de sécurité maximal est atteint avec une architecture
centralisée où le serveur de vérification est contrôlé et sécurisé par
l'opérateur du service. Les architectures alternatives offrent des
compromis entre accessibilité, coût, et niveau de confiance, adaptés
selon les enjeux de la vérification concernée et les moyens à disposition.
Note : Les configurations pair-à-pair peuvent apporter une valeur de
vérification supplémentaire dans le cas de vérifications de groupe
(incluant, sans s'y limiter : équipes, événements, activités collectives).
Dans ce contexte, la corrélation de multiples dispositifs (ex: 20+ capteurs
� pour un groupe de 20 personnes) renforce la vérification, et les connexions
pair-à-pair entre dispositifs co-localisés peuvent ajouter un facteur de
confiance lié à leur proximité physique. Toutefois, les méthodes pair-à-pair
passant par un réseau relayé (avec antenne extérieure aux appareils) offrent
moins de garanties que les communications de proximité locale (incluant,
sans s'y limiter : Bluetooth, NFC, WiFi Direct, ultrasons).
INFRASTRUCTURE DE SERVEURS RELAIS (optimisation de latence et triangulation) :
Le système peut être doté de serveurs relais répartis géographiquement,
a minima dans les principaux centres urbains et zones de population, servant
de points d'entrée au réseau de vérification. Ces relais permettent :
- Latence minimale : Chaque utilisateur communique avec le relais le plus
proche, réduisant le délai de transmission au minimum physiquement possible
pour sa localisation.
- Authentification du ping minimal : Le relais authentifie et horodate
l'arrivée des données, établissant une preuve de latence minimale attendue
selon la distance géographique déclarée.
- Triangulation par différentiel de latence : En effectuant des pings vers
plusieurs serveurs relais simultanément (ou en mesurant les temps de
réponse depuis plusieurs relais), le système peut inférer la position
approximative de l'utilisateur. La comparaison des latences mesurées
vers chaque relais permet de confirmer ou infirmer la localisation
déclarée.
- Corrélation avec données tierces : La position inférée peut être comparée
avec d'autres sources de données, incluant, sans s'y limiter : données
GPS déclarées, géolocalisation de l'adresse IP (pays, région, ville
associés à l'IP par les bases de données de géolocalisation IP), données
d'autres utilisateurs dans la même zone géographique (cohérence
environnementale de groupe).
Exemple : si le serveur relais est à Paris, que l'utilisateur a une
adresse IP géolocalisée à Paris, mais présente une latence de 400ms
(incompatible avec une connexion locale), cela indique l'utilisation
probable d'un VPN ou d'un proxy. Le système peut alors demander à
l'utilisateur de désactiver ces outils pour poursuivre la vérification.
Cette infrastructure n'est pas nécessairement propre au présent protocole
et peut s'appuyer sur des infrastructures existantes ou partagées.
c) DES MOYENS DE COMMUNICATION :
Interfaces permettant la transmission des données, de manière filaire
ou non filaire, directe ou indirecte, entre les sources de capture et
l'entité de vérification, incluant, sans s'y limiter :
- Protocoles standards : Wi-Fi, réseaux cellulaires (4G, 5G, et générations
futures), Bluetooth, NFC, Zigbee, LoRa, satellite
- Protocoles propriétaires ou personnalisés (custom)
- Communications filaires (USB, Ethernet, série)
- Tout autre protocole de communication existant ou à venir
� Les données transmises peuvent également inclure des informations sur
l'environnement radio lui-même, telles que, sans s'y limiter : signaux
radio détectés (incluant, sans s'y limiter : stations FM/AM, fréquences,
puissances), réseaux visibles, identifiants de tours cellulaires,
signatures électromagnétiques ambiantes, ou toute autre donnée captable
relative aux signaux environnants.
d) DES MOYENS D'ÉMISSION COMMANDABLES :
Dispositifs permettant d'émettre des signaux ou stimuli commandés par
l'entité de vérification, incluant, sans s'y limiter :
* Émissions visuelles : écrans affichant des contenus (séquences de couleurs,
motifs visuels, éléments graphiques, codes, flux vidéo, texte statique
ou dynamique, instructions), LEDs, flashs, projecteurs, lasers
* Émissions sonores : haut-parleurs émettant des sons audibles ou
ultrasons, signaux acoustiques codés, séquences audio
* Émissions électromagnétiques : signaux radio, Bluetooth, NFC, WiFi,
ou tout autre signal électromagnétique commandable
* Émissions physiques/mécaniques : vibreurs, moteurs, actionneurs,
contrôle kinétique, déplacement de composants mobiles
* Émissions thermiques : éléments chauffants ou refroidissants commandables
* Émissions futures ou spécialisées : champs magnétiques directionnels,
faisceaux d'énergie, transmission d'énergie sans fil, drones ou
éléments mobiles associés au dispositif, ou toute autre forme
d'émission physique ou énergétique commandable
Ces moyens d'émission permettent de créer des stimuli vérifiables par
les capteurs des autres dispositifs participants à la vérification.
Note sur l'étendue des commandes de l'entité de vérification :
L'entité de vérification peut envoyer tout type de commande à tout
dispositif participant au processus de vérification, incluant, sans s'y
limiter :
- Commandes d'émission : déclencher des émissions visuelles, sonores,
électromagnétiques, ou physiques (tel que décrit ci-dessus)
- Commandes de capture : activer/désactiver des flux vidéo ou audio,
prendre des photos, déclencher des enregistrements, alterner entre
caméras (front/back, switching rapide ou séquentiel), ajuster les
paramètres de capture (résolution, framerate, exposition)
- Commandes de transmission : requérir l'envoi de données spécifiques
de capteurs (inertiels, positionnels, environnementaux), de métadonnées,
de données système, de données d'utilisation, ou de toute autre donnée
accessible sur le dispositif
- Commandes d'affichage : contrôler ce qui est affiché sur l'écran,
superposer des éléments visuels, afficher des instructions
- Commandes de configuration : modifier les paramètres du dispositif
pour les besoins de la vérification
- Toute autre commande nécessaire au bon déroulement de la vérification
Le timing, la séquence, et la nature des commandes sont déterminés par
l'entité de vérification selon les besoins du test, de manière prévisible
� ou imprévisible pour l'utilisateur et tout attaquant potentiel. Cette
flexibilité totale permet d'adapter les défis en temps réel et de rendre
toute tentative de simulation ou de prédiction prohibitivement complexe.
e) OPTIONNELLEMENT, DES CAPTEURS ET DONNÉES COMPLÉMENTAIRES :
Capteurs, accessoires, et sources de données supplémentaires pouvant
enrichir le processus de vérification, incluant, sans s'y limiter :
* Capteurs de grandeurs physiques : accéléromètres, gyroscopes, capteurs
de lumière ambiante, microphones, capteurs de profondeur, lidars,
capteurs temps de vol (ToF), radars, magnétomètres, baromètres
* Capteurs environnementaux : température, humidité, pression atmosphérique,
qualité de l'air, altitude
* Capteurs de positionnement : GPS, GNSS, boussole, altimètre
* Données système et contextuelles : état du dispositif, horodatage,
identifiants matériels, métadonnées de configuration
* Accessoires et périphériques connectés : capteurs externes, objets
connectés (IoT), modules complémentaires
* Toute autre source de données ou capteur pouvant contribuer à
l'établissement de l'authenticité de la scène ou situation vérifiée.
4.2 Configurations de vérification
L'invention prévoit plusieurs configurations de vérification, adaptées aux
enjeux et aux contraintes pratiques.
Note préliminaire : Les configurations décrites ci-dessous sont présentées
à titre indicatif et non hiérarchique. Elles peuvent être librement combinées,
modulées, ou adaptées selon les enjeux de sécurité, le matériel disponible,
et les contraintes pratiques. Cette liste n'est pas exhaustive ; toute
configuration permettant une vérification multi-perspectives ou multi-modalités
est couverte par la présente invention, qu'elle soit décrite explicitement
ci-dessous ou non. La combinaison de plusieurs configurations est recommandée
pour atteindre un niveau de confiance élevé.
A) CONFIGURATION MONO-DISPOSITIF
Utilisation d'un seul dispositif, selon l'une des configurations suivantes,
ou toute combinaison de celles-ci :
a) Multi-caméras intégrées : dispositif équipé de plusieurs caméras (exemple :
téléphone avec caméras avant et arrière). L'analyse porte sur la cohérence
angulaire entre les perspectives, et sur la corrélation avec les données
des capteurs inertiels lors des mouvements.
Exploitation de l'écran comme source lumineuse : l'écran du dispositif,
orienté vers l'avant, peut émettre des patterns lumineux commandés
(séquences de couleurs, variations d'intensité, formes animées). Ces
émissions lumineuses produisent simultanément :
- Un éclairage de la scène située derrière l'utilisateur (capturable par
la caméra arrière)
- Des réflexions sur le visage et les yeux de l'utilisateur (capturables
� par la caméra frontale)
La corrélation entre ces deux effets (éclairage scène + reflets visage)
constitue une double vérification difficile à simuler de manière cohérente.
Le flash du dispositif peut être utilisé de manière similaire, créant des
ombres analysables sur la scène arrière et une illumination du visage.
b) Mono-caméra avec retour visuel : utilisation d'une seule caméra en
combinaison avec un dispositif de retour visuel, permettant de créer une
boucle de rétroaction optique (effet abyme/mise en abyme) où l'écran du
dispositif se voit lui-même.
Les dispositifs de retour visuel incluent, sans s'y limiter :
- Surfaces réfléchissantes (incluant, sans s'y limiter : surface
réfléchissante de poche, murale, publique, ou toute autre surface
réfléchissante disponible)
- Écrans numériques avec retour visuel : tout appareil non appairé
affichant un flux vidéo en retour (écran public, téléviseur,
moniteur, tablette, ou autre dispositif d'affichage)
B) CONFIGURATION MULTI-DISPOSITIFS
Utilisation de deux dispositifs indépendants ou plus. L'appairage s'effectue
par lecture d'un motif visuel encodé (incluant, sans s'y limiter : QR code,
code-barres, motif graphique - voir Figure 2) et/ou par communication sans
fil de proximité (incluant, sans s'y limiter : Bluetooth, NFC, WiFi Direct).
Les dispositifs exécutent des commandes émises par l'entité de vérification
(incluant, sans s'y limiter : affichage de séquences visuelles, émissions
sonores, flashs lumineux, émissions radio, ou toute autre forme d'émission
commandable), et chaque capteur observe la scène, incluant ou non l'autre
dispositif dans son champ de perception.
Configuration avec boucle optique : les dispositifs peuvent être positionnés
de sorte que chaque caméra puisse observer l'écran de l'autre dispositif.
Ceci crée une boucle de rétroaction visuelle (effet de réflexion infinie ou
mise en abyme - voir Figure 3) dont les caractéristiques temporelles et
géométriques sont analysées.
C) TECHNIQUES COMPLÉMENTAIRES
Les configurations ci-dessus peuvent être enrichies par l'une ou plusieurs
des techniques suivantes, applicables en mono-dispositif comme en
multi-dispositifs, sans s'y limiter :
c.1) Ancres d'entropie : introduction dans la scène d'un élément physique à
haute entropie (tel que, sans s'y limiter : récipient contenant un
liquide, tissu, objet déformable, fumée, particules). Les mouvements
chaotiques de cet élément doivent être cohérents sur tous les angles
de capture.
c.2) Ancrage cryptographique : utilisation d'un objet d'authentification
spécialisé (token physique, puce sécurisée, objet à réponse
cryptographique) interagissant avec le ou les dispositifs.
�c.3) Stimuli commandés et corrélations : vérifications sonores (temps de
propagation acoustique), corrélations accélérométriques (cohérence des
données inertielles entre dispositifs), et tests de latence (mesure des
délais de transmission et réponse).
c.4) Accessoires de vérification : tout objet ou source présent dans
l'environnement de l'utilisateur peut servir d'accessoire, incluant
sans s'y limiter :
- Objets émetteurs de son : carte musicale, jouet sonore, instrument,
haut-parleur, ou tout objet produisant un son analysable
- Objets émetteurs de lumière : lampe, bougie, écran secondaire, LED,
indicateurs lumineux, ou tout objet produisant une lumière modulable
- Éléments d'environnement : éclairage de la pièce, robinet (flux d'eau
contrôlable), ventilateur, tout élément contrôlable par l'utilisateur
- Objets modulables : tout objet pouvant changer de forme, de manière
autonome ou par manipulation (jouet articulé, objet pliable, mécanisme
mobile, etc.)
- Objets identifiables : tout objet avec caractéristiques visuelles
distinctives vérifiables sous plusieurs angles
Tout élément de l'environnement susceptible de produire un stimulus
vérifiable (visuel, sonore, ou autre) peut constituer un accessoire valide
pour la vérification multi-capteurs.
4.3 Procédé de vérification - Principes généraux
Le procédé selon l'invention repose sur les principes fondamentaux suivants :
A) ACQUISITION MULTI-PERSPECTIVES :
Capture simultanée ou quasi-simultanée de données depuis au moins deux
sources de capture distinctes, permettant d'obtenir des perspectives
différentes et/ou des modalités de perception différentes d'une même
scène ou situation.
B) TRANSMISSION ET SYNCHRONISATION :
Communication des données capturées vers l'entité de vérification, avec
synchronisation temporelle permettant l'analyse corrélée.
C) ANALYSE CORRÉLÉE :
Traitement des données multi-sources pour vérifier leur cohérence selon
un ou plusieurs critères (incluant, sans s'y limiter : cohérence
géométrique, photométrique, radiométrique, télémetrique, temporelle,
acoustique, inertielle, thermique, spectrale, cinématique, topologique,
comportementale, statistique).
D) DÉTERMINATION D'AUTHENTICITÉ :
Sur la base de l'analyse corrélée, détermination de l'authenticité de
la scène, du sujet, ou de la situation vérifiée, avec un niveau de
confiance associé.
4.3.1 Techniques de vérification - Présentation générale
�L'invention couvre l'utilisation, individuelle ou en combinaison, de
techniques de vérification incluant, sans s'y limiter :
a) TECHNIQUES D'ÉTABLISSEMENT DE SESSION :
Méthodes permettant d'établir une session de vérification entre les
sources de capture et l'entité de vérification, incluant, sans s'y
limiter : appairage par motif visuel encodé, appairage par communication
sans fil de proximité, identification automatique (incluant, sans s'y
limiter : corrélation géopositionnelle, corrélation de l'environnement
radio, perception mutuelle des appareils via signaux radio/Bluetooth),
ou toute autre méthode ayant pour but d'associer ou d'identifier les
appareils comme étant destinés à participer dans une ou plusieurs sessions
ou procédures de vérification, ou eux-mêmes requérant vérification.
b) TECHNIQUES DE CALIBRATION :
Méthodes permettant de caractériser les propriétés des sources de capture
et des moyens d'émission, incluant, sans s'y limiter : caractérisation
colorimétrique, mesure de latence de base, vérification de communication,
établissement de références, ou toute autre caractérisation utile à la
vérification.
La calibration peut inclure, sans s'y limiter, une évaluation des capacités
et limitations de chaque dispositif participant (incluant, sans s'y limiter :
résolution, latence de capture, qualité des capteurs, stabilité temporelle,
ou toute autre propriété mesurable), permettant à l'entité de vérification
d'adapter dynamiquement les paramètres de test aux capacités du dispositif
le moins performant, ou de moduler les tests de toute autre manière.
La calibration peut également établir une synchronisation temporelle relative
entre dispositifs par déclenchement d'événements physiques observables
(incluant, sans s'y limiter : flash lumineux, signal sonore, changement
d'affichage sur écran, variation de signal radio, ou tout autre stimulus
perceptible par les capteurs), permettant de référencer les flux capturés
à un instant commun sans dépendre de la synchronisation des horloges système
des dispositifs, ou par toute autre méthode de synchronisation temporelle.
Ces techniques de calibration sont données à titre illustratif ; toute autre
méthode de calibration permettant de caractériser, synchroniser, ou adapter
le système aux conditions réelles est couverte par la présente invention.
c) TECHNIQUES DE STIMULATION ET EXPLOITATION DES LIMITATIONS DE RENDU :
Méthodes où l'entité de vérification commande l'émission de stimuli
(incluant, sans s'y limiter : séquences visuelles, signaux sonores,
émissions électromagnétiques, commandes physiques) et vérifie leur
effet sur la scène capturée par les sources de capture.
Ces techniques peuvent spécifiquement cibler des phénomènes physiques
particulièrement coûteux à simuler, incluant, sans s'y limiter :
- Caustiques (réfraction de lumière à travers des objets transparents)
- Dynamique des fluides
- Sous-diffusion de surface (subsurface scattering) sur la peau
� - Réflexions multiples (interréflexions)
Les algorithmes de vérification peuvent être envoyés dynamiquement par
l'entité de vérification, rendant leur reverse-engineering par un
attaquant impraticable. Les tests eux-mêmes peuvent varier d'une
session à l'autre (diversité algorithmique dynamique).
d) TECHNIQUES DE BOUCLE DE RÉTROACTION :
Méthodes exploitant le fait qu'une source de capture observe le moyen
d'émission d'un autre dispositif (ou du même dispositif via surface
réfléchissante), créant des effets de rétroaction analysables (mise en
abyme, récursion optique).
e) TECHNIQUES D'ANCRAGE ENTROPIQUE :
Méthodes utilisant des éléments physiques à comportement chaotique,
imprévisible, ou hautement entropique (incluant, sans s'y limiter :
fluides, objets déformables, particules) dont la cohérence multi-
perspectives est vérifiée.
f) TECHNIQUES DE CORRÉLATION INERTIELLE :
Méthodes comparant les données de capteurs inertiels (incluant, sans
s'y limiter : accéléromètres, gyroscopes) avec les mouvements inférés
à partir des captures.
L'inférence de mouvement peut être effectuée à partir de multiples
sources de données, incluant, sans s'y limiter : changements de
perspective visuels, parallaxe, transformations géométriques, variations
acoustiques, variations de signaux radio, décalages temporels
inter-capteurs.
g) TECHNIQUES DE VÉRIFICATION DE LATENCE :
Méthodes mesurant et analysant les délais de transmission et de réponse,
incluant, sans s'y limiter : requêtes prioritaires basse latence (par
exemple, sans s'y limiter : tolérance d'un délai sur le flux vidéo
principal, mais requête ponctuelle d'une frame ou fraction de frame/image
de la scène, envoyée en priorité, potentiellement via connexion ou canal
différent, avec vérification de cohérence par le serveur a posteriori),
comparaison géographique des latences, détection de délais anormaux
indicatifs de traitement intermédiaire.
Le système peut mesurer les latences de différentes opérations et
comparer ces mesures entre elles et aux valeurs attendues. Un système
de simulation introduirait des latences spécifiques (temps de rendu)
qui ne seraient pas présentes dans une capture authentique.
h) TECHNIQUES DE VÉRIFICATION ACOUSTIQUE :
Méthodes utilisant la propagation sonore pour vérifier les distances et
positions physiques entre dispositifs ou éléments de la scène.
Les dispositifs peuvent émettre des signaux sonores (audibles ou
ultrasonores). Les microphones des autres dispositifs captent ces
signaux. Le temps de propagation permet de calculer les distances
� physiques entre dispositifs et de vérifier leur cohérence avec les
observations visuelles.
Techniques complémentaires incluant, sans s'y limiter :
- Analyse des réponses vocales de l'utilisateur (parole, instructions
verbales demandées)
- Calcul des différences de distance par temps de propagation entre
plusieurs microphones
- Cohérence entre la scène visuelle et les sons émis par la voix et
les actions de l'utilisateur (lip-sync, bruits d'interaction)
- Traitement adapté selon les caractéristiques connues des appareils
utilisés (modèle de microphone, réponse en fréquence, sensibilité)
i) TECHNIQUES DE PIÉGEAGE ET STÉGANOGRAPHIE :
Méthodes où le résultat attendu d'un test est connu uniquement de l'entité
de vérification, permettant de détecter des réponses simulées ou falsifiées.
Exemples d'application, sans s'y limiter :
- Pièges d'interface (UI Traps) : l'entité de vérification peut envoyer
des éléments d'interface dont le comportement attendu est volontairement
différent de ce qu'un système de détection local pourrait prédire. Par
exemple, un algorithme de détection de couleur local pourrait être
volontairement mis en échec par l'envoi d'une couleur proche de celle
d'un élément de la scène, et l'entité de vérification s'attend à ce que
cette détection échoue. Un attaquant simulant les réponses, sauf
analyse poussée, ne saurait pas quelles détections doivent échouer,
ni dans quelle proportion.
- Stéganographie dynamique : des informations cachées (non visibles à
l'œil nu mais détectables par analyse fine des flux) peuvent être
injectées dans les contenus affichés. La présence ou l'absence de ces
éléments dans les captures reçues permet une vérification supplémentaire.
j) TECHNIQUES DE VÉRIFICATION MULTI-MODALE ET TÉLÉMETRIQUE :
Méthodes combinant des données de nature différente (incluant, sans s'y
limiter : visuel + lidar, visuel + acoustique, visuel + thermique) pour
vérification croisée.
L'invention peut exploiter des techniques d'imagerie existantes, incluant,
sans s'y limiter : imagerie stéréoscopique, vision 3D, reconstruction de
profondeur, photogrammétrie. Ces techniques d'imagerie, connues en elles-mêmes,
sont utilisées dans le cadre de l'invention non pas pour leur finalité
originale (reconstruction tridimensionnelle, mesure de distance), mais
comme moyens de vérification de cohérence multi-perspectives au service
de la détermination d'authenticité.
Les capteurs de distance (incluant, sans s'y limiter : temps de vol / ToF,
lidar, radar, ultrasons) peuvent être utilisés pour vérifier la cohérence
des mesures de profondeur et de distance avec les observations visuelles
et les données des autres capteurs. L'analyse corrélée inclut la
vérification télémetrique.
4.3.2 Exemple de flux de vérification (mode de réalisation indicatif)
�À titre d'exemple non limitatif, un flux de vérification peut comprendre
les phases suivantes. Ces phases sont présentées à titre indicatif et peuvent
être omises, réordonnées, combinées, répétées, ou adaptées selon les besoins
de la vérification :
PHASE D'INITIATION :
Établissement d'une session de vérification, génération d'identifiants,
appairage éventuel des dispositifs participants (voir Figure 2).
PHASE DE CALIBRATION (optionnelle) :
Caractérisation des propriétés des dispositifs, de l'environnement,
et du contexte situationnel ; établissement de références (incluant,
sans s'y limiter : références colorimétriques, acoustiques, lumineuses,
électromagnétiques, géographiques) ; mesure des latences de base.
PHASE DE DÉFIS :
Exécution d'un ou plusieurs défis de vérification sélectionnés selon
le niveau de sécurité requis . Ces défis exploitent une
ou plusieurs des techniques listées ci-dessus.
PHASE D'ANALYSE :
Traitement corrélé des données reçues utilisant des méthodes
computationnelles (incluant, sans s'y limiter : apprentissage automatique,
vision par ordinateur, analyse de cohérence, modèles physiques).
PHASE DE DÉCISION :
Détermination de l'authenticité avec niveau de confiance associé. Cette
phase peut être différée si l'entité de vérification nécessite un temps
supplémentaire pour traiter les données (analyse a posteriori).
$ cat > 5. MODES DE RÉALISATION
MODES DE RÉALISATION
Les modes de réalisation suivants sont présentés à titre d'exemples non
limitatifs, destinés à illustrer certaines applications possibles de
l'invention. Ces exemples ne sauraient restreindre la portée des revendications,
qui couvrent toute mise en œuvre des principes et techniques décrits dans la
présente demande, indépendamment du domaine d'application, de la configuration
matérielle, ou du contexte d'utilisation.
5.1 Premier mode - Ouverture de compte bancaire
Un utilisateur souhaite ouvrir un compte bancaire en ligne. Le service
bancaire requiert une vérification d'identité renforcée.
1. L'utilisateur démarre le processus sur son téléphone mobile.
2. Après avoir fourni ses informations et photographié sa pièce d'identité,
l'application lui demande de compléter une vérification de présence.
3. L'application affiche un motif visuel encodé et demande à l'utilisateur
d'accéder au site de vérification sur un second dispositif (par exemple
son laptop ou un PC public).
�4. L'utilisateur scanne le motif (ou appaire via communication sans fil de
proximité), les dispositifs sont appairés (voir Figure 2).
5. La vérification multi-dispositifs s'engage : l'utilisateur positionne son
téléphone face à la webcam, créant une boucle optique.
6. Des séquences de couleurs sont affichées, les réflexions sur le visage
de l'utilisateur sont analysées depuis les deux angles.
7. La vérification réussit, le compte est ouvert.
5.2 Deuxième mode - Transaction à haut risque
Un utilisateur souhaite effectuer un virement bancaire d'un montant
significatif depuis un lieu inhabituel.
1. La banque déclenche une vérification de niveau élevé.
2. L'utilisateur utilise deux dispositifs comme précédemment.
3. En plus des tests standards, l'application demande à l'utilisateur
de présenter une bouteille d'eau partiellement remplie et de la
secouer légèrement.
4. Les mouvements du liquide sont capturés sous deux angles et analysés
pour leur cohérence physique.
5. La transaction est autorisée.
5.3 Troisième mode - Mono-dispositif
Pour des vérifications quotidiennes à moindre enjeu, un seul dispositif
disposant de caméras multiples est utilisé.
1. L'utilisateur tient son téléphone et active la vérification.
2. Le téléphone utilise simultanément les caméras avant et arrière.
3. L'utilisateur pivote le dispositif et/ou pivote sur lui-même selon
les instructions, permettant aux deux caméras de capturer la scène
sous différents angles au fil du mouvement.
4. Le serveur vérifie la cohérence angulaire entre les deux perspectives,
la corrélation avec les données accélérométriques, et la cohérence
temporelle des captures durant le mouvement.
5. La vérification réussit.
5.4 Quatrième mode - État des lieux immobilier
Un propriétaire et un locataire souhaitent réaliser un état des lieux
de sortie à distance, chacun étant dans un lieu différent.
1. Le locataire se rend dans l'appartement avec deux dispositifs
(deux téléphones, ou un téléphone et une tablette).
2. Il démarre le processus de vérification et appaire les deux dispositifs.
3. Le propriétaire rejoint la session à distance et peut observer les flux
vidéo en temps réel.
4. Le locataire parcourt l'appartement en tenant les deux dispositifs,
filmant chaque pièce et élément sous plusieurs angles simultanément.
5. Le serveur vérifie continuellement la cohérence géométrique et temporelle
des captures multi-angles, garantissant qu'il s'agit d'images réelles
et non de vidéos préenregistrées ou manipulées.
�6. Pour les éléments nécessitant une attention particulière (état d'un mur,
fonctionnement d'un équipement), le locataire rapproche les dispositifs
pour une capture détaillée multi-perspectives.
7. Le serveur génère un rapport horodaté certifiant l'authenticité des
captures, utilisable comme preuve juridique.
Variante mono-dispositif : L'état des lieux peut également être réalisé avec
un seul dispositif équipé de caméras multiples (avant et arrière). Le locataire
pivote sur lui-même et déplace le dispositif selon les instructions, permettant
aux deux caméras de capturer l'espace sous différents angles. Le recoupement
des données et la corrélation avec les capteurs inertiels permettent une
vérification d'authenticité, dans une mesure adaptée aux enjeux concernés.
Pour renforcer la vérification mono-dispositif, le système peut exploiter les
éléments présents dans le lieu lui-même : par exemple, le locataire peut être
invité à se positionner face au miroir de la salle de bain, créant une boucle
de rétroaction optique où l'écran du dispositif se voit dans le miroir via
la caméra. Cette configuration immersive permet d'effectuer des tests de
vérification renforcés sans nécessiter de second appareil, en utilisant
l'infrastructure existante du lieu.
5.5 Cinquième mode - Vérification d'objet de valeur
Une compagnie d'assurance souhaite vérifier l'état d'un objet assuré
(bijou, oeuvre d'art, instrument de musique) suite à une déclaration.
1. L'assuré utilise deux dispositifs pour capturer l'objet sous plusieurs
angles simultanément.
2. Le serveur vérifie la cohérence géométrique, photométrique, et radiométrique
de l'objet sur les différentes perspectives.
3. Des défis spécifiques peuvent être demandés : faire tourner l'objet,
le présenter sous un éclairage commandé, ou le placer à côté d'un
élément de référence.
4. La cohérence des reflets, des ombres, et des caractéristiques physiques
de l'objet entre les différentes perspectives confirme son authenticité.
5. Le rapport généré certifie l'état réel de l'objet à l'instant T.
5.6 Sixième mode - Inspection de salle sécurisée
Un responsable de sécurité souhaite vérifier l'intégrité d'une salle de
coffres ou d'une réserve de musée suite à une alerte ou de manière routinière.
1. Un agent sur site utilise deux dispositifs pour filmer l'espace.
2. Le serveur commande des séquences de vérification spécifiques :
panoramique synchronisé, focus sur les points d'accès, vérification
de la présence des éléments inventoriés.
3. La boucle optique entre les dispositifs confirme leur présence physique
réelle dans l'espace.
4. Les captures multi-angles permettent de vérifier la cohérence spatiale
de l'environnement, détectant toute tentative de substitution par des
images préenregistrées.
5. L'historique des vérifications crée une chaîne de preuves consultable.
�5.7 Techniques et éléments considérés annexes, et potentiellement nouveaux
et/ou spécifiques
Les éléments suivants sont présentés à titre indicatif et non limitatif.
Ils illustrent des approches et concepts que l'inventeur considère comme annexes
au protocole principal, potentiellement nouveaux et/ou spécifiques à la présente
invention, ainsi que le potentiel offert par la corrélation multi-capteurs et
multi-dispositifs dans le cadre de la vérification d'authenticité, sans pour
autant restreindre la portée des revendications aux seuls éléments ici décrits.
A) MONO-DISPOSITIF AVEC SURFACE RÉFLÉCHISSANTE - DOUBLE PERSPECTIVE
SIMULTANÉE :
Configuration où l'utilisateur exploite une surface réfléchissante pour obtenir
deux perspectives simultanées avec un seul dispositif équipé de caméras avant
et arrière :
Variante 1 - Face à la surface réfléchissante :
- L'utilisateur se place face à une surface réfléchissante
- Il pointe la caméra frontale et l'écran vers la surface réfléchissante
- La caméra arrière, orientée vers lui, filme son visage directement
- La caméra frontale filme son visage à travers le reflet
- Résultat : deux perspectives du même sujet capturées simultanément
- L'utilisateur déplace le dispositif selon les instructions, générant des
variations géométriques analysables
Variante 2 - Surface réfléchissante derrière l'utilisateur :
- L'utilisateur tient le dispositif en mode selfie (écran face à lui)
- Une surface réfléchissante est positionnée derrière lui
- La caméra frontale capture le visage de l'utilisateur
- La caméra arrière capture le reflet de la scène (incluant potentiellement
le dos de l'utilisateur, l'environnement, et/ou le reflet du dispositif)
- Multiples configurations géométriques possibles selon le positionnement
Éléments de vérification exploitables durant ces configurations :
- Déclenchement du flash (effets lumineux cohérents sur les deux captures)
- Affichage de séquences visuelles sur l'écran (visibles dans le reflet)
- Contrôle de l'éclairage ambiant : l'utilisateur peut éteindre la lumière
de la pièce, permettant de contrôler la luminosité et colorimétrie via
l'écran (séquences de couleurs, variations d'intensité) et/ou le flash
(clignotements commandés)
- La cohérence des effets lumineux entre les deux perspectives (directe et
reflétée) constitue un facteur de vérification supplémentaire
B) CHAÎNE DE CAPTURE / PONT DE PERSPECTIVE :
Technique où un dispositif capture une scène via une caméra, puis rediffuse
ce flux sur son écran, permettant à une autre source de capture (sur un autre
dispositif ou sur le même dispositif via surface réfléchissante) d'observer
ce flux rediffusé tout en capturant simultanément la scène sous un angle
différent.
�Principe fondamental :
- Un dispositif capture un flux via une ou plusieurs de ses caméras
- Ce flux peut être affiché localement et/ou transmis au serveur
- Le serveur peut renvoyer le flux (altéré ou non) au même dispositif ou à
un autre dispositif pour affichage
- L'affichage résultant peut être observé par d'autres sources de capture
$ cat > 6. EXEMPLES DE CONFIGURATIONS
EXEMPLES DE CONFIGURATIONS (indicatifs et non limitatifs) :
Exemple 1 - Flux back cam via serveur :
- Le téléphone capture avec sa caméra arrière (ex: filme le visage de l'utilisateur)
- Le flux est envoyé au serveur
- Le serveur renvoie le flux au même téléphone
- Le téléphone affiche ce flux sur son écran (face avant)
- Le flux affiché est donc ce que la caméra arrière a capturé, après transit serveur
Exemple 2 - Flux front cam local immédiat :
- Le téléphone capture avec sa caméra frontale
- Le flux est affiché immédiatement sur son propre écran, sans passer par le serveur
- Des altérations peuvent être appliquées localement (formes, couleurs, éléments
visuels), commandées ou non par le serveur
Exemple 3 - Flux front cam via serveur avec altération :
- Le téléphone capture avec sa caméra frontale
- Le flux est envoyé au serveur
- Le serveur altère le flux (injection d'éléments de vérification, stéganographie,
modifications visuelles) ou le renvoie tel quel
- Le téléphone reçoit et affiche le flux sur son écran
Exemple 4 - Split screen double caméra sur même dispositif :
- Le serveur commande au téléphone d'afficher en écran partagé :
* Une moitié : flux de la caméra arrière
* Autre moitié : flux de la caméra frontale
- Chaque flux peut transiter ou non par le serveur avant affichage
- Les deux flux sont affichés côte à côte sur le même écran
Exemple 5 - Split screen avec caméra distante :
- Le téléphone affiche en écran partagé :
* Une moitié : flux de sa propre caméra frontale
* Autre moitié : flux de la caméra d'un second dispositif, streamé à distance
- Le flux du second dispositif peut transiter par le serveur ou être transmis
en peer-to-peer
- Permet d'observer simultanément deux perspectives sur le même écran
Note : Toutes les combinaisons de ces configurations, qu'elles soient décrites
ou non décrites ci-dessus, sont considérées comme des configurations de test
potentielles pour la présente invention. Cela inclut, sans s'y limiter :
toute combinaison de caméras (front, back, multiples), tout routage de flux
(local, serveur, peer-to-peer), toute disposition d'affichage (plein écran,
split screen, picture-in-picture), et toute altération (locale ou serveur).
�Cela inclut également tout mode d'affichage de données, y compris les
représentations visuelles de données non-visuelles (incluant, sans s'y
limiter : visualisation de flux audio, données radiométriques, données
télémétriques, données inertielles, ou toute autre donnée capteur), ainsi
que tout effet visuel dont les caractéristiques (couleur, forme, animation,
intensité, ou autre) sont dérivées directement ou indirectement d'un flux
de données, que celui-ci soit commandé par le serveur (arbitrairement ou pas, aléatoirement
ou pas) ou basé sur des données collectées localement par le dispositif.
Application du principe :
- Une seconde source de capture observe cet écran (flux "pass-through") tout
en voyant également la scène/l'utilisateur sous un autre angle
Configuration multi-dispositifs :
- Dispositif A : caméra arrière filme l'utilisateur, écran affiche le flux
- Dispositif B : observe l'écran de A (voit le flux pass-through) ET observe
l'utilisateur directement sous un angle différent
- Le serveur reçoit : le flux original de A + le flux de B contenant à la fois
le retour d'écran et une perspective différente de l'utilisateur
- Vérification de cohérence entre le flux original et sa rediffusion capturée,
plus corrélation avec la perspective alternative
Configuration mono-dispositif avec surface réfléchissante :
- Caméra arrière filme l'utilisateur (son visage)
- Flux rediffusé sur l'écran après passage par le serveur
- Caméra frontale, orientée vers une surface réfléchissante, capture :
* Le reflet de l'écran (montrant le flux pass-through de la caméra arrière)
* Le reflet du visage de l'utilisateur sous un angle différent
- Résultat : deux perspectives du même sujet + vérification du transit serveur
Avantages de cette technique :
- Prouve que le flux transite effectivement par le serveur (pas de simulation
locale possible sans accès au flux rediffusé)
- Permet l'injection d'éléments de vérification dans le flux rediffusé
(stéganographie, marqueurs visuels, modifications subtiles)
- Corrélation multi-angle vérifiable sur une même frame temporelle
- Défis de positionnement exploitables (demander à l'utilisateur de bouger,
vérifier cohérence des deux perspectives + flux pass-through)
Contrôle opaque par le serveur :
Le contrôle du flux par le serveur présente un avantage supplémentaire :
le traitement appliqué est opaque pour l'attaquant. Ce dernier ne peut pas
prédire quelles modifications, injections, ou éléments de vérification le
serveur va appliquer au flux avant rediffusion. Même en cas de compromission
du dispositif local, le serveur conserve le contrôle de ce qui est affiché,
rendant toute tentative de simulation locale inefficace.
C) RÉCURSION VISUELLE (BOUCLE DE RÉTROACTION OPTIQUE) :
Technique où une source de capture observe, directement ou indirectement,
sa propre sortie visuelle (son propre écran), créant un effet de mise en
�abyme (récursion infinie) dont les caractéristiques sont analysables.
Principe fondamental :
- L'écran d'un dispositif affiche un flux
- Une caméra (du même dispositif ou d'un autre) capture cet écran
- Le flux capturé est lui-même affiché, créant une boucle récursive
- L'effet visuel résultant (mise en abyme / "effet tunnel") possède des
propriétés géométriques et temporelles spécifiques à la configuration
physique réelle
Configuration multi-dispositifs :
- Dispositif A et B positionnés face à face
- Écran de A visible par caméra de B, et vice versa
- Chaque dispositif voit l'écran de l'autre, créant une récursion croisée
- L'effet de mise en abyme apparaît dans les deux flux
Configuration mono-dispositif avec surface réfléchissante :
- Dispositif positionné face à une surface réfléchissante
- L'écran se voit lui-même via le reflet
- La caméra capture ce reflet, incluant l'image de l'écran
- Boucle de rétroaction créée sans second dispositif
Propriétés vérifiables :
- Géométrie de la récursion (angles, distorsions, proportions des "niveaux")
- Délais temporels entre les niveaux de récursion (latence visible)
- Cohérence des éléments affichés à travers les niveaux
- Réponse aux stimuli commandés (changement de couleur, flash) propagée
dans la récursion avec délais caractéristiques
Difficulté de simulation :
- Simuler une récursion visuelle convaincante requiert un rendu récursif
en temps réel, computationnellement prohibitif
- Chaque niveau de récursion multiplie la complexité du rendu
- Les délais temporels authentiques sont difficiles à reproduire
- La géométrie dépend de la configuration physique réelle (angles, distances)
D) RECONSTRUCTION DYNAMIQUE ET COHÉRENCE :
Technique exploitant les images capturées durant les mouvements de l'utilisateur
pour reconstruire partiellement la scène et vérifier sa cohérence géométrique.
Compatible avec les configurations mono-dispositif (multi-caméras) :
même sur un seul dispositif, l'utilisation de plusieurs caméras apporte une
diversité angulaire qui augmente la difficulté de falsification sans nécessiter
de second appareil.
Également compatible avec les configurations multi-dispositifs.
Principe fondamental :
- Basé sur les images capturées pendant que l'utilisateur tourne, se déplace,
bouge, ou exécute les défis physiques, on identifie des éléments de référence
dans la scène
- On compare ces éléments lorsqu'ils réapparaissent dans le champ de capture
(cohérence géométrique, proportions, positions relatives)
�- Le système infère également la distance et position spatiale des éléments
de la scène dans l'espace 3D, permettant de reconstruire partiellement ou
totalement la géométrie de l'environnement
- Un simulateur devrait maintenir une cohérence 3D complète de l'environnement
tout au long de la séquence - extrêmement difficile en temps réel
Intégration des techniques de détection existantes :
- Le système peut également exploiter, en complément de l'analyse de cohérence
multi-perspectives, les techniques de détection existantes (incluant, sans
s'y limiter : analyse d'artefacts visuels, analyse de texture cutanée,
détection de micro-expressions, analyse fréquentielle, détection de
compression/recompression, analyse des reflets cornéens et spéculaires),
ces techniques bénéficiant d'une fiabilité accrue lorsqu'appliquées de
manière corrélée sur plusieurs angles de capture
- Les techniques basées sur l'analyse des reflets peuvent être combinées avec
l'émission de signaux visuels commandés (flash, séquences lumineuses sur
écran, variations de luminosité, tel que décrit dans les autres sections),
permettant de vérifier la cohérence des reflets observés depuis plusieurs
perspectives par rapport aux stimuli émis
Variation de vitesse comme facteur de vérification :
- Le système peut demander différentes vitesses de mouvement (rotation lente,
puis rapide, puis arrêt brusque)
- Les artefacts de capture (motion blur, rolling shutter, compression) varient
naturellement avec la vitesse
- Un simulateur devrait reproduire ces artefacts de manière cohérente avec
la vitesse demandée et les caractéristiques du capteur
Exploitation des imperfections et comportements caméra :
- Rolling shutter : distorsion caractéristique lors de mouvements rapides,
spécifique au capteur physique
- Motion blur naturel : flou de mouvement cohérent avec la vitesse réelle
- Artefacts de compression vidéo : comportement prévisible mais difficile
à simuler correctement
- Latence de l'autofocus : temps de mise au point caractéristique
- Variations d'exposition automatique : adaptation à la luminosité ambiante
- Ces comportements sont intrinsèques au matériel et difficiles à reproduire
fidèlement dans une simulation
Analyse temps réel et/ou post-processing :
- L'identification des éléments de référence peut être effectuée en temps réel
(feedback immédiat) ou a posteriori (analyse plus approfondie)
- Le post-processing permet des algorithmes plus lourds : reconstruction 3D
complète, vérification de cohérence géométrique exhaustive
E) CORRÉLATION INERTIELLE, POSITIONNELLE ET VISUELLE :
Technique exploitant la corrélation entre les données des capteurs inertiels
et positionnels (incluant, sans s'y limiter : accéléromètre, gyroscope,
orientation, GPS, GNSS, capteurs ToF 3D, lidar, ou tout capteur futur capable
de fournir des données de position, déplacement ou inertie) et l'inférence
de mouvement dérivée des images capturées. Compatible avec les configurations
�mono-dispositif et multi-dispositifs.
Principe fondamental :
- Le dispositif enregistre ses mouvements et/ou sa position via les capteurs
inertiels et positionnels (IMU, GPS, GNSS, ToF, lidar, ou équivalent)
- Le système infère le mouvement/déplacement du dispositif à partir des images
capturées, et/ou détermine ce qui est attendu visuellement à partir des
données inertielles/positionnelles, par tout moyen technique approprié
(incluant, sans s'y limiter : algorithmes de vision par ordinateur,
apprentissage automatique, intelligence artificielle, simulation numérique,
ou toute méthode computationnelle présente ou future)
- Ces sources de données (inertielles, positionnelles et visuelles) doivent
être cohérentes entre elles
- Le système peut également inférer la distance et position spatiale des
éléments de la scène (objets, surfaces, sujet) à partir des images capturées,
et vérifier la cohérence de cette géométrie avec les données des capteurs
de profondeur/distance si disponibles, ou par recoupement multi-perspectives
- Toute incohérence entre le mouvement/position mesuré par les capteurs, le
mouvement apparent dans les images, et/ou la géométrie spatiale inférée de
la scène, constitue un indicateur de falsification
Difficulté pour un attaquant :
- Un simulateur devrait non seulement générer des images convaincantes, mais
aussi simuler les données inertielles et positionnelles de manière
parfaitement cohérente avec les mouvements visuels rendus
- Cette simulation multi-sources synchronisée (visuel + inertiel + positionnel)
est extrêmement difficile à réaliser de manière convaincante
- Les micro-variations, vibrations, et mouvements subtils captés par les
capteurs sont particulièrement difficiles à reproduire en cohérence avec
le visuel et les données positionnelles
Avantage asymétrique temporel :
- L'attaquant doit simuler en TEMPS RÉEL (contrainte forte de latence)
- Le serveur/vérificateur peut analyser les données A POSTERIORI sans
contrainte de temps réel
- Pour les opérations à enjeux élevés, la validation peut être asynchrone
- Le post-processing permet des analyses plus profondes : reconstruction 3D,
vérification de cohérence géométrique complète, corrélation fine des
micro-mouvements
- Cette asymétrie temporelle constitue un avantage structurel majeur du système
Sources d'inférence de mouvement visuel (incluant, sans s'y limiter) :
- Changements de perspective géométrique entre frames
- Parallaxe (déplacement différentiel objets proches/lointains)
- Flux optique (optical flow)
- Transformations affines/projectives entre images successives
- Variations de la zone visible de la scène
- Décalages temporels inter-capteurs (en configuration multi-caméras)
F) TECHNIQUES ACOUSTIQUES AVANCÉES ET CORRÉLATION MULTI-MICROPHONES :
L'utilisation corrélée de plusieurs microphones répartis sur des dispositifs
�distincts, dans le cadre d'un processus de vérification d'authenticité ou de
détection de falsification, constitue une composante du présent protocole.
Les techniques suivantes sont exploitables individuellement ou en combinaison.
Effet Doppler comme facteur de vérification :
- Un dispositif émet un signal sonore continu (ton pur ou séquence connue)
pendant que l'utilisateur effectue des mouvements (rotation, déplacement,
gesticulation)
- Un dispositif fixe (ou tenu différemment) capte le décalage de fréquence
Doppler proportionnel à la vitesse relative de la source
- Le dispositif émetteur, dans le même référentiel que la source, ne perçoit
PAS ce décalage Doppler sur son propre microphone
- Cette asymétrie entre ce que capte le dispositif mobile vs le dispositif
fixe est vérifiable et difficile à simuler
- La corrélation avec les données inertielles et visuelles de mouvement
renforce la vérification
TDOA (Time Difference of Arrival) et localisation spatiale :
- Le son émis par l'utilisateur (voix) ou par un dispositif arrive à des
instants différents sur chaque microphone selon les distances
- Ces différences temporelles permettent de trianguler la position de la
source sonore
- La position inférée doit être cohérente avec la position visuelle observée
depuis les différentes caméras
- Toute incohérence entre position acoustique et position visuelle constitue
un indicateur de falsification
Ombre acoustique et obstruction :
- Lorsque l'utilisateur se déplace, son corps peut bloquer ou atténuer
certains chemins de propagation sonore entre dispositifs
- Ces patterns d'obstruction sont prévisibles géométriquement et vérifiables
- La corrélation entre l'ombre acoustique observée et la position visuelle
de l'utilisateur constitue un facteur de vérification
Signature acoustique environnementale (Room Impulse Response) :
- Chaque espace physique possède une empreinte acoustique unique (réverbération,
échos, absorption fréquentielle)
- Cette empreinte doit être cohérente sur tous les microphones présents dans
le même espace
- Une simulation devrait reproduire cette empreinte de manière cohérente sur
plusieurs flux audio simultanés
Corrélation de phase et cohérence spectrale :
- Les signaux captés par différents microphones présentent des décalages de
phase prévisibles selon la géométrie
- L'analyse de cohérence spectrale entre microphones permet de vérifier la
co-localisation des dispositifs
Objet externe comme source sonore :
- L'objet de vérification dédié (décrit dans les autres sections) peut
également servir de source d'émission sonore commandée
- Tout objet introduit dans la scène peut être utilisé comme source de son
� (manipulation, choc, vibration) dont les caractéristiques acoustiques
sont analysables depuis plusieurs microphones
- La cohérence entre le son capturé et le geste visible de l'utilisateur
(lip-sync, bruits d'interaction, manipulation d'objets) renforce la
vérification
Analyse vocale multi-perspectives :
- La voix de l'utilisateur, captée depuis plusieurs microphones à distances
différentes, présente des caractéristiques d'atténuation et de réverbération
prévisibles
- La distance inférée acoustiquement doit correspondre à la distance visuelle
estimée depuis les caméras
- Les variations d'intensité lors des mouvements de l'utilisateur doivent
être cohérentes avec les mouvements observés visuellement
G) DÉTECTION D'ALTÉRATION PARTIELLE DU FLUX (DEEPFAKE LOCALISÉ) :
Problème ciblé :
Un scénario d'attaque sophistiqué consiste à utiliser un flux de caméra
majoritairement authentique, mais où seule une portion de l'image est altérée
ou générée artificiellement (typiquement : le visage de l'utilisateur). Dans
ce cas, l'environnement, l'éclairage, les objets et le contexte général sont
réels, rendant la détection plus difficile car la majorité du flux est
authentique.
Contre-mesures intrinsèques au protocole (à titre illustratif - ces protections
découlent naturellement des éléments techniques généralement décrits dans le
présent document) :
1) Rétroaction visuelle (récursion / mise en abyme) :
La boucle de rétroaction optique rend cette attaque particulièrement
difficile en temps réel : l'attaquant doit altérer le visage non seulement
dans le flux original, mais également dans TOUTES les rediffusions et
reflets de ce flux. Chaque niveau de récursion multiplie la complexité
de l'altération cohérente.
2) Défis de dissimulation et d'exposition multi-angles :
- Défis demandant de cacher momentanément le visage (main devant le visage,
rotation de tête, passage d'un objet) : les transitions et cas limites
révèlent les artefacts du deepfake
- Défis exposant le visage simultanément sous plusieurs angles (via
plusieurs dispositifs ou via surface réfléchissante) : l'altération
doit être géométriquement cohérente sur TOUTES les perspectives en
même temps
- Variante avancée : demander à l'utilisateur de passer un appareil avec
écran devant son visage, face à une autre caméra. Sur cet écran, afficher
des patterns visuels conçus pour confondre les modèles d'altération :
* Fragments de visages (potentiellement celui de l'utilisateur, avec
légères déformations)
* Patterns adversariaux anti-IA (à définir/développer, pouvant ou non
relever de la présente invention)
� * Formes et textures conçues pour perturber la détection/génération
faciale automatisée
Dans ce scénario, tout modèle ou technologie d'altération tentant de
créer un faux flux vidéo pour remplacer/altérer/simuler ce qui est
capturé par la caméra faisant face à l'utilisateur serait confronté
à ces éléments visuels perturbateurs, rendant la génération cohérente
d'un visage de remplacement significativement plus difficile.
3) Chaîne de capture / Pont de perspective comme vérification d'intégrité :
Cette technique devient particulièrement pertinente ici. Le dispositif
capturant (ex: téléphone) est lui-même visible depuis le second dispositif
(ou via surface réfléchissante). Cela permet de confirmer :
- L'intégrité physique relative de l'appareil (un iPhone qui s'annonce
comme tel, sans matériel externe branché dessus, sans câbles suspects)
- La réalité du modèle d'appareil utilisé
- L'absence de dispositif d'interception ou de modification externe visible
4) Double altération requise avec transit serveur :
Pour illustrer : dans un scénario de chaîne de capture où la caméra
arrière est pointée vers le visage de l'utilisateur, et où l'écran avant
du même appareil rediffuse ce flux après passage par le serveur (visible
par un second appareil).
Lorsque le flux transite ainsi par le serveur avant rediffusion sur le
même appareil, l'attaquant doit compromettre :
- La capture initiale (altérer le visage dans le flux initialement capturé)
- ET le flux retour du serveur (altérer à nouveau le visage dans le flux
rediffusé, sachant que le serveur peut avoir injecté des modifications)
Cette double altération doit se faire en temps réel, sur un appareil dont
la présence physique est confirmée visuellement, et qui n'a pas lui-même
la puissance de calcul nécessaire pour effectuer cette simulation et
double altération en direct.
De plus, le serveur peut renvoyer un flux partiellement altéré de manière
imprévisible, rendant le remplacement du visage avant affichage impossible
à anticiper.
$ cat > 7. EXEMPLE ILLUSTRATIF — ANALYSE DE COMPLEXITÉ
EXEMPLE ILLUSTRATIF - ANALYSE DE LA COMPLEXITÉ D'ATTAQUE :
Pour illustrer la profondeur de protection, considérons le scénario d'attaque
suivant et ses implications :
Configuration de l'attaque (hypothétique) :
Un attaquant tente d'utiliser un téléphone réel visible dans la scène, mais
dont le flux vidéo est intercepté et altéré par un équipement externe (rig
de simulation/altération) avant d'être renvoyé vers les destinations.
Flux de données nécessaires à l'attaquant (minimum) :
- Stream 1 : Caméra du téléphone → Rig externe de simulation/altération
- Stream 2 : Rig → Téléphone (flux altéré à afficher sur l'écran)
- Stream 3 : Téléphone → Serveur (flux altéré envoyé au serveur)
�- Stream 4 : Serveur → Téléphone (flux retour, potentiellement ré-altéré)
Dans certaines configurations, ce sont 4 streams vidéo haute qualité, en
temps réel, avec latence minimale. Même si certains streams peuvent être
optimisés ou combinés (ex: si la simulation est bien faite, le retour
serveur pourrait être rerouté, voire le téléphone et/ou notre application
pourrait être entièrement virtualisé dans un rig externe, le téléphone
physique visible dans la scène ne servant plus que d'interface ou de
coquille vide affichant les sorties du rig), un MINIMUM de 2 streams sans
fil haute qualité reste nécessaire.
Contraintes physiques révélatrices :
- Les défis techniques imposent des mouvements libres et amples de l'appareil
- Un câble physique reliant l'appareil à un rig externe :
* Serait visible par le dispositif de vérification (sauf altération d'image)
* Gênerait les mouvements amples demandés par les défis
* Les tests doivent être conçus en prenant en compte cette contrainte
(mouvements circulaires, retournements complets, etc.)
- Une connexion sans fil implique des émissions radio détectables
Détection par analyse radiométrique :
Si d'autres dispositifs contrôlés par le vérificateur ont accès à l'analyse
radiométrique de l'environnement (scan WiFi, Bluetooth, spectres radio), ils
peuvent détecter :
- Des flux de données suspects en cours, au-delà des communications attendues
- Des volumes de trafic WiFi/radio anormaux pour la situation
- Des patterns de communication non expliqués par la configuration déclarée
Variante avancée - corrélation contenu/bande passante :
Le serveur peut volontairement introduire des variations de complexité visuelle
dans le flux rediffusé (ex: flash blanc, écran uniforme, puis scène complexe).
Une image uniforme compresse significativement mieux qu'une image complexe
(principe d'entropie exploité par les codecs vidéo). Le profil de bande
passante attendu "sur le canal sans fil" (over the air) devient donc
prédictible et corrélé au contenu affiché.
Cette évaluation peut également être effectuée de manière routinière, sans
introduire de complexité ou simplicité artificielle, en comparant simplement
le profil de bande passante observé dans l'environnement radio avec celui
attendu pour le flux connu. Certes, un attaquant pourrait utiliser un stream
à débit fixe ou aléatoire pour contourner cette mesure - il ne s'agit que
d'une piste parmi d'autres, non d'une protection absolue.
Note : un environnement radio suffisamment propre peut être posé comme
condition préalable au test, au même titre qu'une latence suffisamment faible
ou des écrans/caméras de qualité décente.
Si l'attaquant utilise des streams parallèles, la variation de débit de ses
flux ne correspondrait pas au profil attendu. La cohérence de ces flux,
l'effacement des harmoniques vis-à-vis de l'environnement radiométrique qu'il
nous transmet (lui-même potentiellement falsifié), serait significativement
plus difficile à simuler pour l'attaquant qu'à vérifier de notre côté.
�Même si ces flux sont chiffrés, le VOLUME et la PRÉSENCE des communications
sont détectables. L'attaquant devrait donc également :
- Masquer ses propres signaux radio des scans environnementaux
- Laisser visible uniquement les signaux "normaux" attendus
- Cacher les harmoniques et signatures radio de son équipement
- Le tout en temps réel, sans latence perceptible
Note sur l'expérience utilisateur :
Du point de vue de l'utilisateur, ce test reste relativement simple sur le
plan physique (tenir un appareil, effectuer quelques mouvements). Les
contraintes en termes de durée et d'attention sont largement justifiables
pour des opérations à enjeux élevés : un utilisateur acceptera volontiers
de consacrer 30 secondes, voire 3 minutes, à un tel processus de vérification
si ses économies d'une vie ou une transaction critique sont en jeu.
Conclusion de l'exemple :
La combinaison de la vérification visuelle de l'intégrité physique de
l'appareil, du transit serveur avec double altération requise, des contraintes
de mouvement libre, et de l'analyse radiométrique potentielle, rend ce type
d'attaque par altération partielle d'une complexité prohibitive, nécessitant
un niveau de sophistication et de ressources disproportionné par rapport à
la vérification.
H) OBJETS SECONDAIRES DE VÉRIFICATION :
Le protocole peut intégrer des objets physiques comme facteurs de vérification
additionnels. Ces objets constituent un facteur d'authentification supplémentaire
(quelque chose que l'utilisateur POSSÈDE), complémentaire aux facteurs biométriques
et comportementaux déjà décrits.
H.1) Objets du quotidien (rappel - ancres d'entropie) :
Tel que décrit précédemment dans le présent document, des objets ordinaires
(bouteille d'eau, tissu, objets déformables, liquides, ou tout autre objet
présentant un comportement physique observable) peuvent servir d'ancres
d'entropie dont le comportement chaotique est vérifié sous plusieurs angles.
Cette catégorie inclut également des objets génériques disponibles dans le
commerce, non conçus pour l'authentification mais présentant des comportements
physiques complexes et difficiles à simuler, tels que (non limitatif) :
- Sabliers avec dynamique de particules
- Boules à neige ou globes avec particules en suspension
- Objets lumineux avec comportements variables
- Jouets ou gadgets avec mouvements chaotiques
- Tout objet présentant un comportement physique observable et imprévisible
Cette catégorie est mentionnée ici pour mémoire et complétude.
H.2) Objets associés au compte - Dédiés ou non à l'authentification :
�Le protocole peut intégrer tout objet physique, dédié ou non à
l'authentification, comme facteur de vérification complémentaire. L'objet
est associé au compte utilisateur et sa possession constitue une preuve
d'identité, utilisable seule ou en combinaison avec d'autres facteurs.
A) OBJETS DÉDIÉS À L'AUTHENTIFICATION :
Accessoires physiques conçus pour l'authentification, fournis à l'utilisateur
ou acquis séparément. Formes possibles (non limitatif) : tag, porte-clés,
carte, bracelet, bijou, badge, ou tout autre objet portable.
Tag passif (technologie existante, intégrée au protocole) :
- Puce RFID, NFC, ou équivalent, sans alimentation propre
- L'utilisateur présente ou scanne l'objet pendant la vérification
- Vérifie la possession physique d'un objet associé au compte
- Lecture par proximité (near field) ou par capture visuelle (QR code, marquage)
Tag actif avec génération de code dynamique (technologie existante, intégrée) :
- Puce avec électronique embarquée et source d'alimentation
- Génère une valeur temporelle (TOTP - Time-based One-Time Password, ou
équivalent) basée sur une clé secrète partagée avec l'entité de vérification
- L'objet affiche ou transmet un code qui change périodiquement
- Similaire aux tokens d'authentification existants (RSA SecurID ou équivalents)
B) OBJETS NON DÉDIÉS - OBJETS DU QUOTIDIEN ASSOCIÉS AU COMPTE :
L'utilisateur peut associer à son compte des objets pré-existants, non conçus
pour l'authentification mais contenant des données fixes et lisibles. Ces
objets servent de facteur de vérification complémentaire.
Exemples d'objets associables (non limitatif) :
- Carte bancaire : numéro (PAN) lisible par NFC ou par capture visuelle (OCR)
- Badge d'immeuble ou d'entreprise : identifiant unique (UID) lisible par NFC/RFID
- Carte de transport : Navigo, Oyster, ou équivalent, avec UID unique
- Clé de voiture connectée : identifiant Bluetooth ou NFC
- Carte de fidélité avec puce ou code-barres
- Passeport ou carte d'identité avec puce NFC (données publiques)
- Tout autre objet contenant un identifiant fixe lisible électroniquement
ou visuellement
Données exploitables (non limitatif) :
- Identifiant unique (UID) de puce RFID/NFC
- Numéro de série, numéro de carte, ou autre donnée statique
- Code-barres, QR code, ou marquage visuel
- Caractéristiques physiques distinctives (forme, couleur, usure)
- Toute donnée fixe permettant d'identifier l'objet de manière unique
C) COMBINAISONS ET USAGES :
- Tag dédié + objet non dédié en combinaison
- Caractéristiques physiques vérifiables visuellement (forme, couleur,
marquages, hologrammes) capturées par les sources de capture multi-angles
�- Toute combinaison des éléments ci-dessus
D) OBJETS DE CONFIANCE POUR RÉCUPÉRATION DE COMPTE :
L'utilisateur peut désigner un ou plusieurs objets (dédiés ou non) comme
"objets de confiance" pour la récupération de compte. En cas de perte
d'accès (téléphone perdu, oubli de mot de passe, etc.), la possession de
l'objet de confiance, combinée à une vérification biométrique réalisée
depuis n'importe quel appareil (y compris un appareil ne lui appartenant
pas), permet de rétablir l'accès au compte.
Cas d'usage :
- L'utilisateur confie un objet de confiance à un proche (ami, famille)
- L'utilisateur dépose un objet dans un lieu sécurisé (coffre, casier)
- En cas de besoin, l'utilisateur récupère l'objet et prouve son identité
depuis un appareil tiers (téléphone d'un ami, borne publique, etc.)
par : objet de confiance + vérification biométrique live
Cette approche offre une alternative aux méthodes de récupération
traditionnelles (email, SMS, questions secrètes) avec une sécurité renforcée.
Variantes et évolutions futures :
- Objet de confiance implanté : l'objet peut être un implant sous-cutané,
dentaire, ou autre, éliminant le risque de perte ou d'oubli. L'utilisateur
porte en permanence son facteur de récupération.
- Récupération sans objet physique (évolution technologique) : si les moyens
technologiques le permettent, la vérification biométrique et physiologique
seule (sans objet de confiance) pourrait suffire à garantir l'identité de
l'utilisateur en scénario de récupération. Cette configuration est couverte
par le présent protocole, où les marqueurs biométriques et physiologiques
(empreinte faciale, vocale, comportementale, rétinienne, ou tout autre
marqueur identifiant de manière unique l'individu) constituent le facteur
de récupération, sans nécessiter d'objet physique externe.
Le protocole couvre ainsi un spectre allant de :
- Objet externe + biométrie (configuration actuelle)
- Objet implanté + biométrie (configuration intermédiaire)
- Biométrie seule (configuration future, si technologiquement suffisante)
Note : Les technologies de tags passifs et de génération TOTP constituent un
état de l'art connu. Leur intégration dans le présent protocole de vérification
multi-dispositifs est décrite à titre d'option complémentaire, sans revendication
d'une possibilité de nouveauté sur ces technologies en elles-mêmes.
H.3) Objets physiques intelligents à comportement réactif unique :
$ cat > 8. REVENDICATIONS DE CONCEPTS
REVENDICATIONS DE CONCEPTS - TIERS INDÉPENDANTS ET COMBINABLES :
La présente invention couvre les concepts suivants, revendiqués séparément
et en toute combinaison. Chaque tier constitue une invention en soi,
�applicable dans le contexte du présent protocole unifié ou indépendamment.
L'objet peut être connecté (Bluetooth, NFC, WiFi, filaire, ou autre) ou
non connecté. L'objet peut être activable/désactivable par l'utilisateur
ou fonctionner de manière permanente.
TIER A - COMPORTEMENT RÉACTIF INTERACTIF (indépendamment de toute clé) :
Objet physique caractérisé par un comportement réactif à des stimuli
externes, où la réaction constitue un élément de vérification observable.
L'interactivité en soi (et non un simple passage ou relais de signal)
constitue le cœur de ce concept.
Stimuli d'entrée possibles (non limitatif) :
- Optiques : lumière ambiante, flash, patterns lumineux, laser
- Acoustiques : son, ultrasons, patterns sonores
- Électromagnétiques : signal radio, NFC, Bluetooth, WiFi
- Data : commandes numériques via connexion
- Physiques : température, pression, mouvement, orientation
- Tout autre stimulus mesurable par un système ou un capteur
Réactions de sortie possibles (non limitatif) :
- Lumineuse : LED, écran, changement de couleur
- Sonore : bip, mélodie, pattern acoustique
- Vibratoire : moteur haptique
- Mécanique : mouvement, rotation, déploiement
- Électromagnétique : émission radio, NFC
- Thermique : changement de température
- Toute autre réaction observable ou mesurable
Ce qui distingue ce concept de l'état de l'art (TOTP/SecurID) :
L'objet ne répond pas simplement "quelle heure est-il" mais "qu'ai-je
perçu" - la réaction dépend de stimuli EXTERNES et non uniquement du temps.
$ cat > 9. MODES DE COMMUNICATION ET INTERACTION
MODES DE COMMUNICATION ET D'INTERACTION (non limitatif) :
L'objet peut être communiquant et interactif par TOUT moyen, incluant :
Sans fil :
- Bluetooth (Classic, LE, Mesh), WiFi, Zigbee, Z-Wave, Thread
- NFC, RFID (toute fréquence), UWB (Ultra-Wideband)
- Infrarouge, optique (Li-Fi, communication par lumière visible)
- Cellulaire (LTE-M, NB-IoT, 5G, ou tout réseau mobile)
- LoRa, Sigfox, ou tout protocole LPWAN
- Propriétaire ou standard, existant ou futur
Filaire :
- USB, série, I2C, SPI, ou tout bus de communication
- Ethernet, fibre optique
- Audio jack (communication par signal audio)
- Contact électrique direct
- Tout autre moyen de connexion physique
�Passif (sans alimentation propre pour la communication) :
- RFID passif, NFC passif
- Réflexion/modulation de signal externe
- Communication optique par réflexion ou absorption
Unidirectionnel ou bidirectionnel :
- L'objet peut recevoir uniquement (capteur passif)
- L'objet peut émettre uniquement (beacon)
- L'objet peut recevoir ET émettre (communication bidirectionnelle)
Topologie et portée de communication :
- Avec le dispositif principal uniquement (communication locale, directe)
- Avec une entité distante via internet (communication globale)
- Entre objets, formant un réseau maillé (mesh) autonome
- Via des relais ou passerelles intermédiaires
- Toute combinaison de ces modes
Les objets peuvent ainsi former un réseau autonome (LoRa mesh, Bluetooth
Mesh, Zigbee mesh, ou tout autre protocole maillé), communiquant entre eux
indépendamment du dispositif principal, et/ou relayant des informations
vers l'entité de vérification.
L'interactivité couvre toute forme d'échange d'information ou de réaction
à un stimulus, quel que soit le médium physique utilisé, quelle que soit
la topologie du réseau, et quelle que soit la portée (locale ou globale).
AUTONOMIE, ALIMENTATION ET FONCTIONS ÉTENDUES DES OBJETS :
Niveau d'autonomie (non mutuellement exclusifs) :
- Objet entièrement dépendant du dispositif principal (esclave)
- Objet semi-autonome : peut fonctionner seul mais se synchronise
- Objet entièrement autonome : fonctionne indépendamment, prend des
décisions locales, communique de sa propre initiative
- Autonomie variable selon le contexte, l'alimentation, ou la connectivité
- Tout niveau intermédiaire ou combinaison
L'objet peut être conçu comme un nœud intelligent capable de :
- Recevoir, stocker, traiter et retransmettre des messages
- Prendre des décisions locales (logique embarquée, règles, IA)
- Initier des communications (pas seulement répondre)
- Interagir avec d'autres objets sans passer par le dispositif principal
- Former un réseau pair-à-pair (P2P) décentralisé avec d'autres objets
- Relayer des informations entre objets non directement connectés
- Maintenir un état persistant entre les sessions
Fonctions propres (au-delà de l'authentification) :
- Affichage d'informations (heure, notifications, état, messages)
- Interaction utilisateur (boutons, écran tactile, gestes, voix)
- Capteurs environnementaux (température, lumière, humidité, GPS, etc.)
- Actuateurs (vibration, son, lumière, mouvement)
- Stockage de données local (mémoire persistante)
- Calcul et traitement local (microcontrôleur, processeur, FPGA)
� - Toute fonction utilitaire, ludique, ou décorative
- Fonctions multiples combinées dans un même objet
L'objet peut avoir une fonction primaire autre que l'authentification
(montre, bijou, jouet, outil, décoration, etc.) tout en participant
au système de vérification comme fonction secondaire ou intégrée.
Interface utilisateur embarquée (optionnelle) :
- Écran (LCD, OLED, e-ink, LED, ou tout autre affichage)
- Entrées utilisateur : boutons, molette, surface tactile, gestes
- Retour haptique : vibration, feedback tactile
- Audio : haut-parleur, buzzer, synthèse vocale
- Microphone et reconnaissance vocale
- Indicateurs visuels (LEDs, changement de couleur)
- Toute autre forme d'interface homme-machine
- Sans interface visible (objet discret ou invisible)
Sources d'alimentation (non limitatif) :
- Pile unique non rechargeable (pile bouton, AAA, ou autre)
- Batterie rechargeable (lithium, autre chimie, ou future)
- Recharge par induction (Qi, propriétaire, ou autre standard)
- Recharge solaire (cellule photovoltaïque intégrée)
- Recharge par mouvement (cinétique, piézoélectrique)
- Récupération d'énergie ambiante (thermique, RF, vibration)
- Alimentation filaire (USB, contact, ou autre)
- Alimentation passive (énergie fournie par le lecteur NFC/RFID)
- Supercondensateur, pile à combustible, ou toute autre technologie
- Combinaison de plusieurs sources (hybride)
- Sans alimentation propre (objet entièrement passif)
- Toute source d'énergie existante ou future
Durée de vie et maintenance :
- Objet jetable (usage unique ou durée limitée)
- Objet à pile remplaçable par l'utilisateur
- Objet rechargeable par l'utilisateur
- Objet hermétique à durée de vie longue (10+ ans)
- Objet réparable, évolutif, ou mis à jour
- Toute durée de vie et politique de maintenance
INTÉGRATION DANS DOCUMENTS OFFICIELS ET PARTENARIATS INSTITUTIONNELS
:
La technologie décrite (comportement réactif unique, identifiant avec secret
cryptographique, paramètres variables, ou toute combinaison et/ou déclinaison) peut être
intégrée dans des documents officiels existants ou futurs, incluant sans
s'y limiter :
Documents d'identité :
- Carte nationale d'identité (CNI, ID card)
- Passeport (biométrique ou non)
- Permis de conduire
- Carte de séjour, titre de séjour
�- Carte d'électeur, carte vitale, carte professionnelle
- Tout document officiel délivré par une autorité publique
Autres documents à puce :
- Carte bancaire (débit, crédit, prépayée)
- Badge d'accès professionnel ou institutionnel
- Carte de transport (métro, bus, train, ou équivalent)
- Carte étudiante, carte de bibliothèque
- Carte de fidélité à puce
- Tout support physique contenant une puce électronique
Mode d'intégration :
- Puce NFC/RFID existante enrichie du comportement PICAD
- Puce dédiée ajoutée au document existant
- Nouveau format de document intégrant nativement la technologie
- Mise à jour du firmware de puces existantes (si techniquement possible)
- Application logicielle sur puce à microprocesseur (JavaCard, etc.)
- Toute autre méthode d'intégration matérielle ou logicielle
La puce embarquée dans le document peut ainsi :
- Répondre de manière unique et non reproductible aux stimuli
- Prouver son authenticité via le protocole PICAD
- Participer au réseau d'objets comme nœud de confiance
- Combiner l'identité officielle avec l'authentification PICAD
Modèles de partenariat :
- Intégration gouvernementale : partenariat avec États ou administrations
pour l'émission de documents officiels compatibles PICAD
- Intégration bancaire : partenariat avec émetteurs de cartes bancaires
- Intégration institutionnelle : entreprises, universités, organisations
- Intégration tierce : tout partenaire souhaitant ajouter la fonctionnalité
à ses propres documents ou dispositifs
- Licence technologique : fourniture de la technologie à des tiers pour
intégration dans leurs propres produits
- Standard ouvert ou propriétaire, selon les accords
Cette intégration permet de transformer tout document officiel existant
en facteur d'authentification PICAD, sans nécessiter de dispositif
supplémentaire dédié, et en bénéficiant de la confiance institutionnelle
associée au document d'origine.
AUTHENTIFICATION SÉLECTIVE ET PRÉSERVATION DE LA VIE PRIVÉE :
Le système permet une authentification à divulgation partielle ou nulle :
prouver des attributs (âge, appartenance, possession d'objet valide) sans
révéler l'identité complète, via des techniques cryptographiques telles que
preuves zero-knowledge, signatures aveugles, credentials anonymes, ou toute
autre méthode existante ou future permettant la vérification sans divulgation.
RÉVOCATION ET GESTION DES OBJETS COMPROMIS :
Le système permet la révocation d'objets perdus, volés, ou compromis, avec
� propagation via l'entité centrale et/ou le réseau mesh (gossip protocol),
avec ou sans connexion internet. La révocation peut être permanente,
temporaire, ou contextuelle, déclenchée manuellement ou automatiquement.
LOCALISATION ET RECHERCHE D'OBJETS VIA LE RÉSEAU :
Le réseau maillé d'objets peut servir à localiser des objets perdus ou
volés de manière collaborative et décentralisée : les objets à proximité
relaient l'information vers le propriétaire, avec chiffrement de bout en
bout préservant la vie privée. Applications : retrouver un objet, alertes
de distance/géofencing, ou audit de localisation.
TIER B - IDENTIFIANT UNIQUE ASSOCIÉ À SECRET CRYPTOGRAPHIQUE :
Objet physique caractérisé par :
- Un identifiant unique lisible (QR code, numéro de série, marquage visuel,
puce NFC/RFID, ou tout autre moyen d'identification)
- Un secret cryptographique (clé) associé à cet identifiant, connu de
l'entité de fabrication et/ou de vérification
- Le secret n'est PAS stocké de manière lisible sur l'objet (contrairement
à l'identifiant)
L'association identifiant-visible ↔ secret-caché permet à une entité tierce
de vérifier l'authenticité de l'objet sans que le secret soit exposé.
Ce tier est revendiqué INDÉPENDAMMENT de tout comportement réactif :
l'objet peut être entièrement passif (simple support d'identifiant) tout
en bénéficiant de l'association avec un secret côté serveur.
TIER C - CODE SOURCE, INSTRUCTIONS DE RÉACTION, ET/OU PARAMÈTRES
VARIABLES :
Objet physique dont le comportement est déterminé par un ou plusieurs des
éléments suivants, pouvant varier d'un exemplaire à l'autre.
IMPORTANT - Secret ou non-secret : Chacun des éléments ci-dessous (C.1, C.2,
C.3) peut être secret OU non-secret (public, connu, peu de variantes). Le
concept est couvert indépendamment du caractère secret ou non des éléments.
La protection vient de l'unicité par exemplaire et de la connaissance par
l'entité de vérification, non du secret en soi.
C.1) Code source / Firmware :
- Le code exécutable (firmware, logiciel embarqué) diffère entre exemplaires
- Peut être statique (fixé à la fabrication) ou dynamique (mis à jour)
- Chaque exemplaire exécute une version ou variante différente du code
C.2) Instructions de réaction / Logique comportementale :
- Les règles définissant comment l'objet réagit aux stimuli
- Peut être encodé dans le code source OU dans des données séparées
- Exemple : "si flash détecté pendant >100ms, émettre séquence X"
- Les instructions peuvent être secrètes ou publiques
�C.3) Paramètres de comportement :
- Valeurs numériques, seuils, délais, séquences, tables de correspondance
- Peuvent être stockés séparément du code source
- Peuvent être secrets OU non-secrets (publics, peu de variantes, connus)
- Peuvent être dérivés d'autres données (heure, secret, etc.)
Combinaisons C.1 + C.2 + C.3 :
- Code unique + instructions communes + paramètres communs
- Code commun + instructions uniques + paramètres communs
- Code commun + instructions communes + paramètres uniques
- Toute autre combinaison partielle ou totale
L'entité de fabrication/vérification connaît le code, les instructions,
et/ou les paramètres de chaque exemplaire, permettant de prédire et
vérifier son comportement.
TIER D - COMBINAISONS :
Les tiers A, B et C peuvent être combinés et intégrés au protocole PICAD
de toute manière :
- A seul : objet réactif sans identification unique
- B seul : identifiant avec secret, sans comportement spécial
- C seul : comportement unique, sans identification formelle
- A + B : réaction vérifiable via identifiant connu du serveur
- A + C : réaction unique par exemplaire
- B + C : identifiant + comportement unique
- A + B + C : réaction unique, identifiable, avec secret crypto
La combinaison A + B + C offre le niveau maximal de sécurité :
Réponse = f(stimuli_externes, clé_secrète, code_unique, timing)
Pour un même stimulus, chaque objet produit une réponse différente,
et seule l'entité connaissant les paramètres de CET objet peut vérifier.
L'objet peut intégrer un mécanisme d'autodestruction ou de verrouillage
en cas de tentative de rétro-ingénierie.
$ cat > 10. EXEMPLES ILLUSTRATIFS DE MISE EN ŒUVRE
EXEMPLES ILLUSTRATIFS DE MISE EN ŒUVRE :
Les exemples suivants illustrent des configurations possibles sans limiter
la portée de la revendication ci-dessus.
Exemple 1 - Objet avec photosenseur et émetteur lumineux :
- L'objet intègre un photosenseur, un émetteur lumineux, et une puce crypto
- L'objet capte la lumière ambiante ou les flashs émis par un dispositif
- L'objet émet une réponse lumineuse calculée selon :
Réponse = f(lumière_reçue, timing_interne, clé_privée)
- La réponse est captée par une ou plusieurs sources de capture
- L'entité de vérification, connaissant la clé, vérifie la cohérence
Exemple 2 - Objet connecté avec réponse multi-canaux :
�- L'objet se connecte à un dispositif via Bluetooth, Zigbee, NFC, connexion
filaire, ou tout autre protocole de communication
- L'entité de vérification envoie une valeur X via le canal de données
- Simultanément, le dispositif émet des stimuli physiques (flash, son, etc.)
- L'objet calcule sa réponse selon :
Réponse = f(valeur_X, stimuli_physiques, timing, clé_privée)
- La multiplicité des canaux d'entrée rend la simulation extrêmement difficile
Exemple 3 - Objet avec capteurs environnementaux :
- L'objet intègre des capteurs additionnels : thermomètre, accéléromètre,
hygromètre, ou tout autre capteur de grandeur physique
- La réponse intègre ces mesures environnementales :
Réponse = f(données_capteurs, signal_reçu, timing, clé_privée)
- Un attaquant devrait reproduire non seulement les signaux mais aussi
l'environnement physique exact
PRODUCTION DE MASSE AVEC UNICITÉ :
Chaque exemplaire de l'objet est fabriqué avec :
- Un identifiant unique visible (QR code, numéro de série, marquage, ou autre)
- Une clé cryptographique unique générée lors de la fabrication
- Optionnellement : un code source ou firmware spécifique à cet exemplaire
L'entité productrice maintient une base de données associant chaque
identifiant à sa clé et ses paramètres de comportement. Lors de la
vérification, l'objet est identifié (par scan, lecture NFC, ou autre),
permettant à l'entité de vérification de connaître les paramètres attendus.
$ cat > 11. MODES D'IDENTIFICATION DE L'OBJET
MODES D'IDENTIFICATION DE L'OBJET (non limitatif) :
- Capture visuelle (QR code, marquage, forme distinctive)
- Lecture sans contact (NFC, RFID)
- Connexion radio (Bluetooth, Zigbee, WiFi, ou tout protocole)
- Connexion filaire
- Tout autre moyen d'identification électronique ou visuel
DIFFICULTÉ DE SIMULATION :
Pour simuler un tel objet, un attaquant devrait :
- Avoir extrait la clé cryptographique unique de CET objet spécifique
- Avoir rétro-ingénieré le comportement exact (firmware/code source)
- Reproduire en temps réel la réponse correcte aux stimuli imprévisibles
- Sur plusieurs angles de capture simultanés
Cette combinaison de contraintes rend la contrefaçon prohibitivement complexe.
H.4) Détection de continuité de présence pour l'authentification :
REVENDICATION PRINCIPALE - L'APPLICATION EN SOI :
La présente invention revendique l'utilisation de toute méthode de détection
de continuité physique, de proximité, ou de présence entre un dispositif et
le corps d'un utilisateur, comme facteur d'authentification, de maintien
�d'un état d'authentification, ou de vérification d'identité.
Cette revendication couvre l'APPLICATION (l'usage pour l'authentification)
indépendamment de la méthode de détection employée, que celle-ci soit connue
à ce jour ou développée ultérieurement.
Note : La détection de présence sur montres connectées et téléphones (maintien
du déverrouillage tant que porté) constitue un état de l'art existant.
L'intégration de ce mécanisme dans le présent protocole est décrite sans
revendication de nouveauté sur la détection de présence en elle-même, mais
sur : son intégration dans le processus de vérification anti-usurpation,
son renforcement par les mécanismes anti-spoofing du protocole PICAD, et
ses combinaisons avec les autres éléments décrits (objets réactifs, mesh, etc.).
DISPOSITIFS CONCERNÉS (non limitatif) :
Cette revendication s'applique à tout type de dispositif, dédié ou non à
l'authentification, incluant sans s'y limiter :
- Objets dédiés : bracelet, bague, collier, badge, tag, token, pendentif
- Montres connectées (tout fabricant, tout système d'exploitation)
- Téléphones portables : smartphone, téléphone mobile, tablette
- Accessoires audio : écouteurs, casque, oreillette
- Vêtements connectés : textile intelligent, semelle, gant, ceinture
- Implants : sous-cutané, dentaire, ou tout implant corporel
- Lunettes connectées, lentilles connectées, ou équivalent
- Tout autre objet porté sur, dans, ou à proximité immédiate du corps
Le dispositif peut être un produit existant du commerce (montre connectée,
téléphone) dont la fonction d'authentification par continuité est activée
par logiciel, ou un dispositif conçu spécifiquement pour cette fonction.
MÉTHODES DE DÉTECTION DE PRÉSENCE/CONTINUITÉ (non limitatif) :
Catégorie 1 - Détection physiologique par méthodes optiques/thermiques :
(Les méthodes par électrodes sont couvertes en Catégorie 5)
- PPG (photopléthysmographie) : détection optique du pouls par LED/photodiode
- SpO2 : oxymétrie de pouls (mesure optique)
- Température corporelle : thermomètre de contact ou infrarouge
- Imagerie thermique : caméra infrarouge, distribution de chaleur corporelle
- Pléthysmographie par variation de volume
- Tout autre signal physiologique mesurable par méthode optique ou thermique
Catégorie 2 - Détection mécanique de continuité/fermeture :
- Contact électrique : circuit fermé par contact peau ou fermoir
- Capteur de pression : contact mécanique avec la peau
- Détection d'ouverture de fermoir : interrupteur mécanique ou magnétique
- Capteur de tension/étirement : bracelet qui détecte son propre état
- Circuit conducteur bouclé : fil conducteur dont la rupture est détectée
- Capteur piézoélectrique : détection de pression ou déformation
- Tout autre mécanisme de détection de fermeture ou d'attachement
�Catégorie 3 - Détection de proximité/distance :
- Télémétrie optique : mesure de distance par lumière (ToF, LIDAR, IR)
- Télémétrie ultrasonique : mesure de distance par ultrasons
- Télémétrie radio : RSSI Bluetooth, UWB (Ultra-Wideband), WiFi
- Capacitif : détection de présence par champ électrique
- Inductif : détection de présence par champ magnétique
- NFC/RFID : détection de proximité par couplage magnétique
- Radar : détection de présence par ondes radio
- Tout autre méthode de mesure de distance ou proximité
Catégorie 4 - Détection par mouvement/inertie :
- Accéléromètre : détection de mouvement, de marche, de gestes
- Gyroscope : détection d'orientation et de rotation
- Magnétomètre : détection d'orientation par rapport au champ magnétique
- Corrélation de mouvement : le dispositif bouge avec l'utilisateur
- Analyse de la démarche : pattern de mouvement caractéristique
- Tout autre capteur inertiel ou de mouvement
Catégorie 5 - Détection par électrodes de surface et signaux bioélectriques :
Électrodes de contact cutané mesurant les potentiels électriques du corps
(gamme typique : µV à mV), incluant sans s'y limiter :
- EMG de surface (électromyographie) : signaux électriques des muscles et
neurones moteurs, détection d'intention de mouvement, interface neurale
- ECG/EKG de surface : activité électrique cardiaque via électrodes cutanées
- EEG de surface : ondes cérébrales via électrodes sur le cuir chevelu
- EOG (électro-oculographie) : mouvements oculaires
- EDA/GSR (activité électrodermale) : réponse galvanique de la peau,
conductivité cutanée, transpiration
- Bioimpédance : mesure de l'impédance corporelle, composition corporelle,
flux sanguin, hydratation
- Signaux nerveux périphériques : activité des nerfs sous la peau
- Potentiels évoqués : réponses électriques à des stimuli
Types d'électrodes couverts :
- Électrodes sèches (sans gel conducteur)
- Électrodes humides/gel
- Électrodes textiles (intégrées dans vêtements)
- Électrodes capacitives (sans contact direct)
- Tout autre type d'électrode ou capteur de potentiel électrique
Champ électromagnétique corporel :
- Variations du champ EM naturel du corps
- Détection passive ou active
- Tout autre signal électromagnétique corporel
Catégorie 6 - Toute autre méthode :
- Toute technologie de détection existante ou future
- Toute combinaison des méthodes ci-dessus
- Tout capteur ou méthode permettant de distinguer la présence ou
l'absence du corps de l'utilisateur à proximité du dispositif
�TOKEN DE VALIDITÉ ET AUTHENTIFICATION CONTINUE :
Le concept central revendiqué est le suivant :
a) Établissement initial : une authentification forte est réalisée
(biométrique, multi-facteur, ou autre) pendant que le dispositif
est en contact/proximité avec l'utilisateur
b) Maintien de validité : tant que le dispositif détecte continuellement
la présence de l'utilisateur (par une ou plusieurs méthodes ci-dessus),
un token ou état de validité est maintenu en mémoire
c) Invalidation automatique : dès que la continuité est rompue (détachement,
éloignement, perte de signal physiologique, ouverture de fermoir, ou
toute autre interruption de la détection de présence), le token est
automatiquement et immédiatement révoqué
d) Ré-authentification requise : après invalidation, une nouvelle
authentification complète est nécessaire pour rétablir la validité
e) Niveaux de validité et authentification simplifiée : le token peut
maintenir un niveau de confiance qui, tant que la continuité n'est pas
rompue, permet une authentification partielle ou simplifiée pour les
opérations ultérieures (ex: confirmation par geste simple au lieu de
biométrie complète). La rupture de continuité réinitialise ce niveau
et exige une authentification complète.
Ce mécanisme s'applique que le dispositif utilise une seule méthode de
détection ou plusieurs méthodes combinées (multi-source ou mono-source).
AVANTAGES DE CETTE APPROCHE :
- Sécurité renforcée : le dispositif ne peut pas être prêté, volé, ou
transféré sans que le token soit invalidé
- Expérience utilisateur améliorée : pas de ré-authentification répétitive
tant que le dispositif reste en présence de l'utilisateur
- Adapté aux contextes à haute exigence : utilisateurs devant prendre des
décisions critiques fréquentes (environnements sensibles, transactions
à fort enjeu) bénéficient d'une authentification forte sans friction
- Authentification continue : vérification permanente, pas ponctuelle
- Applicable à l'existant : peut être implémenté sur des montres/téléphones
existants via mise à jour logicielle
PORTÉE DE LA REVENDICATION :
Cette revendication couvre :
- L'utilisation de toute méthode de détection de continuité/présence/proximité,
notamment les méthodes nouvelles ou intégrées au protocole PICAD
- Pour le maintien d'un état d'authentification ou de validité
- Sur tout type de dispositif (dédié ou non, existant ou futur)
- Avec une ou plusieurs méthodes de détection (mono ou multi-source)
� - Et notamment dans le contexte du présent protocole (ou indépendamment)
Cette application de la détection de continuité au domaine de
l'authentification pour opérations à distance peut constituer une
invention en soi.
COMBINABILITÉ DES CONCEPTS H.3 ET H.4 :
Les fonctionnalités décrites en H.3 (comportement réactif unique) et H.4
(détection de continuité de présence) peuvent être combinées dans un même
dispositif. Un tel dispositif cumulerait :
- La réactivité unique aux stimuli externes (H.3)
- La détection de présence/continuité par une ou plusieurs méthodes (H.4)
- Le token de validité persistant conditionné à la présence (H.4)
Cette combinaison offre le niveau de sécurité maximal : le dispositif est à
la fois impossible à simuler (clé unique + comportement réactif) et impossible
à transférer (invalidation dès détachement/éloignement).
Exemples de combinaisons sur dispositifs existants :
- Montre connectée avec PPG (pouls) + détection de bracelet fermé + token
- Téléphone avec détection de proximité d'un dispositif porté (UWB/Bluetooth
vers montre, bracelet, ou autre) + accéléromètre
- Écouteurs avec détection de présence dans l'oreille + mouvement corrélé
Toute combinaison partielle ou totale des éléments décrits en H.1, H.2, H.3
et H.4 est couverte par la présente invention, que ce soit sur un dispositif
dédié ou sur un produit grand public existant.
I) TECHNIQUES DE PIÉGEAGE ET VÉRIFICATION À RÉSULTAT ATTENDU :
Méthodes où l'entité de vérification connaît à l'avance le résultat attendu
d'un test, permettant de détecter toute réponse simulée, falsifiée, ou issue
d'un dispositif compromis. Ces techniques exploitent l'asymétrie d'information
entre le vérificateur (qui connaît les résultats attendus) et un attaquant
potentiel (qui ne peut que deviner).
I.1) Principe fondamental - Pièges à échec attendu :
L'entité de vérification peut envoyer des tests conçus pour ÉCHOUER dans
certaines conditions. Un attaquant contrôlant le dispositif aura tendance
à "corriger" ces échecs, se trahissant ainsi.
Fonctionnement :
- Certains tests sont conçus pour échouer dans la configuration actuelle
- Le serveur s'attend à cet échec et le considère comme un signe d'authenticité
- Un attaquant qui "fait réussir" un test censé échouer révèle la compromission
- Les proportions succès/échecs attendues sont inconnues de l'attaquant
I.2) Catégories de pièges (incluant, sans s'y limiter) :
�A) PIÈGES MATÉRIELS (hardware) :
- Exploitation des caractéristiques physiques connues de l'appareil utilisé
- Le vérificateur connaît le modèle/marque exact des capteurs
- Comportements spécifiques attendus selon le hardware (bruit de fond
caractéristique, latence native, distorsion optique, aberration chromatique)
- Signatures uniques du capteur (pattern de bruit, sensibilité spectrale)
B) PIÈGES TECHNIQUES :
- Exploitation des spécificités techniques de l'appareil
- Caractéristiques de la caméra (résolution, colorimétrie, compression)
- Comportements logiciels du firmware/OS
- Temps de réponse et latences caractéristiques du modèle
- Métadonnées et signatures numériques attendues
C) PIÈGES ALGORITHMIQUES :
- Tests dont le résultat attendu est calculé par le serveur
- Comportements logiciels spécifiques à vérifier
- Signatures algorithmiques des processeurs d'image de l'appareil
- Réponses attendues à des stimuli spécifiques
- Patterns statistiques connus pour le modèle d'appareil
I.3) Complexité statistique :
A) RÉSULTATS NON BINAIRES :
- Les tests ne produisent pas simplement "réussi/échoué"
- Chaque test génère un nuage de résultats probables selon la situation
- Le serveur connaît la distribution statistique attendue
- L'attaquant ne peut pas deviner quelle distribution est "normale"
- Toute déviation statistique significative indique une anomalie
B) CODE FRONTEND OPAQUE :
- Le code exécuté sur le dispositif ne révèle pas le résultat attendu
- Le code peut afficher un statut succès/échec destiné à tromper les
attaquants basiques (faux indicateur, leurre)
- Le vrai verdict est calculé côté serveur avec des critères non divulgués
- Le système est conçu pour résister au reverse-engineering
I.4) Honeypot et étude des attaquants (optionnel) :
L'entité de vérification peut volontairement laisser passer certains
spoofers détectés à des fins d'analyse :
Objectifs :
- Étudier les techniques d'attaque employées
- Accumuler des données sur les méthodes de falsification
- Construire une base de connaissance sur les attaquants
- Identifier et relier les tentatives d'attaque entre elles
Indicateur clé de spoofing :
- Un test conçu pour échouer dans certaines conditions
- Si ce test réussit SYSTÉMATIQUEMENT, même en conditions défavorables
� - La "perfection suspecte" de l'attaquant le trahit
I.5) Avantage asymétrique :
Pour contourner ces pièges, un attaquant devrait :
- Connaître en détail le système de vérification (reverse-engineering complet)
- Connaître les caractéristiques exactes de l'appareil cible
- Connaître les proportions statistiques attendues pour chaque test
- Simuler de manière réaliste les échecs "naturels" attendus
- Maintenir cette simulation en temps réel sur tous les angles de capture
Cette combinaison de contraintes rend le contournement prohibitivement complexe,
même pour un attaquant disposant d'un contrôle total (root) sur les dispositifs.
J) ANALYSE DE L'ÉCLAIRAGE CONTRÔLÉ ET CORRÉLATION DES ÉMISSIONS :
Technique exploitant les sources d'émission électromagnétique contrôlables
par le système (incluant, sans s'y limiter : écrans, flashs, LEDs,
projecteurs, lasers, émetteurs infrarouges, ou tout autre dispositif
d'émission dans le spectre visible ou invisible) pour créer des effets
observables et analysables sur la scène et les sujets capturés.
J.1) Principe fondamental :
Cette technique s'appuie sur les moyens d'émission commandables décrits
indicativement en section 4.1.d), et décrit l'exploitation de leurs effets
pour la vérification.
Toute source d'émission commandée par l'entité de vérification produit
des effets observables et vérifiables :
- Éclairage direct de surfaces et objets (changement de luminosité,
colorimétrie, ombres projetées)
- Réflexions spéculaires et diffuses sur les surfaces
- Réflexions sur les yeux, la peau, et autres surfaces réfléchissantes
- Ombres et pénombres créées par les objets de la scène
- Caustiques et effets de réfraction (à travers objets transparents)
J.2) Double corrélation multi-caméra :
Dans une configuration avec plusieurs caméras (intégrées ou sur dispositifs
distincts), une source lumineuse commandée produit des effets capturables
simultanément par plusieurs perspectives :
Exemple - Écran de smartphone comme source lumineuse :
- L'écran (face avant) émet des patterns lumineux commandés
- La caméra frontale capture les réflexions sur le visage de l'utilisateur
- La caméra arrière capture l'éclairage de la scène environnante
- La corrélation entre ces deux captures (reflets + éclairage) doit être
cohérente avec la géométrie et les propriétés des surfaces
- Un simulateur devrait reproduire ces deux effets de manière parfaitement
cohérente en temps réel, ce qui est extrêmement difficile
� Exemple - Flash comme source ponctuelle :
- Le flash émet une impulsion lumineuse brève et intense
- Création d'ombres franches sur les surfaces (analysables géométriquement)
- Illumination du visage de l'utilisateur (analysable sur caméra frontale)
- La cohérence géométrique ombre/lumière entre les perspectives constitue
un facteur de vérification
- Le timing précis de l'impulsion permet une synchronisation vérifiable
J.3) Patterns lumineux et séquences :
Le système peut commander des séquences lumineuses complexes :
- Variations de couleur (RGB, spectre complet)
- Variations d'intensité (pulses, gradients, patterns)
- Patterns spatiaux (formes, zones, balayages)
- Séquences temporelles (fréquences, rythmes, codes)
Ces patterns créent des signatures lumineuses analysables sur :
- Les surfaces de la scène (colorimétrie, luminosité)
- Les reflets cornéens (analyse des yeux)
- Les reflets cutanés (analyse de la peau)
- Les objets réfléchissants ou transparents de l'environnement
J.4) Sources d'émission couvertes (non limitatif) :
- Écrans (smartphones, tablettes, moniteurs, tout dispositif d'affichage)
- Flashs intégrés ou externes
- LEDs (intégrées ou accessoires)
- Projecteurs et sources de lumière ambiante contrôlable
- Lasers (si disponibles et sécurisés)
- Émetteurs infrarouges (invisibles mais détectables par certains capteurs)
- Tout autre dispositif capable d'émettre de l'énergie électromagnétique
dans le spectre visible ou invisible, de manière contrôlée
J.5) Avantages de cette technique :
- Exploite des capacités matérielles déjà présentes sur la plupart des
dispositifs (écran, flash)
- Ne requiert pas d'équipement supplémentaire
- Produit des effets physiques réels, difficiles à simuler
- Permet une vérification multi-angle avec un seul dispositif (caméras
avant et arrière)
- Les effets sont vérifiables géométriquement et temporellement
- Combinable avec toutes les autres techniques de vérification
SYNTHÈSE ET PRINCIPE UNIFICATEUR
La présente section synthétise le principe fondamental de l'invention et établit
son rôle unificateur vis-à-vis de l'ensemble des techniques décrites.
�6.1 Principe fondamental - Détection d'incohérences multi-perspectives
Le cœur de l'invention repose sur le principe suivant :
Dès lors qu'une scène est observée depuis plusieurs perspectives distinctes,
toute tentative de falsification doit maintenir une cohérence parfaite entre
ces perspectives - cohérence qui est computationnellement prohibitive à simuler
en temps réel.
Ce principe s'applique :
A) À DES PERSPECTIVES FRANCHEMENT DISTINCTES :
Plusieurs dispositifs physiquement séparés, chacun capturant la scène sous
un angle différent.
B) À DES PERSPECTIVES OBTENUES PAR RÉFLEXION OU RÉTROACTION :
Un dispositif unique exploitant des surfaces réfléchissantes (miroirs, vitres,
surfaces polies), des boucles optiques (mise en abyme), ou tout autre moyen
permettant d'obtenir plusieurs perspectives d'une même scène à partir d'une
source de capture unique ou d'un nombre réduit de sources.
C) À DES PERSPECTIVES MULTI-MODALES :
Différentes natures de capteurs (visuel, acoustique, thermique, télémétrique,
inertiel) fournissant des "perspectives" complémentaires sur une même réalité
physique.
Dans tous les cas, le principe reste identique : la cohérence entre les
perspectives constitue la preuve d'authenticité, et l'incohérence constitue
l'indicateur de falsification.
DÉFINITION - PERSPECTIVES DISTINCTES ET INDÉPENDANCE DE COMPROMISSION :
Une perspective est dite "distincte" ou "franchement différente" lorsque sa
compromission ne peut être obtenue par la seule compromission d'un unique
point du système. Cette distinction peut être :
A) NATURELLE (multi-dispositifs) :
Plusieurs appareils physiquement séparés constituent naturellement des
points de compromission indépendants. La compromission d'un appareil ne
compromet pas les autres.
B) CRÉÉE PAR DÉPENDANCE EXTERNE (mono-dispositif avec entité de vérification) :
Un appareil unique peut accéder à des perspectives "artificiellement
distinctes" lorsque le flux de données transite par une entité externe
(serveur, autre dispositif) qui :
- Contrôle les stimuli affichés (imprévisibles pour l'attaquant)
- Peut altérer, injecter, ou vérifier le flux de manière indépendante
- Rend impossible la pré-génération de réponses falsifiées cohérentes
Exemple : Un téléphone dont la caméra arrière capture, le flux transite
par le serveur, puis est affiché sur l'écran avant, puis recapturé par
la caméra frontale via un miroir. L'attaquant, même en compromettant
� le téléphone, ne peut prédire ce que le serveur va injecter dans le flux
retour, ni simuler la géométrie de la boucle optique en temps réel.
C) CRÉÉE PAR CONTRAINTES GÉOMÉTRIQUES VÉRIFIABLES :
Une boucle optique (miroir, mise en abyme) crée des relations géométriques
entre les flux qui sont vérifiables par l'entité de vérification et
impossibles à simuler par la seule manipulation logicielle locale.
La présente invention exploite ces trois modes, individuellement ou en
combinaison, pour créer des perspectives dont la cohérence ne peut être
falsifiée sans compromettre PLUSIEURS points indépendants du système
(dispositifs ET/OU entité de vérification ET/OU contraintes physiques).
RENFORCEMENT CUMULATIF :
L'ensemble des perspectives distinctes, qu'elles soient naturellement ou
artificiellement différentes, est destiné à être renforcé par les autres
techniques de vérification décrites dans la présente demande, incluant,
sans s'y limiter :
- Les techniques d'ancrage entropique (fluides, éléments chaotiques)
- Les techniques de boucle optique et mise en abyme
- Les défis physiques commandés par l'entité de vérification
- Les techniques de corrélation inertielle et positionnelle
- Les pièges algorithmiques et tests à échec attendu
- Toute autre technique décrite dans les sections 3, 4, et 5
Ces techniques s'appliquent de manière cumulative : chaque facteur de
vérification supplémentaire MULTIPLIE la difficulté de falsification,
créant un système où la compromission requiert de surmonter simultanément
TOUS les facteurs actifs, et non chacun individuellement.
EXCLUSION - CE QUI N'EST PAS REVENDIQUÉ :
La simple combinaison de données multi-modales (visuel + profondeur, visuel
+ LIDAR, etc.) vérifiées LOCALEMENT sur un unique appareil, sans dépendance
externe ni boucle de vérification, ne constitue PAS une mise en œuvre de
l'invention. Ces configurations (incluant, sans s'y limiter : Apple Face ID,
capteurs de profondeur Android, systèmes de reconnaissance faciale 3D
intégrés) constituent un état de l'art existant où un unique point de
compromission suffit à tromper l'ensemble du système.
6.2 Déclinaisons du principe
Ce principe fondamental se décline selon deux modes complémentaires :
A) MODE STATIQUE (sans mouvement des sources de capture) :
Analyse de la cohérence à un instant donné entre les perspectives capturées.
Cette analyse porte sur, incluant sans s'y limiter :
- Cohérence géométrique (angles, proportions, parallaxe)
- Cohérence photométrique (couleurs, luminosité, gradients)
- Cohérence radiométrique (distribution lumineuse, ombres, reflets)
� - Cohérence télémetrique (distances, profondeurs)
- Cohérence topologique (relations spatiales entre éléments)
B) MODE DYNAMIQUE (avec mouvement d'une ou plusieurs sources de capture) :
Analyse de l'évolution cohérente des perspectives au cours du temps.
Cette analyse porte sur, incluant sans s'y limiter :
- Cohérence temporelle (synchronisation des changements observés)
- Cohérence cinématique (mouvements, vitesses, accélérations)
- Cohérence causale (relations cause-effet entre événements)
- Évolution cohérente de la géométrie lors des déplacements
Ces deux modes peuvent être utilisés séparément ou en combinaison, selon les
besoins de la vérification et les capacités des dispositifs disponibles.
6.3 Relation avec les techniques décrites
L'ensemble des techniques décrites dans la présente demande (sections 3 et 4)
constitue des applications, déclinaisons, ou exploitations spécifiques de ce
principe unificateur. Notamment :
- Les techniques de stimulation (section 4.3.1.c) créent des conditions où les
incohérences deviennent plus facilement détectables
- Les techniques de boucle de rétroaction (section 4.3.1.d) permettent d'obtenir
des perspectives multiples avec un nombre réduit de dispositifs
- Les techniques d'ancrage entropique (section 4.3.1.e) introduisent des éléments
dont la cohérence multi-perspectives est particulièrement difficile à simuler
- Les techniques biométriques multi-angles (section 3.3) appliquent le
principe à la vérification d'identité humaine
Toute technique présente ou future exploitant la détection d'incohérences entre
perspectives multiples - qu'elles soient spatiales, temporelles, modales, ou
obtenues par tout autre moyen - relève du principe fondamental de l'invention.
6.4 Couverture étendue
La présente invention couvre :
- Toute configuration matérielle permettant d'obtenir plusieurs perspectives
d'une même scène, qu'elle soit décrite explicitement dans ce document ou non
- Toute méthode d'analyse de cohérence entre perspectives, existante ou à venir
- Toute combinaison des techniques décrites, dans tout ordre et toute proportion
- Toute évolution technologique future permettant d'améliorer la détection
d'incohérences ou d'augmenter le nombre/la qualité des perspectives capturées
- Toute application du principe à des domaines non explicitement mentionnés
Le principe unificateur de détection d'incohérences multi-perspectives constitue
le fondement invariant de l'invention, indépendamment des évolutions
technologiques des moyens de capture, de traitement, ou de falsification.
�6.5 Protection des techniques individuelles et vision d'ensemble
A) SYSTÈME UNIFIÉ :
L'invention doit être considérée comme un système global unifié, où l'ensemble
des techniques décrites peuvent être combinées pour atteindre le niveau de
vérification maximal. La configuration optimale d'une session de vérification
peut intégrer tout ou partie des techniques décrites, dans toute combinaison
et toute séquence, selon les enjeux de sécurité et les ressources disponibles.
B) PROTECTION HIÉRARCHIQUE :
La présente demande vise à protéger :
1) EN PRIORITÉ : Le principe multi-perspectives dans son ensemble, tel que
décrit en section 6.1, constituant le cœur de l'invention.
2) SUBSIDIAIREMENT : Chacune des techniques individuelles décrites dans le
présent document, considérées séparément ou en sous-combinaisons, dès lors
qu'elles présentent un caractère de nouveauté. Ces techniques incluent,
sans s'y limiter :
- Les techniques de boucle de rétroaction et mise en abyme optique
- Les techniques d'ancrage entropique (fluides, éléments chaotiques)
- Les techniques de pièges algorithmiques à échec attendu
- Les techniques de stimulation exploitant les limitations de rendu
- La technique de l'image/frame en amont (requête prioritaire)
- L'utilisation d'objets physiques distincts à comportement vérifiable
- Les techniques de corrélation inertielle-visuelle
- Les techniques de reconstruction dynamique par mouvement
- Toute autre technique spécifiquement décrite dans le présent document
C) INDÉPENDANCE DES PROTECTIONS :
Chaque technique individuelle est revendiquée indépendamment de son intégration
dans le système multi-perspectives. Une technique peut avoir une valeur
protectrice propre même si elle est utilisée dans un contexte mono-dispositif
ou hors du cadre du protocole complet.
D) CARACTÈRE ILLUSTRATIF ET NON LIMITATIF :
Les techniques individuelles sont décrites à titre illustratif pour supporter
le principe unificateur. Leur description détaillée ne saurait limiter la
portée de la protection du principe multi-perspectives, qui reste le fondement
de l'invention. Inversement, si le principe multi-perspectives ne pouvait être
protégé dans sa généralité, les techniques individuelles conservent leur
vocation à être protégées séparément.
6.6 Clause de couverture étendue - Variantes architecturales et opérationnelles
NOTE DE CLARIFICATION - PORTÉE ET MODES DÉGRADÉS :
�La présente section décrit les VARIANTES OPÉRATIONNELLES du système pour
illustrer sa flexibilité et son adaptabilité. Il est important de distinguer :
(1) LES MODES PLEINEMENT COUVERTS PAR L'INVENTION (revendiqués comme
nouveaux) :
- Architecture multi-dispositifs avec analyse corrélée externe
- Mono-dispositif avec dépendance externe (serveur, entité de vérification)
- Mono-dispositif avec techniques créant une distinction de perspectives
(boucle optique, miroir, ancres d'entropie vérifiées par entité externe)
(2) LES MODES DÉGRADÉS / FALLBACK (décrits pour flexibilité, NON revendiqués
comme innovants en eux-mêmes) :
- Vérification entièrement locale sans entité externe
- Mode offline sans synchronisation
- Dispositif agissant comme sa propre entité de vérification sans contrôle
externe
Ces modes constituent un état de l'art existant ou des configurations
de repli. Ils sont décrits pour assurer l'interopérabilité du système
avec des environnements contraints, mais NE CONSTITUENT PAS le cœur
de l'invention.
(3) LES TECHNIQUES PROTÉGÉES INDÉPENDAMMENT (annexes brevetables) :
Certaines techniques spécifiques décrites dans la présente demande sont
protégées EN ELLES-MÊMES, indépendamment de l'architecture multi-
perspectives. Cela inclut, sans s'y limiter :
- Les techniques de rétroaction visuelle et mise en abyme (section 3.3 J)
- Les techniques d'ancrage entropique par fluides/matériaux (section 3.3 I)
- Les techniques de corrélation inertielle et positionnelle (section 3.3 F)
- Les pièges algorithmiques et tests à échec attendu (section 5.7.I)
Ces techniques peuvent être appliquées même sur un mono-dispositif et
constituent des innovations protégeables distinctes du principe multi-
perspectives.
La présente invention couvre TOUTES les variantes architecturales et
opérationnelles suivantes, qu'elles soient utilisées individuellement ou en
combinaison, et quelle que soit la terminologie employée pour les désigner.
Sauf indication contraire ci-dessous, ces variantes s'appliquent dans le
cadre des modes (1) et (3) décrits ci-dessus :
A) VARIANTES DE L'ENTITÉ DE VÉRIFICATION :
L'entité de vérification peut être, sans s'y limiter :
- Un serveur distant (cloud, infrastructure dédiée, serveur tiers)
- Un serveur local (on-premise, réseau local, intranet)
- L'un des dispositifs de capture lui-même (mode maître) [MODE DÉGRADÉ - cf. (2)]
- Plusieurs dispositifs de capture agissant conjointement (mode coopératif)
- Une ressource de calcul distribuée entre dispositifs (mode réparti)
- Un dispositif tiers non impliqué dans la capture (arbitre externe)
- Une combinaison dynamique des éléments ci-dessus
- Toute entité capable d'effectuer l'analyse corrélée, quelle que soit sa
� localisation physique ou logique
B) VARIANTES DE CONNECTIVITÉ :
Le système peut opérer :
- Avec connexion Internet permanente
- Avec connexion Internet intermittente
- Sans aucune connexion Internet (mode offline complet) [MODE DÉGRADÉ - cf. (2)]
- En connexion directe entre dispositifs (Bluetooth, WiFi Direct, NFC,
ultrasons, infrarouge, câble, ou tout autre moyen de proximité)
- En mode mixte (certains dispositifs connectés, d'autres non)
- Avec synchronisation différée (vérification offline, validation ultérieure)
- Sans aucune synchronisation externe [MODE DÉGRADÉ si mono-dispositif - cf. (2)]
- Via réseaux mesh, ad-hoc, ou toute autre topologie de communication
C) VARIANTES DE CONTRÔLE :
Le contrôle du processus de vérification peut être :
- Centralisé (une entité unique décide)
- Décentralisé (consensus entre dispositifs)
- Distribué (responsabilités partagées)
- Hiérarchique (maître-esclave, coordinateur-participants)
- Pair-à-pair strict (aucune hiérarchie)
- Hybride (combinaison des modes ci-dessus)
- Dynamique (le mode de contrôle change au cours de la session)
D) VARIANTES DE CONFIANCE :
Les dispositifs participants peuvent être :
- Tous de confiance (appartenant au même propriétaire/opérateur)
- Partiellement de confiance (certains connus, d'autres non)
- Aucun de confiance (tous considérés comme potentiellement compromis)
- De confiance variable (niveau de confiance ajusté dynamiquement)
- Anonymes (identité des dispositifs non requise)
- Authentifiés (identité vérifiée par certificat, secret partagé, ou autre)
E) VARIANTES DE TEMPORALITÉ :
La vérification peut être :
- En temps réel strict (verdict immédiat requis)
- En temps réel souple (verdict dans un délai acceptable)
- Différée (analyse a posteriori)
- Asynchrone (chaque dispositif traite indépendamment)
- Par lots (accumulation puis traitement groupé)
- Continue (vérification permanente pendant toute la session)
- Ponctuelle (vérification à des instants spécifiques)
- Toute combinaison temporelle des éléments ci-dessus
F) VARIANTES GÉOGRAPHIQUES :
Les dispositifs peuvent être :
- Co-localisés (même pièce, même lieu)
�- Proches (même bâtiment, même zone)
- Distants (localisations différentes)
- Mobiles (en déplacement pendant la vérification)
- Fixes (positions statiques)
- Toute combinaison de proximité et mobilité
G) VARIANTES DE PROPRIÉTÉ :
Les dispositifs peuvent appartenir :
- Au même utilisateur
- À des utilisateurs différents
- À des organisations différentes
- À des entités publiques
- À personne (dispositifs publics ou partagés)
- Être loués, empruntés, ou mis à disposition temporairement
- Toute combinaison de propriété
H) VARIANTES D'IMPLÉMENTATION :
Le système peut être implémenté :
- Entièrement en logiciel (application mobile, web, desktop)
- Entièrement en matériel (dispositifs dédiés)
- En combinaison matériel/logiciel
- Via firmware, microcode, ou logiciel embarqué
- Dans le cloud, en edge computing, ou localement
- De manière monolithique ou microservices
- Avec ou sans conteneurisation, virtualisation
- Sur tout système d'exploitation ou plateforme
- Toute architecture technique présente ou future
I) VARIANTES DE VERDICT :
Le résultat de la vérification peut être :
- Binaire (authentique/falsifié)
- Gradué (niveau de confiance, score, probabilité)
- Conditionnel (authentique sous réserve de...)
- Partiel (certains aspects vérifiés, d'autres non)
- Provisoire (sujet à révision ultérieure)
- Multiple (verdicts différents selon les critères)
- Explicatif (verdict avec justification détaillée)
- Opaque (verdict sans explication)
J) VARIANTES DE TRAITEMENT ET D'ANALYSE :
L'analyse de cohérence peut être effectuée par :
- Algorithmes déterministes (règles fixes, seuils)
- Intelligence artificielle (réseaux de neurones, ML, deep learning)
- Méthodes statistiques (distributions, corrélations)
- Analyse humaine (opérateur, expert, crowd-sourcing)
- Combinaison automatique/humaine (human-in-the-loop)
- Modèles pré-entraînés ou entraînés dynamiquement
- Heuristiques adaptatives
�- Toute méthode computationnelle présente ou future
K) VARIANTES D'ÉCHELLE :
Le système peut impliquer :
- Deux dispositifs (configuration minimale)
- Trois à dix dispositifs
- Dizaines de dispositifs
- Centaines ou milliers de dispositifs (événements de masse)
- Un nombre variable de dispositifs au cours d'une même session
- Des dispositifs rejoignant ou quittant la session dynamiquement
L) VARIANTES DE DÉCLENCHEMENT :
La vérification peut être initiée par :
- L'utilisateur vérifié lui-même
- Un tiers demandant la vérification (banque, employeur, service)
- Le système automatiquement (déclenchement contextuel)
- Un événement externe (transaction, accès, alarme)
- Une programmation temporelle (vérifications périodiques)
- Une chaîne de vérifications (une vérification en déclenche une autre)
- Tout autre mécanisme de déclenchement
M) VARIANTES DE SUJET VÉRIFIÉ :
Le système peut vérifier :
- Une personne (identité, présence, vivacité)
- Un groupe de personnes
- Un objet (authenticité, intégrité, état)
- Un lieu ou une scène
- Un document ou un support d'information
- Un événement ou une situation
- Une transaction ou une action
- Un dispositif ou un équipement
- Toute entité ou situation observable par des capteurs
N) VARIANTES DE CAPTEURS :
Les sources de capture peuvent inclure, sans s'y limiter :
- Caméras (visible, infrarouge, UV, multispectrale, thermique)
- Microphones (audible, ultrasons, infrasons)
- Capteurs de profondeur (ToF, lidar, radar, stéréoscopie, lumière structurée)
- Capteurs inertiels (accéléromètre, gyroscope, magnétomètre)
- Capteurs de position (GPS, GNSS, UWB, triangulation)
- Capteurs biométriques (empreinte, iris, veine, voix)
- Capteurs environnementaux (température, pression, humidité, luminosité)
- Récepteurs radio (WiFi, Bluetooth, NFC, cellulaire, FM/AM, signaux ambiants)
- Capteurs chimiques ou olfactifs
- Tout capteur existant ou à développer
O) VARIANTES DE PERSISTANCE DES DONNÉES :
�Les données de vérification peuvent être :
- Éphémères (supprimées immédiatement après vérification)
- Temporaires (conservées pour une durée limitée)
- Permanentes (archivées indéfiniment)
- Partiellement conservées (métadonnées sans données brutes)
- Hashées ou résumées (empreintes sans contenu original)
- Distribuées (fragments répartis, aucune entité n'a le tout)
- Chiffrées (accessibles uniquement sous conditions)
- Jamais transmises (vérification entièrement locale) [MODE DÉGRADÉ - cf. (2)]
P) VARIANTES D'INTÉGRATION :
Le système peut être intégré :
- En tant qu'application autonome (standalone)
- En tant que SDK/bibliothèque intégrée dans d'autres applications
- En tant qu'API appelable par des services tiers
- En tant que plugin/extension de navigateur ou plateforme
- En tant que service web (SaaS)
- En tant que fonctionnalité native du système d'exploitation
- En tant que firmware de dispositif dédié
- De manière invisible (intégré sans interface utilisateur dédiée)
Q) VARIANTES DE CONSENTEMENT ET PARTICIPATION :
La participation à la vérification peut être :
- Volontaire et explicite
- Requise par un service (condition d'accès)
- Transparente (l'utilisateur sait qu'il est vérifié)
- Discrète (vérification en arrière-plan avec consentement préalable)
- Incitative (récompenses pour participation)
- Obligatoire (contextes réglementés)
- Anonyme (vérification sans identification)
- Pseudonyme (identifiant non lié à l'identité réelle)
R) VARIANTES DE FALLBACK ET DÉGRADATION :
En cas de conditions sous-optimales, le système peut :
- Basculer vers un mode dégradé (moins de capteurs, tests simplifiés)
- Reporter la vérification (attente de meilleures conditions)
- Demander des actions compensatoires à l'utilisateur
- Accepter un niveau de confiance réduit
- Combiner avec d'autres méthodes de vérification (2FA, documents)
- Refuser la vérification (sécurité prioritaire)
- Opérer avec un sous-ensemble des dispositifs disponibles
- Toute stratégie d'adaptation aux contraintes
S) VARIANTES DE SECRET ET CONNAISSANCE :
Les informations peuvent être réparties ainsi :
- Secret total côté vérificateur (tests, critères, seuils inconnus)
- Secret partiel (certains éléments publics, d'autres non)
- Connaissance partagée (protocole public, paramètres secrets)
�- Zero-knowledge (preuve sans révélation du contenu)
- Connaissance distribuée (aucune entité ne sait tout)
- Évolution du secret (rotation des clés, tests, paramètres)
T) VARIANTES D'ÉVOLUTION ET MISE À JOUR :
Le système peut évoluer :
- Par mise à jour logicielle des applications
- Par mise à jour des modèles d'IA côté serveur/entité
- Par mise à jour du protocole de vérification
- Par ajout de nouveaux types de tests
- Par adaptation automatique (apprentissage continu)
- Par configuration à distance (feature flags, paramètres)
- Sans aucune mise à jour des dispositifs (évolution côté entité seule)
- De manière transparente pour l'utilisateur
U) CLAUSE DE NON-LIMITATION ABSOLUE :
Toute variante, modification, adaptation, combinaison, permutation, ou
évolution des éléments décrits dans la présente demande est couverte,
incluant sans s'y limiter :
- Les variantes non explicitement mentionnées mais techniquement équivalentes
- Les variantes rendues possibles par des technologies futures
- Les variantes résultant de contraintes réglementaires, légales, ou pratiques
- Les variantes optimisées pour des cas d'usage spécifiques
- Les implémentations partielles du système (sous-ensembles fonctionnels)
- Les extensions du système (fonctionnalités additionnelles)
- Les adaptations à des contextes culturels, linguistiques, ou géographiques
- Toute mise en œuvre du principe fondamental multi-perspectives, quelle
que soit la forme qu'elle prenne
Le silence de la présente demande sur un aspect particulier ne constitue
pas une renonciation à la protection de cet aspect, dès lors qu'il découle
du principe fondamental ou des techniques décrites.
La présente liste est donnée à titre illustratif et non limitatif. Toute
variante, combinaison, ou évolution des éléments ci-dessus est couverte par
l'invention dès lors qu'elle met en œuvre le principe fondamental de
vérification multi-perspectives décrit en section 6.1.
L'absence de mention explicite d'une variante spécifique dans la présente
demande ne saurait être interprétée comme une exclusion de cette variante
du champ de protection de l'invention.
$ cat > 12. FIGURES (à joindre)
FIGURES (à joindre)
NOTE SUR LES FIGURES :
Les figures ci-dessous sont fournies à titre ILLUSTRATIF et NON LIMITATIF.
�Elles représentent des modes de réalisation particuliers de l'invention et
ne sauraient en aucun cas restreindre la portée de la protection aux seules
configurations, proportions, dispositions, ou apparences représentées.
L'absence de représentation graphique d'un élément, d'une configuration, ou
d'une variante décrite dans le texte ne constitue pas une exclusion de cet
élément du champ de l'invention.
Les figures peuvent être complétées ou remplacées dans la demande définitive.
[Fig 1] Vue d'ensemble du dispositif de vérification multi-dispositifs
�[Fig 2] Phase d'appairage par code visuel - scan du QR code
��[Fig 3] Phase de défis/instruction avec boucle de rétroaction optique visible
Revendications
�Note préliminaire : À l'heure de ce dépôt, les revendications ci-dessous ne
sont pas encore formulées selon le cadre réglementaire complet. Elles
constituent une expression d'intention de protection.
INTENTION DE PROTECTION :
En premier lieu, l'inventeur entend revendiquer et protéger le concept de
vérification de l'authenticité d'une scène, situation ou présence physique
par l'utilisation de :
- plusieurs sources de capture,
- plusieurs natures de données,
- et surtout plusieurs perspectives et/ou plusieurs capteurs et/ou plusieurs
dispositifs, apportant des perspectives différentes, ou franchement différentes,
ainsi que la vérification par perspective récursive (où une source de capture
observe, directement ou indirectement, sa propre sortie visuelle, ou celle
d'un autre appareil impliqué dans le processus de vérification).
De plus, l'inventeur entend protéger les techniques complémentaires
mentionnées dans le présent document, incluant, sans s'y limiter, celles découlant de
l'utilisation de plusieurs dispositifs, ou lorsqu'elles sont décrites dans un
contexte mono-dispositif avec appareil ou équipement accessoire.
Plus largement, l'inventeur entend couvrir toute description technique et de
procédé nouvelle ici présente, qu'elle soit liée ou indépendante de l'aspect
multi-angle, dès lors que sa nouveauté serait attestée.
Cela inclut également toute solution de vérification basée sur l'utilisation
d'une multiplicité d'appareils dans le cadre d'un processus anti-spoofing,
non encore imaginée, déposée ou publiée à ce jour, tant que l'utilisation ou
la nature de ces techniques relève du fait d'utiliser de multiples appareils
de manière synchronisée et/ou unifiée dans le processus de vérification.
Techniques supplémentaires individuelles ayant vocation à être couvertes,
incluant sans s'y limiter :
- La technique de l'image/frame en amont (éventuellement partielle, passée
en requête prioritaire)
- L'objet distinct dédié à la vérification (identifiable individuellement,
connu par l'entité de vérification)
- La rétroaction visuelle
NOTE SUR LA PORTÉE (SCOPE) :
L'invention vise en priorité les configurations multi-dispositifs (plusieurs
appareils indépendants). Les configurations mono-dispositif (un seul appareil
avec capteurs multiples) sont couvertes à titre de version dégradée ou de
fallback du protocole, par exemple lorsque l'utilisateur ne dispose pas d'un
second dispositif. Ces configurations mono-dispositif ne constituent pas le
cœur de l'invention mais en sont des déclinaisons accessibles, en particulier
lorsqu'il est possible à travers la configuration mono-dispositif d'accéder
�à des perspectives différentes, ou franchement différentes (incluant, sans s'y limiter :
double caméra avec flux passant par l'entité de vérification, affichage sur écran avec
surface réfléchissante tierce, et défis de positionnement demandés à
l'utilisateur exploitant les angles de réflexion).
CLARIFICATION - MONO-DISPOSITIF AVEC ÉLÉMENTS DISTINCTIFS :
Les configurations mono-dispositif sont couvertes par l'invention UNIQUEMENT
lorsqu'elles intègrent une DÉPENDANCE EXTERNE créant une distinction de
perspectives. Cette dépendance peut prendre la forme de :
- Transit du flux par une entité de vérification qui contrôle/vérifie
- Boucle optique dont la géométrie est vérifiée par l'entité
- Défis commandés par l'entité, imprévisibles pour l'attaquant
- Ancres d'entropie physiques dont le comportement est vérifié
- Toute autre technique rendant impossible la falsification locale seule
Ces éléments distinctifs peuvent être utilisés individuellement ou en
combinaison cumulative pour renforcer la vérification. Plus le nombre
de techniques actives est élevé, plus la difficulté de falsification
augmente de manière multiplicative.
Sans cette dépendance externe, un système mono-dispositif multi-capteurs
ne relève pas de la présente invention, quel que soit le nombre ou la
diversité des capteurs intégrés.
Abrégé
L'invention concerne un système et procédé de validation de réalité physique
utilisant une pluralité de sources de capture fournissant des perspectives
différentes d'une même scène. Les données capturées sont analysées de manière
corrélée par une entité de vérification pour vérifier leur cohérence géométrique,
photométrique, radiométrique, télémetrique, et temporelle. Le système peut inclure des boucles
de rétroaction optique entre dispositifs, l'introduction d'éléments physiques
à haute entropie (fluides), et des mesures de latence. L'invention exploite
le fait que la simulation convaincante d'une scène réelle sur plusieurs angles
simultanément dépasse les capacités computationnelles actuelles, offrant ainsi
une protection pérenne contre les tentatives d'usurpation.
$ cat > Header
Description
Title of the invention: Protocol and system for physical reality validation comprising
methods using a plurality of sources and capture devices with synchronized
cross-referencing of data, and a set of complementary verification techniques
$ cat > 1. TECHNICAL FIELD
TECHNICAL FIELD
The present invention relates to the field of physical integrity
verification, presence authentication, and remote reality validation.
More particularly, the invention concerns systems and methods for
confirming that a scene, a human subject, an object, or a situation
observed remotely corresponds to authentic physical reality, and not
to a simulation, reproduction, or digital manipulation.
The invention finds applications in, but is not limited to:
A) Identity verification and human presence:
- Biometric identity verification
- Physical presence detection (liveness detection)
- Verification of real human presence without identification
(proof-of-human), including, without limitation: registration on
online services, account creation, access to resources
- Anonymous or semi-anonymous verification (confirmation that a subject
is a real human being and physically present, with or without
disclosure of their identity, with or without association to an
official identity)
- Proof of human uniqueness (one physical individual = one account or
one entity, without necessarily knowing the identity of that individual)
- Human/machine distinction (alternative or complement to CAPTCHAs
and traditional automated verification systems)
- Anti-impersonation (anti-spoofing)
- Confirmation of presence and/or intent for high-stakes operations
(including, without limitation: legal acts, financial transactions,
corporate decisions, or any context where the authenticity of the
actor's will must be established)
B) Verification of objects and documents:
- Remote verification of object authenticity (such as, without limitation:
artworks, collectibles, luxury goods)
- Integrity verification of physical documents
- Inspection of valuable objects in secured spaces (such as,
without limitation: safes, museum reserves, bank vaults)
C) Verification of places and scenes:
- Remote real-estate inspections (including, without limitation:
tenant move-in/move-out, inventory check)
- Remote inspection of premises or installations
- Damage or incident assessments (including, without limitation:
insurance, expert evaluations, litigation)
- Verification of integrity of secured spaces
- Documentation of scenes for legal evidence
D) General applications:
- Any application requiring confirmation that an audiovisual capture
originates from physical reality and not from a synthetic or manipulated source
- Any context in which digital manipulation of a scene constitutes a risk
$ cat > 2. STATE OF THE ART
STATE OF THE ART
2.1 General context
In the current context of growing digitization of services and
interactions, the need to remotely verify the authenticity of a
person, an object, or a situation has become critical. The banking,
legal, medical, and administrative domains require reliable means
of confirming that the entity observed via an audiovisual capture
is in fact real and physically present.
In parallel, technologies for image and video generation and
manipulation have made major advances. So-called "deepfake" techniques,
real-time rendering engines, and generative artificial intelligence
tools now allow the creation of synthetic visual content that is
difficult to distinguish from reality.
This situation creates a perpetual "arms race" between verification
(detection) technologies and falsification (generation) technologies,
where each advance on one side triggers a response on the other.
2.2 Existing solutions
Current solutions for presence and authenticity verification rely
mainly on:
a) Image analysis by artificial intelligence:
Trained models attempt to detect visual artifacts characteristic
of generated or manipulated content. These systems analyze skin
texture, reflections, micro-movements, and other visual features.
b) Depth sensors (single-device):
Devices equipped with infrared dot projectors or integrated
stereoscopic cameras attempt to verify the three-dimensionality
of the subject. Examples: Face ID (Apple), Android depth sensors.
c) Active challenges:
The system asks the user to perform specific actions (turn the head,
blink, smile) and verifies the consistency of the response.
d) Screen flash and reflection analysis:
The device's screen emits light sequences and the system analyzes
the reflections on the user's face.
Current solutions present the following drawbacks:
- VULNERABILITY TO IMPROVING GENERATORS: Systems based on artifact
detection are doomed to become obsolete as generative technologies
improve. A detector trained on the artifacts of 2024 will be
ineffective against the generators of 2026.
- SINGLE-DEVICE LIMITATION: All current solutions operate on a
single device, allowing an attacker to compromise that single
capture point (video stream injection, sensor emulation).
- ABSENCE OF CROSS PHYSICAL VALIDATION: Current systems cannot verify
the geometric, photometric, radiometric, and telemetric coherence
of a scene viewed from several independent angles simultaneously.
- COMPUTATIONAL COST OF DETECTION VS GENERATION: Detecting falsified
content requires complex analysis, while generating falsified
content becomes less and less costly. This imbalance structurally
favors attackers.
- INJECTION ATTACKS: An attacker can intercept the data flow between
the physical sensor and the verification software, injecting a
synthetic flow that entirely bypasses the real sensors.
2.3 Technical problem to be solved
The technical problem the present invention aims to solve is the
following:
How to design an authenticity and physical presence verification
system that:
1. Does not rely primarily on the detection of visual artifacts
(an approach doomed to obsolescence)
2. Exploits the physical and computational limitations inherent
in any attempt at real-time simulation
3. Makes the cost and complexity of a successful attack
disproportionate relative to the potential benefits
4. Is resilient against compromise of individual devices
5. Can adapt to different risk levels (everyday verification vs.
high-stakes operations)
$ cat > 3. DESCRIPTION OF THE INVENTION
DESCRIPTION OF THE INVENTION
3.1 Objectives of the invention
The invention aims to propose a technological breakthrough in the field
of physical authenticity verification, by shifting the paradigm from
"detection of artifacts or other clues and markers of falsification"
toward "validation of multi-source physical coherence."
The specific objectives are:
- Make falsification computationally impractical rather than
simply difficult to detect
- Exploit the laws of physics (including, without limitation: optical
behaviors and light propagation, reflections and refractions, fluid
dynamics (liquids, gases, smoke, particles), solid-body dynamics,
mechanical interactions, inertial behaviors, acoustic phenomena,
thermal phenomena (conduction, convection, infrared radiation),
latencies and processing times) as the foundation of the verification
- Exploit the practical impossibility of simulating these physical
phenomena convincingly in real time, under the constraint of reacting
to system instructions — whether these instructions are addressed to
devices (including, without limitation: display of visual sequences,
emission of signals) or to users (including, without limitation:
movements, positioning, manipulation of objects) — and this across
multiple simultaneous capture angles with a plurality of sensors
- Allow verification at multiple levels of rigor according to the
stakes (registration on a social network does not require the same
level of verification as a real-estate transaction or a notarial act)
- Offer a long-lasting solution that does not become obsolete with the
improvement of generative technologies, and whose verification
techniques can be progressively deployed, reinforced, or combined as
attackers' capabilities evolve
3.2 Proposed technical solution
To achieve these objectives, the invention proposes a system and method
using a plurality of capture sources (including, without limitation:
cameras, microphones, inertial sensors, depth sensors, signal receivers)
distributed across one or more devices, whose data is analyzed in a
correlated and synchronized manner by a verification entity.
The fundamental principle is the following: simulating, generating,
synthesizing, or rendering a real scene convincingly on ONE video
stream has become possible thanks to advances in generative artificial
intelligence, neural inference, and real-time rendering techniques.
However, simulating, generating, or inferring this same scene in a
perfectly coherent manner across SEVERAL simultaneous video streams,
from different angles, with cross light interactions, coherent
reflections, and strict temporal constraints, exceeds current and
foreseeable computational capacities in the medium and even long term.
The invention is characterized by:
- MULTI-SOURCE CAPTURE: Use of at least two distinct capture sources
providing either different perspectives of the same scene, perceptions
of a different nature of that same scene, or a combination of both.
These sources may be:
(a) distributed across several distinct devices, independent or
organized according to a coordination architecture (including,
without limitation: master-slave configuration, coordinator-
participants, or any other control topology),
(b) integrated into a single device (multiple integrated sensors,
fixed or mobile),
(c) connected to a main device via wired or wireless link
(internal or external sensors, detachable or non-detachable, mobile
or fixed, motorized or non-motorized),
(d) integrated into an auxiliary or accessory device, itself attached
to a main device, or integrated into a detachable part of a
modular or segmentable device (including, without limitation:
capture modules, sensory extensions, accessories with integrated
sensors, detachable parts of foldable or modular devices operating
autonomously or semi-autonomously),
(e) distributed across a set of equivalent or twinned devices,
marketed as a unified system, where no device is designated as the
main one (for example: twin devices, symmetrical detachable
apparatuses, or peer-to-peer configurations),
(f) belonging to the user, to a third party, or publicly available,
including without limitation: wearable or body-worn devices
(watches, glasses, connected accessories, implants), infrastructure
sensors (surveillance cameras, building sensors), public or
semi-public devices (kiosks, terminals, vending machines), or
devices made temporarily available (borrowed, rented, shared,
whether under a dedicated service, a partnership, or any other
circumstance), fixed or mobile,
or any combination of these configurations, regardless of the format,
size, or primary purpose of the devices concerned (including, without
limitation: devices with or without screens, wearable, body-worn,
fixed, mobile, infrastructure, dedicated to verification or not,
connected appliances, game consoles, or any other device with capture
capabilities).
- SYNCHRONIZED CROSS-REFERENCING: Correlated analysis of the streams
from the different sources to verify their coherence according to
multiple criteria including, without limitation: geometric, photometric,
radiometric, telemetric, temporal, acoustic, inertial, thermal,
spectral, kinematic (movements and speeds), topological (spatial
relations), behavioral, statistical, electromagnetic (RF, WiFi,
Bluetooth signals), positional, biometric, entropic, causal (cause-
effect relations), and contextual coherence.
- PHYSICAL CHALLENGES: Introduction of verification elements exploiting
the laws of physics, including without limitation:
* Optical behaviors: light propagation, reflections, refractions,
caustics, inter-reflections, subsurface scattering, shadows and
penumbras, parallax
* Fluid dynamics: liquids, gases, smoke, particles, turbulences,
capillary effects, chaotic behaviors
* Solid-body dynamics: deformations, collisions, mechanical
interactions, elastic behaviors
* Inertial behaviors: accelerations, decelerations, momentum,
gravitational forces
* Acoustic phenomena: sound propagation, reverberation, echoes,
environmental acoustic signatures
* Thermal phenomena: heat transfers (conduction, convection,
radiation), thermal signatures
* Electromagnetic phenomena: propagation of RF, WiFi, Bluetooth
signals, magnetic field variations
The correct simulation of these phenomena in real time, across
multiple angles simultaneously, remains computationally prohibitive
in the current state of technology.
- VERIFICATION BY CROSS-CAPTURE: In the basic configuration, each
device may be in the capture field of at least one other device,
confirming their physical co-presence in the same scene. This mutual
capture allows verification that the devices are effectively
co-located and not independently simulated.
- ON-SCREEN VISUAL CHALLENGES: The verification entity commands the
display of visual stimuli (including, without limitation: geometric
shapes, color patterns, animated sequences) on the screen of one
device, these stimuli being captured by another device. This
technique allows verification of:
* The correspondence between the stimulus sent and the stimulus
captured
* The geometric coherence of the capture (distortion, angle)
* The temporal synchronization (correct timing)
* The authenticity of the screen (no stream injection)
This verification can be performed without requiring a complete
feedback loop (mise en abyme). The stimuli may also be generated
and managed locally by the devices themselves.
- OPTICAL FEEDBACK LOOP: In certain embodiments, the screens of the
devices "see" each other through their cameras, creating a visual
feedback effect (mise en abyme) whose faithful simulation requires
recursive real-time rendering. It may also be considered to integrate
a reflective surface in the verification process, allowing in
particular an enhanced verification with a single device: the
device's screen seeing itself in the reflective surface via the camera,
creating a feedback loop without requiring a second device. The
reflective surface furthermore presents the advantage of being a
physical optical element, with the associated implications and
advantages.
This single-device configuration with reflective surface constitutes
an accessible level of verification when the user does not have a
second device, an equipped public location, or a dedicated
verification accessory.
- ENTROPY ANCHORS: Introduction of physical elements with high entropy
(such as, without limitation: fluid movements, deformable objects)
whose chaotic behavior is practically impossible to convincingly
simulate across multiple angles simultaneously.
- COMPLEMENTARY TECHNIQUES: Set of auxiliary methods including,
without limitation: verification by sound waves, user-interface
traps, dynamic steganography, accelerometric correlation, and
latency tests.
3.3 Advantages and capabilities of multi-source
The multi-source capture principle opens a wide range of verification
techniques, exploitable individually or in combination. These
techniques include, without limitation:
A) GEOMETRIC CROSS-REFERENCING TECHNIQUES:
- Verification of angular coherence between captured perspectives
- Parallax analysis (differential displacement of near/far objects)
- Implicit 3D reconstruction from multiple views
- Verification of coherence of arrangements, proportions and dimensions
- Analysis of occlusion relations (which object hides which other)
B) PHOTOMETRIC CROSS-REFERENCING TECHNIQUES:
- Coherence of lighting conditions between sources
- Verification of coherence of shadows and penumbras
- Analysis of reflections and their geometric coherence
- Verification of caustics and inter-reflections
- Chromatic coherence between captures
C) TEMPORAL CROSS-REFERENCING TECHNIQUES:
- Precise synchronization of captured streams
- Temporal correlation of observed events
- Analysis of motion coherence between perspectives
- Verification of delays and latencies
D) TECHNIQUES EXPLOITING THE DISPLAY (ON-SCREEN):
- Visual challenges commanded by the verification entity
- Geometric patterns with shape recognition
- Color sequences with correspondence verification
- Animations whose timing and shape are verified
- Dynamic QR codes or encoded visual patterns
E) CROSS-CAPTURE TECHNIQUES:
- Verification of device co-presence in the scene
- One device capturing the screen of another
- Same stream captured by several sources (multi-level)
- Cross-validation of direct and indirect streams
F) INERTIAL AND POSITIONAL TECHNIQUES:
- Correlation of inertial data (accelerometer, gyroscope, orientation)
with the observed visual movement
- Coherence of GPS/positional data between devices
G) ACOUSTIC TECHNIQUES:
- Coherence of the environmental acoustic footprint between sources
- Audio/video correlation (multi-angle lip-sync)
- Analysis of sound propagation delays
- Verification of coherent reverberation
H) ELECTROMAGNETIC TECHNIQUES:
- Coherence of RF/WiFi/Bluetooth signals between devices
- Comparison of the ambient electromagnetic environment (any
detectable signal)
- Verification of coherence of the local magnetic field
- Correlation of magnetometric variations with observed movements
I) ENTROPY AND CHAOS TECHNIQUES:
- Use of entropy anchors (fluids, deformable objects)
- Exploitation of verifiable chaotic behaviors
- Patterns unpredictable but coherent across perspectives
J) OPTICAL LOOP TECHNIQUES:
- Mise en abyme: devices equipped with screen and/or camera, seeing
and/or filming each other, and/or filming themselves via a
reflective surface or through the display of another device
- Recursive visual feedback
Exploitable verification axes (including, without limitation):
- Recursion fidelity (correspondence between displayed/captured
stimulus)
- Visible portion of the scene in the loop (varies according to
orientation/position)
- Geometric coherence (angles, distortions, perspectives)
- Temporal coherence (propagation delays in the loop)
- Response to commanded challenges visible in the recursion
- Photometric coherence (colors, luminosity, reflections)
K) MULTI-ANGLE BIOMETRIC TECHNIQUES:
Capture and verification of biometric markers via the multi-source
setup, including, without limitation:
- Facial coherence under multiple angles
- Multi-perspective analysis of micro-expressions
- Coherence of body movements
- Fingerprints and palm prints (visual capture and/or multi-angle
in high resolution)
- Hand geometry (shape, proportions, articulations)
- Ear morphology
- Vein patterns (hand, wrist)
- Skin texture
- Iris and ocular patterns (if resolution sufficient)
- Any other biometric marker visually capturable
Simultaneous use of dedicated biometric sensors:
- Simultaneous reading on the sensors of different devices
(e.g., one finger of each hand on the fingerprint reader of each
device), whether biometric data is transmitted to the server or not
- Sequential reading of the same finger on several devices, without
visual-field break (the finger remains visible during the transition
from one sensor to the other)
- Temporal correlation of biometric captures
- Verification that data comes from the same individual, if
applicable (including, without limitation: synchronicity of pulse
data, coherence of biometric characteristics between sensors)
L) COMMANDED CHALLENGE TECHNIQUES:
- Verifiable movement instructions (turn, pivot)
- Commands for interaction with physical objects
- Timing imposed by the verification entity
- Unpredictable challenges with expected response
Advantage of a second screen for instructions:
- In the presence of a second device with a screen, the instructions
may
be displayed in a more precise and visually detailed manner
(see Figure 3)
- Real-time visual guidance (arrows, animations, target zones)
- Immediate feedback on the execution of instructions
- Increased precision compared to text or audio instructions alone
These techniques can be combined according to the stakes of the
verification, allowing a gradient of rigor adapted to the context.
3.4 Advantages of the invention
- TEMPORAL RESILIENCE: Unlike artifact detectors, the system does not
become obsolete with the improvement of generators, because it
exploits fundamental physical limitations.
- ASYMMETRIC COST: The computational cost of falsifying the system is
exponentially higher than the cost of verifying it, inverting the
current imbalance.
- TEMPORAL ASYMMETRIC ADVANTAGE: The attacker must simulate in real
time (strong latency constraint to maintain the illusion), while the
server/verifier can analyze the data a posteriori, without real-time
constraint. For high-stakes operations, validation can be asynchronous,
allowing deeper analyses (3D reconstruction, fine correlation of
micro-movements, exhaustive coherence verification). This temporal
asymmetry constitutes a major structural advantage of the system.
- ADAPTABILITY: The system can operate at different levels of rigor,
from a basic verification (two cameras, simple tests) up to a maximal
verification (large number of devices, integration of all available
tests in a single session).
- RESISTANCE TO COMPROMISE: The compromise of one, or even all of the
devices, is not necessarily sufficient to deceive the system, because
multi-source coherence and scene fidelity must be maintained.
- ALGORITHM INDEPENDENCE: The method does not depend on a specific
detection algorithm that could be circumvented; it relies on a
combination of factors, as well as on universal physical principles.
- ECONOMIC EFFICIENCY AND PRIVACY: Certain verification techniques
(including, without
limitation: algorithmic traps, expected-result tests, statistical
verifications) offer a particularly favorable cost/effectiveness
ratio for the defender, allowing robust protection with moderate
resources. The combination of these techniques can constitute an
effective and accessible first line of defense. These same techniques
also allow, when desired, reduction of sensitive-data exposure by
performing certain verifications on the basis of signatures, hashes,
metadata, or test results rather than on full raw streams, thus
limiting the volume of personal data transmitted or stored.
- SYNERGY WITH HARDWARE EVOLUTIONS: The protocol will benefit from
future improvements of devices (including, without limitation:
hardware attestation of stream origin, cryptographic signatures at
sensor level, certified image patterns, chain of trust from the
sensor). These evolutions will reinforce the protocol without
replacing it; the latter remains fully effective with current
hardware, without dependence on manufacturers or operators
controlling hardware authentication — thus guaranteeing operational
autonomy.
- STRUCTURAL DEFENDER ADVANTAGE: The centralization of verification
resources (data science, R&D, continuous adaptation of tests) allows
the defender to evolve faster than attackers, who must reverse-engineer
each update without access to global statistical data. Each new
verification factor multiplies the cost of attack.
$ cat > 4. DETAILED DESCRIPTION
DETAILED DESCRIPTION
4.1 General architecture
The system according to the invention comprises:
a) AT LEAST TWO CAPTURE SOURCES, OF DIFFERENT NATURE AND/OR PERSPECTIVE:
These sources may be configured according to one of the following
modalities, or any combination thereof:
- MULTI-DEVICE CONFIGURATION: Two or more physically distinct devices,
including, without limitation:
* Personal devices of the user (phones, tablets, computers with
webcam, smart watches, smart glasses)
* Third-party devices, dedicated or not dedicated to verification
* Public or semi-public devices (interactive kiosks, payment
terminals, vending machines equipped with cameras, automated
teller machines, interactive advertising screens, information
kiosks, vending automatons)
* Existing infrastructure devices (surveillance cameras,
videoconferencing systems, point-of-sale equipment, access-control
cameras)
* Devices made available by an operator, commercial partner, public
or private establishment, or any other third party (in a permanent,
temporary, or one-time manner)
* Any device equipped with at least one capture source and able to
communicate with the verification system, or otherwise capable of
serving as a reference point for verification (including, without
limitation: devices displaying dynamic values validatable by a
shared cryptographic secret), independently of its primary function
or its owner
- INTEGRATED MONO-DEVICE CONFIGURATION: A single device equipped with
multiple integrated sensors (example: front and rear cameras of a
phone, or multiple rear cameras)
- CONFIGURATION WITH EXTERNAL SENSORS: A main device connected to one
or more external sensors via wired or wireless link (example: phone
connected to an external camera, drone, detachable sensor, or mobile
peripheral)
- The data sources, allowing characterization of physical quantities
and/or the state of the scene or situation verified, include, without
limitation:
* Sensors of physical quantities (images, sounds, depth, temperature,
pressure, acceleration, orientation, luminosity, proximity)
* Telemetric sensors (lidar, ToF, radar, ultrasounds)
* Receivers of electromagnetic signals (radio antennas, WiFi,
Bluetooth, NFC, GSM/cellular, GPS, local radio signals)
* Cryptographic or security modules (secure chips, cryptographic
response elements, token generators)
* Captured environmental data (detected radio stations, visible
WiFi networks, cellular towers in proximity, Bluetooth beacons)
* Any data or metadata reflecting the state, configuration, or
conditions of the scene, environment, or situation verified
* Any other means of capture, reception, or generation of data
that may be correlated to establish authenticity
The present invention also covers configurations where multiple
capture sources are integrated into a same commercial product as
detachable modules, embedded peripherals, extensions of the main
device, or components of a unified product ecosystem, regardless of
their connection mode (wired, wireless, or internal) or their
commercialization as a single product or as a set of separate
products. The invention applies as soon as at least two distinct
perspectives of the same scene are captured and analyzed in a
correlated manner, regardless of the hardware configuration used.
Note: Within the framework of the protocol, any device may assume
the role of subject requiring verification, of auxiliary participating
in the verification of another subject, or both simultaneously. The
devices may receive any instruction and assume any role necessary to
the verification process, according to the needs and configuration
of the session.
b) A VERIFICATION ENTITY:
Unit or set of processing units receiving the data streams from the
capture sources and performing the correlated analysis. This entity
may take various forms, including, without limitation:
CENTRALIZED ARCHITECTURES (maximal security level):
- A remote server controlled by the verifier
- A cloud infrastructure controlled by the verifier
- A dedicated local instance
- A distributed system under unified control
DECENTRALIZED OR HYBRID ARCHITECTURES:
- A peer-to-peer network of verification nodes
- Externalized computing resources (including, without limitation,
distributed computing networks, on-demand computation services,
or resources rented or borrowed on third-party devices)
- A public or semi-public device serving as a trust anchor point
(including, without limitation: kiosk, terminal, vending machine)
performing all or part of the verification locally
- Verification distributed among several participating devices,
with or without central server
OFFLINE OR AUTONOMOUS ARCHITECTURES [DEGRADED MODES]:
- Verification performed locally on the devices themselves, with
optional later synchronization
- Direct peer-to-peer verification between devices without server
- Devices performing all or part of the verification, whether
trusted or not, pre-authorized or not, including without
limitation: designated devices, arbitrarily selected devices,
third-party devices currently connected, or any device dynamically
recruited
IMPORTANT - STATUS OF THESE ARCHITECTURES:
The offline and autonomous architectures described above constitute
DEGRADED or FALLBACK modes. They are described to ensure
operational flexibility of the system, but ARE NOT claimed as
innovative in themselves when they involve a single device without
external dependence. Purely local verification on a single device
falls within the existing state of the art (cf. section 6.1 -
EXCLUSION). However, even in degraded mode, the SPECIFIC TECHNIQUES
described in the present application (visual feedback, entropy
anchors, etc.) remain independently protectable innovations.
Note: The maximal security level is reached with a centralized
architecture where the verification server is controlled and secured
by the operator of the service. Alternative architectures offer
trade-offs between accessibility, cost, and trust level, adapted
according to the stakes of the verification concerned and the means
available.
Note: Peer-to-peer configurations may bring additional verification
value in the case of group verifications (including, without
limitation: teams, events, collective activities). In this context,
the correlation of multiple devices (e.g., 20+ sensors for a group
of 20 people) reinforces the verification, and peer-to-peer
connections between co-located devices may add a confidence factor
related to their physical proximity. However, peer-to-peer methods
going through a relayed network (with antenna external to the
devices) offer fewer guarantees than local proximity communications
(including, without limitation: Bluetooth, NFC, WiFi Direct,
ultrasounds).
RELAY SERVER INFRASTRUCTURE (latency optimization and triangulation):
The system may be equipped with relay servers geographically
distributed, at minimum in major urban centers and population zones,
serving as entry points to the verification network. These relays
allow:
- Minimal latency: Each user communicates with the nearest relay,
reducing the transmission delay to the physically minimum possible
for their location.
- Authentication of minimum ping: The relay authenticates and
timestamps the arrival of data, establishing a proof of minimum
expected latency according to the declared geographic distance.
- Triangulation by latency differential: By performing pings to
several relay servers simultaneously (or by measuring response
times from several relays), the system can infer the approximate
position of the user. The comparison of latencies measured to
each relay allows confirmation or refutation of the declared
location.
- Correlation with third-party data: The inferred position can be
compared with other data sources, including, without limitation:
declared GPS data, geolocation of the IP address (country, region,
city associated with the IP by IP geolocation databases), data of
other users in the same geographic zone (group environmental
coherence).
Example: if the relay server is in Paris, if the user has an IP
address geolocated in Paris, but presents a latency of 400ms
(incompatible with a local connection), this indicates probable
use of a VPN or proxy. The system may then ask the user to disable
these tools to continue the verification.
This infrastructure is not necessarily specific to the present
protocol and may rely on existing or shared infrastructures.
c) COMMUNICATION MEANS:
Interfaces allowing the transmission of data, in a wired or wireless
manner, direct or indirect, between the capture sources and the
verification entity, including, without limitation:
- Standard protocols: Wi-Fi, cellular networks (4G, 5G, and future
generations), Bluetooth, NFC, Zigbee, LoRa, satellite
- Proprietary or custom protocols
- Wired communications (USB, Ethernet, serial)
- Any other communication protocol existing or to come
The transmitted data may also include information about the radio
environment itself, such as, without limitation: detected radio
signals (including, without limitation: FM/AM stations, frequencies,
powers), visible networks, cellular tower identifiers, ambient
electromagnetic signatures, or any other capturable data relating
to surrounding signals.
d) COMMANDABLE EMISSION MEANS:
Devices allowing the emission of signals or stimuli commanded by
the verification entity, including, without limitation:
* Visual emissions: screens displaying contents (color sequences,
visual patterns, graphical elements, codes, video streams, static
or dynamic text, instructions), LEDs, flashes, projectors, lasers
* Sound emissions: speakers emitting audible sounds or ultrasounds,
coded acoustic signals, audio sequences
* Electromagnetic emissions: radio signals, Bluetooth, NFC, WiFi,
or any other commandable electromagnetic signal
* Physical/mechanical emissions: vibrators, motors, actuators,
kinetic control, displacement of mobile components
* Thermal emissions: commandable heating or cooling elements
* Future or specialized emissions: directional magnetic fields,
energy beams, wireless energy transmission, drones or mobile
elements associated with the device, or any other form of
commandable physical or energetic emission
These emission means allow creation of stimuli verifiable by the
sensors of the other devices participating in the verification.
Note on the scope of commands of the verification entity:
The verification entity may send any type of command to any device
participating in the verification process, including, without
limitation:
- Emission commands: trigger visual, sound, electromagnetic, or
physical emissions (as described above)
- Capture commands: enable/disable video or audio streams, take
photos, trigger recordings, alternate between cameras (front/back,
rapid or sequential switching), adjust capture parameters
(resolution, framerate, exposure)
- Transmission commands: request the sending of specific sensor
data (inertial, positional, environmental), metadata, system data,
usage data, or any other data accessible on the device
- Display commands: control what is displayed on the screen,
overlay visual elements, display instructions
- Configuration commands: modify the device parameters for the
needs of the verification
- Any other command necessary for the proper conduct of the
verification
The timing, sequence, and nature of the commands are determined by
the verification entity according to the needs of the test, in a
predictable or unpredictable manner for the user and any potential
attacker. This total flexibility allows challenges to be adapted in
real time and renders any attempt at simulation or prediction
prohibitively complex.
e) OPTIONALLY, COMPLEMENTARY SENSORS AND DATA:
Sensors, accessories, and additional data sources able to enrich
the verification process, including, without limitation:
* Sensors of physical quantities: accelerometers, gyroscopes,
ambient-light sensors, microphones, depth sensors, lidars,
time-of-flight (ToF) sensors, radars, magnetometers, barometers
* Environmental sensors: temperature, humidity, atmospheric
pressure, air quality, altitude
* Positioning sensors: GPS, GNSS, compass, altimeter
* System and contextual data: device state, timestamp, hardware
identifiers, configuration metadata
* Connected accessories and peripherals: external sensors,
connected objects (IoT), complementary modules
* Any other data source or sensor able to contribute to
establishing the authenticity of the scene or situation verified.
4.2 Verification configurations
The invention provides for several verification configurations,
adapted to the stakes and practical constraints.
Preliminary note: The configurations described below are presented
on an indicative and non-hierarchical basis. They may be freely
combined, modulated, or adapted according to security stakes,
available hardware, and practical constraints. This list is not
exhaustive; any configuration allowing multi-perspective or multi-
modality verification is covered by the present invention, whether
described explicitly below or not. The combination of several
configurations is recommended to reach a high confidence level.
A) MONO-DEVICE CONFIGURATION
Use of a single device, according to one of the following
configurations, or any combination thereof:
a) Integrated multi-cameras: device equipped with several cameras
(example: phone with front and rear cameras). The analysis bears
on angular coherence between the perspectives, and on the
correlation with the data of inertial sensors during movements.
Exploitation of the screen as a light source: the device's screen,
oriented forward, may emit commanded light patterns (color
sequences, intensity variations, animated shapes). These light
emissions simultaneously produce:
- Lighting of the scene located behind the user (capturable by the
rear camera)
- Reflections on the user's face and eyes (capturable by the
front camera)
The correlation between these two effects (scene lighting + face
reflections) constitutes a double verification difficult to
simulate coherently. The device's flash may be used in a similar
manner, creating analyzable shadows on the rear scene and an
illumination of the face.
b) Single-camera with visual feedback: use of a single camera in
combination with a visual-feedback device, allowing creation of an
optical feedback loop (mise en abyme effect) where the device's
screen sees itself.
The visual-feedback devices include, without limitation:
- Reflective surfaces (including, without limitation: pocket-sized,
wall, public, or any other available reflective surface)
- Digital screens with visual feedback: any unpaired device
displaying a video stream in return (public screen, television,
monitor, tablet, or other display device)
B) MULTI-DEVICE CONFIGURATION
Use of two or more independent devices. Pairing is performed by
reading an encoded visual pattern (including, without limitation:
QR code, barcode, graphical pattern - see Figure 2) and/or by
proximity wireless communication (including, without limitation:
Bluetooth, NFC, WiFi Direct). The devices execute commands issued by
the verification entity (including, without limitation: display of
visual sequences, sound emissions, light flashes, radio emissions,
or any other form of commandable emission), and each sensor observes
the scene, including or not the other device in its field of
perception.
Configuration with optical loop: the devices may be positioned so
that each camera can observe the screen of the other device. This
creates a visual feedback loop (infinite reflection effect or mise
en abyme - see Figure 3) whose temporal and geometric characteristics
are analyzed.
C) COMPLEMENTARY TECHNIQUES
The above configurations may be enriched by one or more of the
following techniques, applicable in mono-device as in multi-device,
without limitation:
c.1) Entropy anchors: introduction into the scene of a high-entropy
physical element (such as, without limitation: container with a
liquid, fabric, deformable object, smoke, particles). The chaotic
movements of this element must be coherent across all capture
angles.
c.2) Cryptographic anchoring: use of a specialized authentication
object (physical token, secure chip, object with cryptographic
response) interacting with the device(s).
c.3) Commanded stimuli and correlations: sound verifications
(acoustic propagation time), accelerometric correlations
(coherence of inertial data between devices), and latency tests
(measurement of transmission and response delays).
c.4) Verification accessories: any object or source present in the
user's environment may serve as an accessory, including without
limitation:
- Sound-emitting objects: musical card, sound toy, instrument,
speaker, or any object producing an analyzable sound
- Light-emitting objects: lamp, candle, secondary screen, LED,
light indicators, or any object producing modulable light
- Environmental elements: room lighting, faucet (controllable
water flow), fan, any element controllable by the user
- Modulable objects: any object that can change shape,
autonomously or by manipulation (articulated toy, foldable
object, mobile mechanism, etc.)
- Identifiable objects: any object with distinctive visual
characteristics verifiable from multiple angles
Any element of the environment likely to produce a verifiable
stimulus (visual, sound, or otherwise) may constitute a valid
accessory for multi-sensor verification.
4.3 Verification method - General principles
The method according to the invention rests on the following
fundamental principles:
A) MULTI-PERSPECTIVE ACQUISITION:
Simultaneous or quasi-simultaneous capture of data from at least
two distinct capture sources, allowing different perspectives
and/or different perception modalities of the same scene or
situation to be obtained.
B) TRANSMISSION AND SYNCHRONIZATION:
Communication of captured data to the verification entity, with
temporal synchronization allowing correlated analysis.
C) CORRELATED ANALYSIS:
Processing of multi-source data to verify their coherence
according to one or more criteria (including, without limitation:
geometric, photometric, radiometric, telemetric, temporal,
acoustic, inertial, thermal, spectral, kinematic, topological,
behavioral, statistical coherence).
D) AUTHENTICITY DETERMINATION:
On the basis of the correlated analysis, determination of the
authenticity of the scene, the subject, or the situation verified,
with an associated confidence level.
4.3.1 Verification techniques - General presentation
The invention covers the use, individual or in combination, of
verification techniques including, without limitation:
a) SESSION-ESTABLISHMENT TECHNIQUES:
Methods allowing the establishment of a verification session
between the capture sources and the verification entity, including,
without limitation: pairing by encoded visual pattern, pairing by
proximity wireless communication, automatic identification
(including, without limitation: geopositional correlation,
correlation of the radio environment, mutual perception of devices
via radio/Bluetooth signals), or any other method aimed at
associating or identifying devices as intended to participate in
one or more verification sessions or procedures, or themselves
requiring verification.
b) CALIBRATION TECHNIQUES:
Methods allowing characterization of the properties of the capture
sources and emission means, including, without limitation:
colorimetric characterization, baseline-latency measurement,
communication verification, establishment of references, or any
other characterization useful to the verification.
Calibration may include, without limitation, an evaluation of the
capacities and limitations of each participating device (including,
without limitation: resolution, capture latency, sensor quality,
temporal stability, or any other measurable property), allowing
the verification entity to dynamically adapt the test parameters
to the capacities of the least performing device, or to modulate
the tests in any other way.
Calibration may also establish a relative temporal synchronization
between devices by triggering observable physical events
(including, without limitation: light flash, sound signal, change
of display on screen, variation of radio signal, or any other
stimulus perceptible by the sensors), allowing captured streams
to be referenced at a common instant without depending on the
synchronization of the system clocks of the devices, or by any
other temporal synchronization method.
These calibration techniques are given for illustration; any other
calibration method allowing characterization, synchronization, or
adaptation of the system to real conditions is covered by the
present invention.
c) STIMULATION TECHNIQUES AND EXPLOITATION OF RENDERING LIMITATIONS:
Methods where the verification entity commands the emission of
stimuli (including, without limitation: visual sequences, sound
signals, electromagnetic emissions, physical commands) and verifies
their effect on the scene captured by the capture sources.
These techniques may specifically target physical phenomena
particularly costly to simulate, including, without limitation:
- Caustics (refraction of light through transparent objects)
- Fluid dynamics
- Subsurface scattering on the skin
- Multiple reflections (inter-reflections)
The verification algorithms may be sent dynamically by the
verification entity, rendering their reverse-engineering by an
attacker impractical. The tests themselves may vary from one
session to the other (dynamic algorithmic diversity).
d) FEEDBACK-LOOP TECHNIQUES:
Methods exploiting the fact that a capture source observes the
emission means of another device (or of the same device via a
reflective surface), creating analyzable feedback effects (mise en
abyme, optical recursion).
e) ENTROPIC-ANCHORING TECHNIQUES:
Methods using physical elements with chaotic, unpredictable, or
highly entropic behavior (including, without limitation: fluids,
deformable objects, particles) whose multi-perspective coherence
is verified.
f) INERTIAL-CORRELATION TECHNIQUES:
Methods comparing the data of inertial sensors (including, without
limitation: accelerometers, gyroscopes) with movements inferred
from the captures.
Movement inference may be performed from multiple data sources,
including, without limitation: changes of visual perspective,
parallax, geometric transformations, acoustic variations,
variations of radio signals, inter-sensor temporal shifts.
g) LATENCY-VERIFICATION TECHNIQUES:
Methods measuring and analyzing transmission and response delays,
including, without limitation: low-latency priority requests (for
example, without limitation: tolerance of a delay on the main
video stream, but a punctual request for a frame or fraction of a
frame/image of the scene, sent in priority, potentially via a
different connection or channel, with coherence verification by
the server a posteriori), geographical comparison of latencies,
detection of abnormal delays indicative of intermediate processing.
The system may measure the latencies of different operations and
compare these measurements with each other and with the expected
values. A simulation system would introduce specific latencies
(rendering times) that would not be present in an authentic capture.
h) ACOUSTIC-VERIFICATION TECHNIQUES:
Methods using sound propagation to verify physical distances and
positions between devices or elements of the scene.
The devices may emit sound signals (audible or ultrasonic). The
microphones of the other devices capture these signals. The
propagation time allows calculation of the physical distances
between devices and verification of their coherence with the
visual observations.
Complementary techniques including, without limitation:
- Analysis of the user's vocal responses (speech, requested
verbal instructions)
- Calculation of distance differences by propagation time between
several microphones
- Coherence between the visual scene and the sounds emitted by
the voice and actions of the user (lip-sync, interaction noises)
- Adapted processing according to the known characteristics of
the devices used (microphone model, frequency response,
sensitivity)
i) TRAPPING AND STEGANOGRAPHY TECHNIQUES:
Methods where the expected result of a test is known only to the
verification entity, allowing detection of simulated or falsified
responses.
Application examples, without limitation:
- Interface traps (UI Traps): the verification entity may send
interface elements whose expected behavior is voluntarily
different from what a local detection system might predict. For
example, a local color-detection algorithm might be voluntarily
defeated by the sending of a color close to that of an element
of the scene, and the verification entity expects this detection
to fail. An attacker simulating responses, except by deep analysis,
would not know which detections must fail, nor in what proportion.
- Dynamic steganography: hidden information (not visible to the
naked eye but detectable by fine analysis of the streams) may be
injected into the displayed contents. The presence or absence of
these elements in the received captures allows additional
verification.
j) MULTI-MODAL AND TELEMETRIC VERIFICATION TECHNIQUES:
Methods combining data of different nature (including, without
limitation: visual + lidar, visual + acoustic, visual + thermal)
for cross-verification.
The invention may exploit existing imaging techniques, including,
without limitation: stereoscopic imaging, 3D vision, depth
reconstruction, photogrammetry. These imaging techniques, known in
themselves, are used within the framework of the invention not
for their original purpose (three-dimensional reconstruction,
distance measurement), but as means of multi-perspective coherence
verification in the service of authenticity determination.
The distance sensors (including, without limitation: time-of-flight
/ ToF, lidar, radar, ultrasounds) may be used to verify the
coherence of depth and distance measurements with the visual
observations and the data of the other sensors. Correlated
analysis includes telemetric verification.
4.3.2 Verification flow example (indicative embodiment)
By way of non-limiting example, a verification flow may comprise the
following phases. These phases are presented for illustration and
may be omitted, reordered, combined, repeated, or adapted according
to the needs of the verification:
INITIATION PHASE:
Establishment of a verification session, generation of identifiers,
optional pairing of the participating devices (see Figure 2).
CALIBRATION PHASE (optional):
Characterization of the properties of the devices, the environment,
and the situational context; establishment of references (including,
without limitation: colorimetric, acoustic, light, electromagnetic,
geographical references); measurement of baseline latencies.
CHALLENGE PHASE:
Execution of one or more verification challenges selected according
to the security level required. These challenges exploit one or
more of the techniques listed above.
ANALYSIS PHASE:
Correlated processing of the received data using computational
methods (including, without limitation: machine learning,
computer vision, coherence analysis, physical models).
DECISION PHASE:
Determination of authenticity with associated confidence level.
This phase may be deferred if the verification entity requires
additional time to process the data (a-posteriori analysis).
$ cat > 5. EMBODIMENTS
EMBODIMENTS
The following embodiments are presented as non-limiting examples,
intended to illustrate certain possible applications of the invention.
These examples cannot restrict the scope of the claims, which cover
any implementation of the principles and techniques described in the
present application, regardless of the field of application, the
hardware configuration, or the context of use.
5.1 First mode - Bank account opening
A user wishes to open a bank account online. The banking service
requires reinforced identity verification.
1. The user starts the process on their mobile phone.
2. After providing their information and photographing their ID
document, the application asks them to complete a presence
verification.
3. The application displays an encoded visual pattern and asks the
user to access the verification site on a second device (for
example their laptop or a public PC).
4. The user scans the pattern (or pairs via proximity wireless
communication), the devices are paired (see Figure 2).
5. Multi-device verification engages: the user positions their phone
facing the webcam, creating an optical loop.
6. Color sequences are displayed, the reflections on the user's face
are analyzed from the two angles.
7. Verification succeeds, the account is opened.
5.2 Second mode - High-risk transaction
A user wishes to perform a bank transfer of a significant amount
from an unusual location.
1. The bank triggers a high-level verification.
2. The user uses two devices as previously.
3. In addition to the standard tests, the application asks the user
to present a partially-filled bottle of water and shake it lightly.
4. The movements of the liquid are captured from two angles and
analyzed for their physical coherence.
5. The transaction is authorized.
5.3 Third mode - Mono-device
For everyday lower-stakes verifications, a single device having
multiple cameras is used.
1. The user holds their phone and activates the verification.
2. The phone uses simultaneously the front and rear cameras.
3. The user pivots the device and/or pivots themselves according to
the instructions, allowing the two cameras to capture the scene
from different angles throughout the movement.
4. The server verifies the angular coherence between the two
perspectives, the correlation with the accelerometric data, and
the temporal coherence of the captures during the movement.
5. Verification succeeds.
5.4 Fourth mode - Real-estate inventory
An owner and a tenant wish to perform a remote move-out inventory,
each being in a different location.
1. The tenant goes to the apartment with two devices (two phones,
or one phone and one tablet).
2. They start the verification process and pair the two devices.
3. The owner joins the session remotely and can observe the video
streams in real time.
4. The tenant walks through the apartment holding the two devices,
filming each room and element from multiple angles simultaneously.
5. The server continuously verifies the geometric and temporal
coherence of the multi-angle captures, ensuring that they are real
images and not pre-recorded or manipulated videos.
6. For elements requiring particular attention (state of a wall,
operation of an appliance), the tenant brings the devices closer
for a detailed multi-perspective capture.
7. The server generates a timestamped report certifying the
authenticity of the captures, usable as legal evidence.
Mono-device variant: The inventory may also be performed with a
single device equipped with multiple cameras (front and rear). The
tenant pivots themselves and moves the device according to
instructions, allowing the two cameras to capture the space from
different angles. The cross-referencing of data and the correlation
with inertial sensors allow authenticity verification, to a degree
adapted to the stakes concerned.
To strengthen the mono-device verification, the system may exploit
elements present in the location itself: for example, the tenant
may be invited to position themselves facing the bathroom mirror,
creating an optical feedback loop where the device's screen sees
itself in the mirror via the camera. This immersive configuration
allows reinforced verification tests to be performed without
requiring a second device, by using the existing infrastructure of
the location.
5.5 Fifth mode - Verification of a valuable object
An insurance company wishes to verify the state of an insured object
(jewel, artwork, musical instrument) following a declaration.
1. The insured uses two devices to capture the object from several
angles simultaneously.
2. The server verifies the geometric, photometric, and radiometric
coherence of the object across the different perspectives.
3. Specific challenges may be requested: rotate the object, present
it under commanded lighting, or place it next to a reference
element.
4. The coherence of reflections, shadows, and physical
characteristics of the object across the different perspectives
confirms its authenticity.
5. The generated report certifies the actual state of the object at
time T.
5.6 Sixth mode - Inspection of a secured room
A security manager wishes to verify the integrity of a vault room
or a museum reserve following an alert or on a routine basis.
1. An agent on site uses two devices to film the space.
2. The server commands specific verification sequences: synchronized
panoramic, focus on access points, verification of the presence
of inventoried elements.
3. The optical loop between the devices confirms their actual
physical presence in the space.
4. The multi-angle captures allow verification of the spatial
coherence of the environment, detecting any attempt at
substitution by pre-recorded images.
5. The history of verifications creates a consultable chain of
evidence.
5.7 Techniques and elements considered ancillary, and potentially
novel and/or specific
The following elements are presented for illustration and on a
non-limiting basis. They illustrate approaches and concepts that the
inventor considers as ancillary to the main protocol, potentially
novel and/or specific to the present invention, as well as the
potential offered by multi-sensor and multi-device correlation
within the framework of authenticity verification, without however
restricting the scope of the claims to the elements described here
alone.
A) MONO-DEVICE WITH REFLECTIVE SURFACE - SIMULTANEOUS DOUBLE
PERSPECTIVE:
Configuration where the user exploits a reflective surface to obtain
two simultaneous perspectives with a single device equipped with
front and rear cameras:
Variant 1 - Facing the reflective surface:
- The user places themselves facing a reflective surface
- They point the front camera and screen toward the reflective
surface
- The rear camera, oriented toward them, films their face directly
- The front camera films their face through the reflection
- Result: two perspectives of the same subject captured simultaneously
- The user moves the device according to instructions, generating
analyzable geometric variations
Variant 2 - Reflective surface behind the user:
- The user holds the device in selfie mode (screen facing them)
- A reflective surface is positioned behind them
- The front camera captures the user's face
- The rear camera captures the reflection of the scene (potentially
including the user's back, the environment, and/or the reflection
of the device)
- Multiple geometric configurations possible according to positioning
Verification elements exploitable during these configurations:
- Triggering of the flash (light effects coherent across both
captures)
- Display of visual sequences on the screen (visible in the
reflection)
- Control of ambient lighting: the user may turn off the room light,
allowing control of luminosity and colorimetry via the screen
(color sequences, intensity variations) and/or the flash (commanded
blinkings)
- The coherence of the light effects between the two perspectives
(direct and reflected) constitutes an additional verification
factor
B) CAPTURE CHAIN / PERSPECTIVE BRIDGE:
Technique where a device captures a scene via a camera, then re-
displays this stream on its screen, allowing another capture source
(on another device or on the same device via a reflective surface)
to observe this re-displayed stream while simultaneously capturing
the scene from a different angle.
Fundamental principle:
- A device captures a stream via one or more of its cameras
- This stream may be displayed locally and/or transmitted to the
server
- The server may return the stream (altered or not) to the same
device or to another device for display
- The resulting display may be observed by other capture sources
$ cat > 6. CONFIGURATION EXAMPLES
CONFIGURATION EXAMPLES (indicative and non-limiting):
Example 1 - Back cam stream via server:
- The phone captures with its rear camera (e.g., films the user's face)
- The stream is sent to the server
- The server returns the stream to the same phone
- The phone displays this stream on its screen (front side)
- The displayed stream is therefore what the rear camera captured,
after server transit
Example 2 - Front cam stream local immediate:
- The phone captures with its front camera
- The stream is displayed immediately on its own screen, without
going through the server
- Alterations may be applied locally (shapes, colors, visual elements),
commanded or not by the server
Example 3 - Front cam stream via server with alteration:
- The phone captures with its front camera
- The stream is sent to the server
- The server alters the stream (injection of verification elements,
steganography, visual modifications) or returns it as-is
- The phone receives and displays the stream on its screen
Example 4 - Split screen double camera on same device:
- The server commands the phone to display in split screen:
* One half: stream of the rear camera
* Other half: stream of the front camera
- Each stream may transit or not through the server before display
- The two streams are displayed side-by-side on the same screen
Example 5 - Split screen with remote camera:
- The phone displays in split screen:
* One half: stream of its own front camera
* Other half: stream of the camera of a second device, streamed
remotely
- The stream of the second device may transit through the server or
be transmitted peer-to-peer
- Allows simultaneous observation of two perspectives on the same
screen
Note: All combinations of these configurations, whether described
or not described above, are considered as potential test
configurations for the present invention. This includes, without
limitation: any combination of cameras (front, back, multiple), any
stream routing (local, server, peer-to-peer), any display layout
(full screen, split screen, picture-in-picture), and any alteration
(local or server). It also includes any data display mode, including
visual representations of non-visual data (including, without
limitation: visualization of audio streams, radiometric data,
telemetric data, inertial data, or any other sensor data), as well
as any visual effect whose characteristics (color, shape, animation,
intensity, or other) are derived directly or indirectly from a data
stream, whether commanded by the server (arbitrarily or not,
randomly or not) or based on data collected locally by the device.
Application of the principle:
- A second capture source observes this screen ("pass-through"
stream) while also seeing the scene/user from another angle
Multi-device configuration:
- Device A: rear camera films the user, screen displays the stream
- Device B: observes A's screen (sees the pass-through stream) AND
observes the user directly from a different angle
- The server receives: the original stream from A + the stream from
B containing both the screen return and a different perspective of
the user
- Coherence verification between the original stream and its
captured re-display, plus correlation with the alternative
perspective
Mono-device configuration with reflective surface:
- Rear camera films the user (their face)
- Stream re-displayed on the screen after passage through the server
- Front camera, oriented toward a reflective surface, captures:
* The reflection of the screen (showing the pass-through stream of
the rear camera)
* The reflection of the user's face from a different angle
- Result: two perspectives of the same subject + verification of
server transit
Advantages of this technique:
- Proves that the stream effectively transits through the server (no
local simulation possible without access to the re-displayed stream)
- Allows injection of verification elements into the re-displayed
stream (steganography, visual markers, subtle modifications)
- Multi-angle correlation verifiable on the same temporal frame
- Exploitable positioning challenges (asking the user to move,
verifying coherence of the two perspectives + pass-through stream)
Opaque control by the server:
The control of the stream by the server presents an additional
advantage: the applied processing is opaque to the attacker. The
latter cannot predict what modifications, injections, or verification
elements the server will apply to the stream before re-display. Even
in case of compromise of the local device, the server retains
control of what is displayed, making any local simulation attempt
ineffective.
C) VISUAL RECURSION (OPTICAL FEEDBACK LOOP):
Technique where a capture source observes, directly or indirectly,
its own visual output (its own screen), creating a mise-en-abyme
effect (infinite recursion) whose characteristics are analyzable.
Fundamental principle:
- The screen of a device displays a stream
- A camera (of the same device or another) captures this screen
- The captured stream is itself displayed, creating a recursive loop
- The resulting visual effect (mise en abyme / "tunnel effect")
possesses geometric and temporal properties specific to the actual
physical configuration
Multi-device configuration:
- Devices A and B positioned face to face
- Screen of A visible by camera of B, and vice versa
- Each device sees the screen of the other, creating crossed
recursion
- The mise-en-abyme effect appears in both streams
Mono-device configuration with reflective surface:
- Device positioned facing a reflective surface
- The screen sees itself via the reflection
- The camera captures this reflection, including the image of the
screen
- Feedback loop created without a second device
Verifiable properties:
- Geometry of the recursion (angles, distortions, proportions of
"levels")
- Temporal delays between recursion levels (visible latency)
- Coherence of elements displayed across the levels
- Response to commanded stimuli (color change, flash) propagated in
the recursion with characteristic delays
Difficulty of simulation:
- Simulating a convincing visual recursion requires recursive
real-time rendering, computationally prohibitive
- Each recursion level multiplies the rendering complexity
- The authentic temporal delays are difficult to reproduce
- The geometry depends on the actual physical configuration (angles,
distances)
D) DYNAMIC RECONSTRUCTION AND COHERENCE:
Technique exploiting the images captured during the user's
movements to partially reconstruct the scene and verify its
geometric coherence. Compatible with mono-device (multi-camera)
configurations: even on a single device, the use of several cameras
brings angular diversity that increases the difficulty of
falsification without requiring a second device.
Also compatible with multi-device configurations.
Fundamental principle:
- Based on images captured while the user turns, moves, gestures,
or executes physical challenges, reference elements in the scene
are identified
- These elements are compared when they reappear in the capture
field (geometric coherence, proportions, relative positions)
- The system also infers the distance and spatial position of the
scene's elements in 3D space, allowing partial or total
reconstruction of the geometry of the environment
- A simulator would have to maintain complete 3D coherence of the
environment throughout the sequence — extremely difficult in
real time
Integration of existing detection techniques:
- The system may also exploit, in addition to multi-perspective
coherence analysis, existing detection techniques (including,
without limitation: visual artifact analysis, skin texture
analysis, micro-expression detection, frequency analysis,
compression/recompression detection, analysis of corneal and
specular reflections); these techniques benefit from increased
reliability when applied in a correlated manner across multiple
capture angles
- Reflection-analysis techniques may be combined with the emission
of commanded visual signals (flash, light sequences on screen,
luminosity variations, as described in other sections), allowing
verification of the coherence of reflections observed from multiple
perspectives in relation to the emitted stimuli
Speed variation as a verification factor:
- The system may request different movement speeds (slow rotation,
then fast, then abrupt stop)
- Capture artifacts (motion blur, rolling shutter, compression)
vary naturally with speed
- A simulator would have to reproduce these artifacts coherently
with the requested speed and the sensor characteristics
Exploitation of imperfections and camera behaviors:
- Rolling shutter: characteristic distortion during fast movements,
specific to the physical sensor
- Natural motion blur: motion blur coherent with actual speed
- Video compression artifacts: predictable behavior but difficult
to simulate correctly
- Autofocus latency: characteristic focusing time
- Automatic exposure variations: adaptation to ambient luminosity
- These behaviors are intrinsic to the hardware and difficult to
reproduce faithfully in a simulation
Real-time analysis and/or post-processing:
- Identification of reference elements may be performed in real
time (immediate feedback) or a posteriori (deeper analysis)
- Post-processing allows heavier algorithms: complete 3D
reconstruction, exhaustive geometric coherence verification
E) INERTIAL, POSITIONAL AND VISUAL CORRELATION:
Technique exploiting the correlation between the data of inertial
and positional sensors (including, without limitation: accelerometer,
gyroscope, orientation, GPS, GNSS, 3D ToF sensors, lidar, or any
future sensor capable of providing position, displacement or
inertial data) and the movement inference derived from the captured
images. Compatible with mono-device and multi-device configurations.
Fundamental principle:
- The device records its movements and/or its position via the
inertial and positional sensors (IMU, GPS, GNSS, ToF, lidar, or
equivalent)
- The system infers the device's movement/displacement from the
captured images, and/or determines what is visually expected from
the inertial/positional data, by any appropriate technical means
(including, without limitation: computer vision algorithms,
machine learning, artificial intelligence, numerical simulation,
or any present or future computational method)
- These data sources (inertial, positional and visual) must be
coherent with each other
- The system may also infer the distance and spatial position of
the scene's elements (objects, surfaces, subject) from the captured
images, and verify the coherence of this geometry with depth/
distance sensor data if available, or by multi-perspective cross-
referencing
- Any incoherence between movement/position measured by the sensors,
the apparent movement in the images, and/or the spatial geometry
inferred from the scene constitutes an indicator of falsification
Difficulty for an attacker:
- A simulator would have to not only generate convincing images, but
also simulate the inertial and positional data in a manner perfectly
coherent with the rendered visual movements
- This synchronized multi-source simulation (visual + inertial +
positional) is extremely difficult to perform convincingly
- The micro-variations, vibrations, and subtle movements captured
by the sensors are particularly difficult to reproduce in coherence
with the visual and the positional data
Temporal asymmetric advantage:
- The attacker must simulate in REAL TIME (strong latency constraint)
- The server/verifier can analyze the data A POSTERIORI without
real-time constraint
- For high-stakes operations, validation may be asynchronous
- Post-processing allows deeper analyses: 3D reconstruction,
complete geometric coherence verification, fine correlation of
micro-movements
- This temporal asymmetry constitutes a major structural advantage
of the system
Sources of visual movement inference (including, without limitation):
- Geometric perspective changes between frames
- Parallax (differential displacement of near/far objects)
- Optical flow
- Affine/projective transformations between successive images
- Variations of the visible zone of the scene
- Inter-sensor temporal shifts (in multi-camera configuration)
F) ADVANCED ACOUSTIC TECHNIQUES AND MULTI-MICROPHONE CORRELATION:
The correlated use of several microphones distributed across distinct
devices, within the framework of an authenticity-verification or
falsification-detection process, constitutes a component of the
present protocol. The following techniques are exploitable
individually or in combination.
Doppler effect as a verification factor:
- One device emits a continuous sound signal (pure tone or known
sequence) while the user performs movements (rotation,
displacement, gesturing)
- A fixed device (or held differently) captures the Doppler
frequency shift proportional to the relative speed of the source
- The emitting device, in the same reference frame as the source,
does NOT perceive this Doppler shift on its own microphone
- This asymmetry between what the mobile device captures vs the
fixed device is verifiable and difficult to simulate
- Correlation with inertial and visual movement data reinforces the
verification
TDOA (Time Difference of Arrival) and spatial localization:
- Sound emitted by the user (voice) or by a device arrives at
different instants at each microphone according to distances
- These temporal differences allow triangulation of the position of
the sound source
- The inferred position must be coherent with the visual position
observed from the different cameras
- Any incoherence between acoustic position and visual position
constitutes an indicator of falsification
Acoustic shadow and obstruction:
- When the user moves, their body may block or attenuate certain
sound-propagation paths between devices
- These obstruction patterns are geometrically predictable and
verifiable
- The correlation between the observed acoustic shadow and the
visual position of the user constitutes a verification factor
Environmental acoustic signature (Room Impulse Response):
- Each physical space possesses a unique acoustic footprint
(reverberation, echoes, frequency absorption)
- This footprint must be coherent across all microphones present in
the same space
- A simulation would have to reproduce this footprint coherently
across multiple simultaneous audio streams
Phase correlation and spectral coherence:
- The signals captured by different microphones present phase
shifts predictable according to geometry
- Spectral-coherence analysis between microphones allows
verification of the co-location of the devices
External object as sound source:
- The dedicated verification object (described in other sections)
may also serve as a commanded sound-emission source
- Any object introduced into the scene may be used as a sound
source (manipulation, impact, vibration) whose acoustic
characteristics are analyzable from multiple microphones
- The coherence between the captured sound and the visible gesture
of the user (lip-sync, interaction noises, manipulation of objects)
reinforces the verification
Multi-perspective vocal analysis:
- The user's voice, captured from several microphones at different
distances, presents predictable attenuation and reverberation
characteristics
- The acoustically-inferred distance must correspond to the visual
distance estimated from the cameras
- Intensity variations during the user's movements must be coherent
with the movements observed visually
G) DETECTION OF PARTIAL STREAM ALTERATION (LOCALIZED DEEPFAKE):
Targeted problem:
A sophisticated attack scenario consists of using a mostly-authentic
camera stream, but where only a portion of the image is altered or
artificially generated (typically: the user's face). In this case,
the environment, lighting, objects, and general context are real,
making detection more difficult because the majority of the stream
is authentic.
Counter-measures intrinsic to the protocol (for illustration — these
protections derive naturally from the technical elements generally
described in the present document):
1) Visual feedback (recursion / mise en abyme):
The optical feedback loop renders this attack particularly
difficult in real time: the attacker must alter the face not only
in the original stream, but also in ALL re-displays and reflections
of this stream. Each recursion level multiplies the complexity of
coherent alteration.
2) Concealment and multi-angle exposure challenges:
- Challenges asking to momentarily hide the face (hand in front of
the face, head rotation, passing of an object): the transitions
and edge cases reveal deepfake artifacts
- Challenges exposing the face simultaneously from multiple angles
(via several devices or via reflective surface): the alteration
must be geometrically coherent across ALL perspectives at the
same time
- Advanced variant: ask the user to pass a device with a screen in
front of their face, facing another camera. On this screen,
display visual patterns designed to confuse alteration models:
* Fragments of faces (potentially the user's own, with slight
deformations)
* Adversarial anti-AI patterns (to be defined/developed,
potentially or not within the scope of the present invention)
* Shapes and textures designed to perturb automated facial
detection/generation
In this scenario, any model or alteration technology attempting
to create a fake video stream to replace/alter/simulate what is
captured by the camera facing the user would be confronted with
these perturbing visual elements, making coherent generation of a
replacement face significantly more difficult.
3) Capture chain / Perspective bridge as integrity verification:
This technique becomes particularly relevant here. The capturing
device (e.g., phone) is itself visible from the second device (or
via reflective surface). This allows confirmation of:
- The relative physical integrity of the device (an iPhone that
announces itself as such, without external hardware plugged in,
without suspicious cables)
- The reality of the device model used
- The absence of external interception or modification device
visible
4) Required double alteration with server transit:
For illustration: in a capture-chain scenario where the rear
camera is pointed toward the user's face, and where the front
screen of the same device re-displays this stream after passing
through the server (visible by a second device).
When the stream thus transits through the server before re-display
on the same device, the attacker must compromise:
- The initial capture (alter the face in the originally captured
stream)
- AND the return stream from the server (alter the face again in
the re-displayed stream, knowing that the server may have
injected modifications)
This double alteration must be performed in real time, on a device
whose physical presence is visually confirmed, and which does not
itself have the computational power necessary to perform this
simulation and double alteration live.
In addition, the server may return a partially altered stream in
an unpredictable manner, making the replacement of the face before
display impossible to anticipate.
$ cat > 7. ILLUSTRATIVE EXAMPLE — ATTACK COMPLEXITY
ILLUSTRATIVE EXAMPLE - ATTACK COMPLEXITY ANALYSIS:
To illustrate the depth of protection, consider the following attack
scenario and its implications:
Attack configuration (hypothetical):
An attacker tries to use a real phone visible in the scene, but
whose video stream is intercepted and altered by external equipment
(simulation/alteration rig) before being sent to the destinations.
Data streams necessary to the attacker (minimum):
- Stream 1: Phone camera → External simulation/alteration rig
- Stream 2: Rig → Phone (altered stream to display on screen)
- Stream 3: Phone → Server (altered stream sent to the server)
- Stream 4: Server → Phone (return stream, potentially re-altered)
In certain configurations, these are 4 high-quality video streams,
in real time, with minimal latency. Even if some streams may be
optimized or combined (e.g., if simulation is well done, the server
return could be rerouted, or even the phone and/or our application
could be entirely virtualized in an external rig, the physical
phone visible in the scene serving only as an interface or empty
shell displaying the rig's outputs), a MINIMUM of 2 high-quality
wireless streams remains necessary.
Revealing physical constraints:
- Technical challenges impose free and ample movements of the device
- A physical cable connecting the device to an external rig:
* Would be visible to the verification device (unless image
alteration)
* Would hinder the ample movements requested by the challenges
* The tests must be designed taking this constraint into account
(circular movements, complete turns, etc.)
- A wireless connection implies detectable radio emissions
Detection by radiometric analysis:
If other devices controlled by the verifier have access to
radiometric analysis of the environment (WiFi scan, Bluetooth, radio
spectra), they can detect:
- Suspicious data streams in progress, beyond expected communications
- Abnormal volumes of WiFi/radio traffic for the situation
- Communication patterns not explained by the declared configuration
Advanced variant - content/bandwidth correlation:
The server may voluntarily introduce visual-complexity variations
into the re-displayed stream (e.g., white flash, uniform screen,
then complex scene). A uniform image compresses significantly better
than a complex image (entropy principle exploited by video codecs).
The expected bandwidth profile "over the air" therefore becomes
predictable and correlated with the displayed content.
This evaluation may also be performed routinely, without introducing
artificial complexity or simplicity, simply by comparing the
bandwidth profile observed in the radio environment with the one
expected for the known stream. Of course, an attacker could use a
fixed-bitrate or random stream to circumvent this measure — it is
only one lead among others, not an absolute protection.
Note: a sufficiently clean radio environment may be set as a
prerequisite condition for the test, just like a sufficiently low
latency or screens/cameras of decent quality.
If the attacker uses parallel streams, the bitrate variation of
their flows would not match the expected profile. The coherence of
these flows, the erasure of harmonics with respect to the
radiometric environment they transmit to us (itself potentially
falsified), would be significantly more difficult to simulate for
the attacker than to verify on our side. Even if these streams are
encrypted, the VOLUME and PRESENCE of the communications are
detectable. The attacker would therefore also have to:
- Hide their own radio signals from environmental scans
- Leave visible only the "normal" expected signals
- Hide the harmonics and radio signatures of their equipment
- All in real time, without perceptible latency
Note on user experience:
From the user's point of view, this test remains relatively simple
on a physical level (hold a device, perform some movements). The
constraints in terms of duration and attention are largely
justifiable for high-stakes operations: a user will gladly devote
30 seconds, or even 3 minutes, to such a verification process if
their lifetime savings or a critical transaction are at stake.
Conclusion of the example:
The combination of visual verification of the device's physical
integrity, server transit with required double alteration, free-
movement constraints, and potential radiometric analysis renders
this type of partial-alteration attack of prohibitive complexity,
requiring a level of sophistication and resources disproportionate
to the verification.
H) SECONDARY VERIFICATION OBJECTS:
The protocol may integrate physical objects as additional
verification factors. These objects constitute an additional
authentication factor (something the user POSSESSES), complementary
to the biometric and behavioral factors already described.
H.1) Everyday objects (recap - entropy anchors):
As described previously in the present document, ordinary objects
(water bottle, fabric, deformable objects, liquids, or any other
object presenting an observable physical behavior) may serve as
entropy anchors whose chaotic behavior is verified from multiple
angles.
This category also includes generic commercially-available
objects, not designed for authentication but presenting complex
physical behaviors difficult to simulate, such as (non-limiting):
- Hourglasses with particle dynamics
- Snow globes or globes with suspended particles
- Light objects with variable behaviors
- Toys or gadgets with chaotic movements
- Any object presenting an observable and unpredictable physical
behavior
This category is mentioned here for memory and completeness.
H.2) Account-associated objects - Dedicated or not to authentication:
The protocol may integrate any physical object, dedicated or not to
authentication, as a complementary verification factor. The object
is associated with the user account and its possession constitutes
a proof of identity, usable alone or in combination with other
factors.
A) OBJECTS DEDICATED TO AUTHENTICATION:
Physical accessories designed for authentication, provided to the
user or acquired separately. Possible forms (non-limiting): tag,
keyring, card, bracelet, jewelry, badge, or any other portable
object.
Passive tag (existing technology, integrated into the protocol):
- RFID, NFC, or equivalent chip, without its own power supply
- The user presents or scans the object during verification
- Verifies physical possession of an object associated with the
account
- Reading by proximity (near field) or by visual capture (QR code,
marking)
Active tag with dynamic-code generation (existing technology,
integrated):
- Chip with embedded electronics and power supply
- Generates a temporal value (TOTP - Time-based One-Time Password,
or equivalent) based on a secret key shared with the verification
entity
- The object displays or transmits a code that changes periodically
- Similar to existing authentication tokens (RSA SecurID or
equivalents)
B) NON-DEDICATED OBJECTS - EVERYDAY OBJECTS ASSOCIATED WITH THE ACCOUNT:
The user may associate with their account pre-existing objects, not
designed for authentication but containing fixed and readable data.
These objects serve as a complementary verification factor.
Examples of associable objects (non-limiting):
- Bank card: number (PAN) readable by NFC or by visual capture (OCR)
- Building or company badge: unique identifier (UID) readable by
NFC/RFID
- Transport card: Navigo, Oyster, or equivalent, with unique UID
- Connected car key: Bluetooth or NFC identifier
- Loyalty card with chip or barcode
- Passport or ID card with NFC chip (public data)
- Any other object containing a fixed identifier readable
electronically or visually
Exploitable data (non-limiting):
- Unique identifier (UID) of RFID/NFC chip
- Serial number, card number, or other static data
- Barcode, QR code, or visual marking
- Distinctive physical characteristics (shape, color, wear)
- Any fixed data allowing unique identification of the object
C) COMBINATIONS AND USES:
- Dedicated tag + non-dedicated object in combination
- Physical characteristics visually verifiable (shape, color,
markings, holograms) captured by the multi-angle capture sources
- Any combination of the above elements
D) TRUSTED OBJECTS FOR ACCOUNT RECOVERY:
The user may designate one or more objects (dedicated or not) as
"trusted objects" for account recovery. In case of access loss
(lost phone, forgotten password, etc.), possession of the trusted
object, combined with a biometric verification performed from any
device (including a device not belonging to them), allows
restoration of access to the account.
Use cases:
- The user entrusts a trusted object to a relative (friend, family)
- The user deposits an object in a secure place (safe, locker)
- In case of need, the user retrieves the object and proves their
identity from a third-party device (friend's phone, public kiosk,
etc.) by: trusted object + live biometric verification
This approach offers an alternative to traditional recovery methods
(email, SMS, secret questions) with reinforced security.
Variants and future evolutions:
- Implanted trusted object: the object may be a subcutaneous,
dental, or other implant, eliminating the risk of loss or
forgetting. The user permanently carries their recovery factor.
- Recovery without physical object (technological evolution): if
technological means allow it, biometric and physiological
verification alone (without trusted object) could suffice to
guarantee user identity in a recovery scenario. This configuration
is covered by the present protocol, where biometric and
physiological markers (facial, vocal, behavioral, retinal
fingerprint, or any other marker uniquely identifying the
individual) constitute the recovery factor, without requiring an
external physical object.
The protocol thus covers a spectrum going from:
- External object + biometrics (current configuration)
- Implanted object + biometrics (intermediate configuration)
- Biometrics alone (future configuration, if technologically
sufficient)
Note: Passive-tag technologies and TOTP generation constitute known
state of the art. Their integration into the present multi-device
verification protocol is described as a complementary option,
without claim of any novelty on these technologies in themselves.
H.3) Intelligent physical objects with unique reactive behavior:
$ cat > 8. CONCEPT CLAIMS
CONCEPT CLAIMS - INDEPENDENT AND COMBINABLE TIERS:
The present invention covers the following concepts, claimed
separately and in any combination. Each tier constitutes an
invention in itself, applicable within the context of the present
unified protocol or independently.
The object may be connected (Bluetooth, NFC, WiFi, wired, or other)
or non-connected. The object may be activatable/deactivatable by
the user or operate permanently.
TIER A - INTERACTIVE REACTIVE BEHAVIOR (independently of any key):
Physical object characterized by a behavior reactive to external
stimuli, where the reaction constitutes an observable verification
element. Interactivity in itself (and not a simple passage or relay
of signal) constitutes the core of this concept.
Possible input stimuli (non-limiting):
- Optical: ambient light, flash, light patterns, laser
- Acoustic: sound, ultrasounds, sound patterns
- Electromagnetic: radio signal, NFC, Bluetooth, WiFi
- Data: digital commands via connection
- Physical: temperature, pressure, movement, orientation
- Any other stimulus measurable by a system or sensor
Possible output reactions (non-limiting):
- Light: LED, screen, color change
- Sound: beep, melody, acoustic pattern
- Vibratory: haptic motor
- Mechanical: movement, rotation, deployment
- Electromagnetic: radio emission, NFC
- Thermal: temperature change
- Any other observable or measurable reaction
What distinguishes this concept from the state of the art
(TOTP/SecurID):
The object does not simply respond "what time is it" but "what have
I perceived" — the reaction depends on EXTERNAL stimuli and not
solely on time.
$ cat > 9. COMMUNICATION AND INTERACTION MODES
COMMUNICATION AND INTERACTION MODES (non-limiting):
The object may be communicating and interactive by ANY means,
including:
Wireless:
- Bluetooth (Classic, LE, Mesh), WiFi, Zigbee, Z-Wave, Thread
- NFC, RFID (any frequency), UWB (Ultra-Wideband)
- Infrared, optical (Li-Fi, visible light communication)
- Cellular (LTE-M, NB-IoT, 5G, or any mobile network)
- LoRa, Sigfox, or any LPWAN protocol
- Proprietary or standard, existing or future
Wired:
- USB, serial, I2C, SPI, or any communication bus
- Ethernet, optical fiber
- Audio jack (communication by audio signal)
- Direct electrical contact
- Any other means of physical connection
Passive (without its own power supply for communication):
- Passive RFID, passive NFC
- External signal reflection/modulation
- Optical communication by reflection or absorption
Unidirectional or bidirectional:
- The object may receive only (passive sensor)
- The object may emit only (beacon)
- The object may receive AND emit (bidirectional communication)
Communication topology and range:
- With the main device only (local, direct communication)
- With a remote entity via internet (global communication)
- Between objects, forming an autonomous mesh network
- Via relays or intermediate gateways
- Any combination of these modes
The objects may thus form an autonomous network (LoRa mesh, Bluetooth
Mesh, Zigbee mesh, or any other mesh protocol), communicating with
each other independently of the main device, and/or relaying
information to the verification entity.
Interactivity covers any form of information exchange or reaction
to a stimulus, regardless of the physical medium used, regardless
of the network topology, and regardless of the range (local or
global).
OBJECT AUTONOMY, POWER SUPPLY, AND EXTENDED FUNCTIONS:
Autonomy level (not mutually exclusive):
- Object entirely dependent on the main device (slave)
- Semi-autonomous object: can operate alone but synchronizes
- Entirely autonomous object: operates independently, makes local
decisions, communicates on its own initiative
- Variable autonomy according to context, power, or connectivity
- Any intermediate level or combination
The object may be designed as an intelligent node capable of:
- Receiving, storing, processing and retransmitting messages
- Making local decisions (embedded logic, rules, AI)
- Initiating communications (not only responding)
- Interacting with other objects without going through the main
device
- Forming a peer-to-peer (P2P) decentralized network with other
objects
- Relaying information between objects not directly connected
- Maintaining persistent state between sessions
Own functions (beyond authentication):
- Display of information (time, notifications, state, messages)
- User interaction (buttons, touch screen, gestures, voice)
- Environmental sensors (temperature, light, humidity, GPS, etc.)
- Actuators (vibration, sound, light, movement)
- Local data storage (persistent memory)
- Local computation and processing (microcontroller, processor, FPGA)
- Any utility, recreational, or decorative function
- Multiple functions combined in a same object
The object may have a primary function other than authentication
(watch, jewelry, toy, tool, decoration, etc.) while participating
in the verification system as a secondary or integrated function.
Embedded user interface (optional):
- Screen (LCD, OLED, e-ink, LED, or any other display)
- User inputs: buttons, dial, touch surface, gestures
- Haptic feedback: vibration, tactile feedback
- Audio: speaker, buzzer, voice synthesis
- Microphone and voice recognition
- Visual indicators (LEDs, color change)
- Any other form of human-machine interface
- Without visible interface (discreet or invisible object)
Power sources (non-limiting):
- Single non-rechargeable battery (button cell, AAA, or other)
- Rechargeable battery (lithium, other chemistry, or future)
- Inductive charging (Qi, proprietary, or other standard)
- Solar charging (integrated photovoltaic cell)
- Charging by movement (kinetic, piezoelectric)
- Ambient energy harvesting (thermal, RF, vibration)
- Wired power (USB, contact, or other)
- Passive power (energy provided by NFC/RFID reader)
- Supercapacitor, fuel cell, or any other technology
- Combination of several sources (hybrid)
- Without its own power supply (entirely passive object)
- Any energy source existing or future
Lifespan and maintenance:
- Disposable object (single-use or limited duration)
- Object with battery replaceable by the user
- Object rechargeable by the user
- Hermetic object with long lifespan (10+ years)
- Repairable, evolutive, or updatable object
- Any lifespan and maintenance policy
INTEGRATION INTO OFFICIAL DOCUMENTS AND INSTITUTIONAL PARTNERSHIPS:
The described technology (unique reactive behavior, identifier
with cryptographic secret, variable parameters, or any
combination and/or declination thereof) may be integrated into
existing or future official documents, including without
limitation:
Identity documents:
- National identity card (CNI, ID card)
- Passport (biometric or not)
- Driver's license
- Residence card, residence permit
- Voter card, health card, professional card
- Any official document issued by a public authority
Other chip-bearing documents:
- Bank card (debit, credit, prepaid)
- Professional or institutional access badge
- Transport card (metro, bus, train, or equivalent)
- Student card, library card
- Loyalty card with chip
- Any physical medium containing an electronic chip
Integration mode:
- Existing NFC/RFID chip enriched with PICAD behavior
- Dedicated chip added to the existing document
- New document format natively integrating the technology
- Firmware update of existing chips (if technically possible)
- Software application on microprocessor chip (JavaCard, etc.)
- Any other hardware or software integration method
The chip embedded in the document may thus:
- Respond uniquely and non-reproducibly to stimuli
- Prove its authenticity via the PICAD protocol
- Participate in the network of objects as a trust node
- Combine official identity with PICAD authentication
Partnership models:
- Government integration: partnership with states or
administrations for the issuance of PICAD-compatible official
documents
- Banking integration: partnership with bank-card issuers
- Institutional integration: companies, universities, organizations
- Third-party integration: any partner wishing to add the
functionality to their own documents or devices
- Technology licensing: providing the technology to third parties
for integration into their own products
- Open or proprietary standard, depending on agreements
This integration allows transformation of any existing official
document into a PICAD authentication factor, without requiring an
additional dedicated device, and benefiting from the institutional
trust associated with the original document.
SELECTIVE AUTHENTICATION AND PRIVACY PRESERVATION:
The system allows partial- or zero-disclosure authentication:
proving attributes (age, membership, possession of valid object)
without revealing complete identity, via cryptographic techniques
such as zero-knowledge proofs, blind signatures, anonymous
credentials, or any other existing or future method allowing
verification without disclosure.
REVOCATION AND MANAGEMENT OF COMPROMISED OBJECTS:
The system allows revocation of lost, stolen, or compromised
objects, with propagation via the central entity and/or the mesh
network (gossip protocol), with or without internet connection.
Revocation may be permanent, temporary, or contextual, triggered
manually or automatically.
LOCALIZATION AND OBJECT SEARCH VIA THE NETWORK:
The mesh network of objects may serve to locate lost or stolen
objects in a collaborative and decentralized manner: nearby
objects relay the information to the owner, with end-to-end
encryption preserving privacy. Applications: finding an object,
distance/geofencing alerts, or localization audit.
TIER B - UNIQUE IDENTIFIER ASSOCIATED WITH CRYPTOGRAPHIC SECRET:
Physical object characterized by:
- A unique readable identifier (QR code, serial number, visual
marking, NFC/RFID chip, or any other identification means)
- A cryptographic secret (key) associated with this identifier,
known to the manufacturing and/or verification entity
- The secret is NOT stored in a readable manner on the object
(unlike the identifier)
The visible-identifier ↔ hidden-secret association allows a
third-party entity to verify the authenticity of the object
without the secret being exposed.
This tier is claimed INDEPENDENTLY of any reactive behavior:
the object may be entirely passive (simple identifier carrier)
while benefiting from the association with a server-side secret.
TIER C - SOURCE CODE, REACTION INSTRUCTIONS, AND/OR VARIABLE
PARAMETERS:
Physical object whose behavior is determined by one or more of
the following elements, which may vary from one exemplar to
another.
IMPORTANT - Secret or non-secret: Each of the elements below
(C.1, C.2, C.3) may be secret OR non-secret (public, known, few
variants). The concept is covered independently of the secret or
non-secret character of the elements. Protection comes from
uniqueness per exemplar and knowledge by the verification entity,
not from secrecy in itself.
C.1) Source code / Firmware:
- The executable code (firmware, embedded software) differs
between exemplars
- May be static (fixed at manufacture) or dynamic (updated)
- Each exemplar executes a different version or variant of the
code
C.2) Reaction instructions / Behavioral logic:
- The rules defining how the object reacts to stimuli
- May be encoded in the source code OR in separate data
- Example: "if flash detected for >100ms, emit sequence X"
- The instructions may be secret or public
C.3) Behavioral parameters:
- Numerical values, thresholds, delays, sequences, lookup tables
- May be stored separately from the source code
- May be secret OR non-secret (public, few variants, known)
- May be derived from other data (time, secret, etc.)
Combinations C.1 + C.2 + C.3:
- Unique code + common instructions + common parameters
- Common code + unique instructions + common parameters
- Common code + common instructions + unique parameters
- Any other partial or total combination
The manufacturing/verification entity knows the code, the
instructions, and/or the parameters of each exemplar, allowing
prediction and verification of its behavior.
TIER D - COMBINATIONS:
Tiers A, B and C may be combined and integrated into the PICAD
protocol in any manner:
- A alone: reactive object without unique identification
- B alone: identifier with secret, without specific behavior
- C alone: unique behavior, without formal identification
- A + B: reaction verifiable via identifier known to the server
- A + C: unique reaction per exemplar
- B + C: identifier + unique behavior
- A + B + C: unique, identifiable reaction with crypto secret
The A + B + C combination offers the maximal security level:
Response = f(external_stimuli, secret_key, unique_code, timing)
For the same stimulus, each object produces a different response,
and only the entity knowing the parameters of THIS object can
verify.
The object may integrate a self-destruction or locking mechanism
in case of reverse-engineering attempt.
$ cat > 10. ILLUSTRATIVE IMPLEMENTATION EXAMPLES
ILLUSTRATIVE IMPLEMENTATION EXAMPLES:
The following examples illustrate possible configurations without
limiting the scope of the above claim.
Example 1 - Object with photosensor and light emitter:
- The object integrates a photosensor, a light emitter, and a crypto
chip
- The object captures ambient light or flashes emitted by a device
- The object emits a light response calculated according to:
Response = f(received_light, internal_timing, private_key)
- The response is captured by one or more capture sources
- The verification entity, knowing the key, verifies the coherence
Example 2 - Connected object with multi-channel response:
- The object connects to a device via Bluetooth, Zigbee, NFC, wired
connection, or any other communication protocol
- The verification entity sends a value X via the data channel
- Simultaneously, the device emits physical stimuli (flash, sound,
etc.)
- The object computes its response according to:
Response = f(value_X, physical_stimuli, timing, private_key)
- The multiplicity of input channels renders simulation extremely
difficult
Example 3 - Object with environmental sensors:
- The object integrates additional sensors: thermometer,
accelerometer, hygrometer, or any other sensor of physical
quantity
- The response integrates these environmental measurements:
Response = f(sensor_data, received_signal, timing, private_key)
- An attacker would have to reproduce not only the signals but also
the exact physical environment
MASS PRODUCTION WITH UNIQUENESS:
Each exemplar of the object is manufactured with:
- A visible unique identifier (QR code, serial number, marking, or
other)
- A unique cryptographic key generated during manufacture
- Optionally: a source code or firmware specific to this exemplar
The producing entity maintains a database associating each
identifier with its key and its behavioral parameters. During
verification, the object is identified (by scan, NFC reading, or
other), allowing the verification entity to know the expected
parameters.
$ cat > 11. OBJECT IDENTIFICATION MODES
OBJECT IDENTIFICATION MODES (non-limiting):
- Visual capture (QR code, marking, distinctive shape)
- Contactless reading (NFC, RFID)
- Radio connection (Bluetooth, Zigbee, WiFi, or any protocol)
- Wired connection
- Any other electronic or visual identification means
DIFFICULTY OF SIMULATION:
To simulate such an object, an attacker would have to:
- Have extracted the unique cryptographic key of THIS specific object
- Have reverse-engineered the exact behavior (firmware/source code)
- Reproduce in real time the correct response to unpredictable
stimuli
- Across multiple simultaneous capture angles
This combination of constraints renders counterfeiting prohibitively
complex.
H.4) Presence-continuity detection for authentication:
PRINCIPAL CLAIM - THE APPLICATION IN ITSELF:
The present invention claims the use of any method of detection of
physical continuity, proximity, or presence between a device and
the body of a user, as a factor of authentication, of maintaining
an authentication state, or of identity verification.
This claim covers the APPLICATION (the use for authentication)
independently of the detection method employed, whether known to
date or developed subsequently.
Note: Presence detection on connected watches and phones (maintaining
unlocking as long as worn) constitutes existing state of the art.
The integration of this mechanism into the present protocol is
described without claim of novelty on presence detection in itself,
but on: its integration into the anti-impersonation verification
process, its reinforcement by the anti-spoofing mechanisms of the
PICAD protocol, and its combinations with the other elements
described (reactive objects, mesh, etc.).
DEVICES CONCERNED (non-limiting):
This claim applies to any type of device, dedicated or not to
authentication, including without limitation:
- Dedicated objects: bracelet, ring, necklace, badge, tag, token,
pendant
- Connected watches (any manufacturer, any operating system)
- Mobile phones: smartphone, mobile phone, tablet
- Audio accessories: earphones, headset, earpiece
- Connected clothing: smart textile, insole, glove, belt
- Implants: subcutaneous, dental, or any body implant
- Connected glasses, connected lenses, or equivalent
- Any other object worn on, in, or in immediate proximity to the
body
The device may be an existing commercial product (connected watch,
phone) whose authentication-by-continuity function is activated by
software, or a device specifically designed for this function.
PRESENCE/CONTINUITY DETECTION METHODS (non-limiting):
Category 1 - Physiological detection by optical/thermal methods:
(Electrode-based methods are covered in Category 5)
- PPG (photoplethysmography): optical pulse detection by LED/photodiode
- SpO2: pulse oximetry (optical measurement)
- Body temperature: contact or infrared thermometer
- Thermal imaging: infrared camera, body heat distribution
- Plethysmography by volume variation
- Any other physiological signal measurable by optical or thermal
method
Category 2 - Mechanical continuity/closure detection:
- Electrical contact: closed circuit by skin or clasp contact
- Pressure sensor: mechanical contact with the skin
- Clasp-opening detection: mechanical or magnetic switch
- Tension/stretch sensor: bracelet that detects its own state
- Looped conductor circuit: conductive wire whose rupture is detected
- Piezoelectric sensor: detection of pressure or deformation
- Any other mechanism for detecting closure or attachment
Category 3 - Proximity/distance detection:
- Optical telemetry: distance measurement by light (ToF, LIDAR, IR)
- Ultrasonic telemetry: distance measurement by ultrasounds
- Radio telemetry: Bluetooth RSSI, UWB (Ultra-Wideband), WiFi
- Capacitive: presence detection by electric field
- Inductive: presence detection by magnetic field
- NFC/RFID: proximity detection by magnetic coupling
- Radar: presence detection by radio waves
- Any other distance- or proximity-measurement method
Category 4 - Detection by movement/inertia:
- Accelerometer: detection of movement, walking, gestures
- Gyroscope: orientation and rotation detection
- Magnetometer: orientation detection relative to magnetic field
- Movement correlation: the device moves with the user
- Gait analysis: characteristic movement pattern
- Any other inertial or movement sensor
Category 5 - Detection by surface electrodes and bioelectric signals:
Skin-contact electrodes measuring the body's electrical potentials
(typical range: µV to mV), including without limitation:
- Surface EMG (electromyography): electrical signals of muscles and
motor neurons, motion-intent detection, neural interface
- Surface ECG/EKG: cardiac electrical activity via skin electrodes
- Surface EEG: brain waves via electrodes on the scalp
- EOG (electro-oculography): ocular movements
- EDA/GSR (electrodermal activity): galvanic skin response, skin
conductivity, sweating
- Bioimpedance: measurement of body impedance, body composition,
blood flow, hydration
- Peripheral nerve signals: activity of nerves under the skin
- Evoked potentials: electrical responses to stimuli
Electrode types covered:
- Dry electrodes (without conductive gel)
- Wet/gel electrodes
- Textile electrodes (integrated into clothing)
- Capacitive electrodes (without direct contact)
- Any other type of electrode or electric-potential sensor
Body electromagnetic field:
- Variations of the body's natural EM field
- Passive or active detection
- Any other body electromagnetic signal
Category 6 - Any other method:
- Any existing or future detection technology
- Any combination of the above methods
- Any sensor or method allowing distinction of the presence or
absence of the user's body in proximity to the device
VALIDITY TOKEN AND CONTINUOUS AUTHENTICATION:
The central claimed concept is the following:
a) Initial establishment: a strong authentication is performed
(biometric, multi-factor, or other) while the device is in
contact/proximity with the user
b) Maintenance of validity: as long as the device continuously
detects the user's presence (by one or several methods above), a
token or validity state is maintained in memory
c) Automatic invalidation: as soon as continuity is broken
(detachment, distancing, loss of physiological signal, opening of
clasp, or any other interruption of presence detection), the
token is automatically and immediately revoked
d) Re-authentication required: after invalidation, a new complete
authentication is necessary to restore validity
e) Validity levels and simplified authentication: the token may
maintain a confidence level which, as long as continuity is not
broken, allows partial or simplified authentication for subsequent
operations (e.g., confirmation by simple gesture instead of
complete biometrics). Continuity rupture resets this level and
requires complete authentication.
This mechanism applies whether the device uses a single detection
method or several combined methods (multi-source or mono-source).
ADVANTAGES OF THIS APPROACH:
- Reinforced security: the device cannot be lent, stolen, or
transferred without the token being invalidated
- Improved user experience: no repetitive re-authentication as long
as the device remains in the user's presence
- Adapted to high-demand contexts: users having to make frequent
critical decisions (sensitive environments, high-stakes
transactions) benefit from strong authentication without friction
- Continuous authentication: permanent verification, not punctual
- Applicable to existing products: may be implemented on existing
watches/phones via software update
SCOPE OF THE CLAIM:
This claim covers:
- The use of any method of continuity/presence/proximity detection,
in particular new methods or those integrated into the PICAD
protocol
- For maintaining an authentication or validity state
- On any type of device (dedicated or not, existing or future)
- With one or several detection methods (mono- or multi-source)
- And in particular within the context of the present protocol
(or independently)
This application of continuity detection to the domain of
authentication for remote operations may constitute an invention
in itself.
COMBINABILITY OF CONCEPTS H.3 AND H.4:
The functionalities described in H.3 (unique reactive behavior)
and H.4 (presence-continuity detection) may be combined in the
same device. Such a device would cumulate:
- Unique reactivity to external stimuli (H.3)
- Presence/continuity detection by one or several methods (H.4)
- The persistent validity token conditioned to presence (H.4)
This combination offers the maximal security level: the device is
both impossible to simulate (unique key + reactive behavior) and
impossible to transfer (invalidation upon detachment/distancing).
Examples of combinations on existing devices:
- Connected watch with PPG (pulse) + closed-bracelet detection +
token
- Phone with proximity detection of a worn device (UWB/Bluetooth
to watch, bracelet, or other) + accelerometer
- Earphones with in-ear presence detection + correlated movement
Any partial or total combination of the elements described in
H.1, H.2, H.3 and H.4 is covered by the present invention,
whether on a dedicated device or on an existing consumer product.
I) TRAPPING TECHNIQUES AND EXPECTED-RESULT VERIFICATION:
Methods where the verification entity knows in advance the
expected result of a test, allowing detection of any simulated,
falsified, or compromised-device response. These techniques exploit
the information asymmetry between the verifier (who knows the
expected results) and a potential attacker (who can only guess).
I.1) Fundamental principle - Expected-failure traps:
The verification entity may send tests designed to FAIL under
certain conditions. An attacker controlling the device will tend
to "correct" these failures, thereby revealing themselves.
Operation:
- Some tests are designed to fail in the current configuration
- The server expects this failure and considers it a sign of
authenticity
- An attacker who "makes succeed" a test meant to fail reveals
the compromise
- The expected success/failure proportions are unknown to the
attacker
I.2) Categories of traps (including, without limitation):
A) HARDWARE TRAPS:
- Exploitation of known physical characteristics of the device used
- The verifier knows the exact model/brand of the sensors
- Specific behaviors expected according to the hardware
(characteristic background noise, native latency, optical
distortion, chromatic aberration)
- Unique signatures of the sensor (noise pattern, spectral
sensitivity)
B) TECHNICAL TRAPS:
- Exploitation of the technical specificities of the device
- Camera characteristics (resolution, colorimetry, compression)
- Software behaviors of the firmware/OS
- Response times and characteristic latencies of the model
- Expected metadata and digital signatures
C) ALGORITHMIC TRAPS:
- Tests whose expected result is calculated by the server
- Software behaviors specific to verify
- Algorithmic signatures of the device's image processors
- Expected responses to specific stimuli
- Statistical patterns known for the device model
I.3) Statistical complexity:
A) NON-BINARY RESULTS:
- Tests do not simply produce "passed/failed"
- Each test generates a cloud of probable results according to the
situation
- The server knows the expected statistical distribution
- The attacker cannot guess which distribution is "normal"
- Any significant statistical deviation indicates an anomaly
B) OPAQUE FRONTEND CODE:
- The code executed on the device does not reveal the expected
result
- The code may display a success/failure status intended to deceive
basic attackers (false indicator, decoy)
- The true verdict is computed server-side with undisclosed
criteria
- The system is designed to resist reverse-engineering
I.4) Honeypot and study of attackers (optional):
The verification entity may voluntarily let some detected spoofers
pass for analytical purposes:
Objectives:
- Study the attack techniques employed
- Accumulate data on falsification methods
- Build a knowledge base on attackers
- Identify and link attack attempts to each other
Key spoofing indicator:
- A test designed to fail under certain conditions
- If this test SYSTEMATICALLY succeeds, even under unfavorable
conditions
- The attacker's "suspicious perfection" reveals them
I.5) Asymmetric advantage:
To circumvent these traps, an attacker would have to:
- Know the verification system in detail (complete reverse-
engineering)
- Know the exact characteristics of the target device
- Know the expected statistical proportions for each test
- Realistically simulate the expected "natural" failures
- Maintain this simulation in real time across all capture angles
This combination of constraints renders circumvention prohibitively
complex, even for an attacker having total control (root) over
the devices.
J) CONTROLLED-LIGHTING ANALYSIS AND EMISSION CORRELATION:
Technique exploiting electromagnetic-emission sources controllable
by the system (including, without limitation: screens, flashes,
LEDs, projectors, lasers, infrared emitters, or any other emission
device in the visible or invisible spectrum) to create observable
and analyzable effects on the captured scene and subjects.
J.1) Fundamental principle:
This technique relies on the commandable emission means described
indicatively in section 4.1.d), and describes the exploitation of
their effects for verification.
Any emission source commanded by the verification entity produces
observable and verifiable effects:
- Direct lighting of surfaces and objects (luminosity change,
colorimetry, projected shadows)
- Specular and diffuse reflections on surfaces
- Reflections on the eyes, skin, and other reflective surfaces
- Shadows and penumbras created by objects in the scene
- Caustics and refraction effects (through transparent objects)
J.2) Multi-camera double correlation:
In a configuration with several cameras (integrated or on distinct
devices), a commanded light source produces effects capturable
simultaneously by several perspectives:
Example - Smartphone screen as light source:
- The screen (front side) emits commanded light patterns
- The front camera captures the reflections on the user's face
- The rear camera captures the lighting of the surrounding scene
- The correlation between these two captures (reflections +
lighting) must be coherent with the geometry and properties of
the surfaces
- A simulator would have to reproduce these two effects in a
perfectly coherent manner in real time, which is extremely
difficult
Example - Flash as a point source:
- The flash emits a brief and intense light pulse
- Creation of sharp shadows on surfaces (geometrically
analyzable)
- Illumination of the user's face (analyzable on front camera)
- The geometric shadow/light coherence between perspectives
constitutes a verification factor
- The precise timing of the pulse allows verifiable
synchronization
J.3) Light patterns and sequences:
The system may command complex light sequences:
- Color variations (RGB, full spectrum)
- Intensity variations (pulses, gradients, patterns)
- Spatial patterns (shapes, zones, sweeps)
- Temporal sequences (frequencies, rhythms, codes)
These patterns create light signatures analyzable on:
- Surfaces of the scene (colorimetry, luminosity)
- Corneal reflections (eye analysis)
- Skin reflections (skin analysis)
- Reflective or transparent objects of the environment
J.4) Emission sources covered (non-limiting):
- Screens (smartphones, tablets, monitors, any display device)
- Integrated or external flashes
- LEDs (integrated or accessories)
- Projectors and controllable ambient light sources
- Lasers (if available and safe)
- Infrared emitters (invisible but detectable by certain sensors)
- Any other device capable of emitting electromagnetic energy in
the visible or invisible spectrum, in a controlled manner
J.5) Advantages of this technique:
- Exploits hardware capacities already present on most devices
(screen, flash)
- Does not require additional equipment
- Produces real physical effects, difficult to simulate
- Allows multi-angle verification with a single device (front and
rear cameras)
- The effects are verifiable geometrically and temporally
- Combinable with all other verification techniques
SYNTHESIS AND UNIFYING PRINCIPLE
This section synthesizes the fundamental principle of the invention
and establishes its unifying role with respect to all the
techniques described.
6.1 Fundamental principle - Detection of multi-perspective incoherences
The core of the invention rests on the following principle:
As soon as a scene is observed from several distinct perspectives,
any falsification attempt must maintain perfect coherence between
these perspectives — coherence that is computationally prohibitive
to simulate in real time.
This principle applies:
A) TO FRANKLY DISTINCT PERSPECTIVES:
Several physically separated devices, each capturing the scene
from a different angle.
B) TO PERSPECTIVES OBTAINED BY REFLECTION OR FEEDBACK:
A single device exploiting reflective surfaces (mirrors, glass,
polished surfaces), optical loops (mise en abyme), or any other
means allowing several perspectives of the same scene to be
obtained from a single capture source or a reduced number of
sources.
C) TO MULTI-MODAL PERSPECTIVES:
Different sensor types (visual, acoustic, thermal, telemetric,
inertial) providing complementary "perspectives" on the same
physical reality.
In all cases, the principle remains identical: coherence between
perspectives constitutes the proof of authenticity, and incoherence
constitutes the indicator of falsification.
DEFINITION - DISTINCT PERSPECTIVES AND COMPROMISE INDEPENDENCE:
A perspective is said to be "distinct" or "frankly different" when
its compromise cannot be obtained by the sole compromise of a single
point of the system. This distinction may be:
A) NATURAL (multi-device):
Several physically separated apparatuses naturally constitute
independent compromise points. The compromise of one apparatus
does not compromise the others.
B) CREATED BY EXTERNAL DEPENDENCE (mono-device with verification
entity):
A single apparatus may access "artificially distinct" perspectives
when the data flow transits through an external entity (server,
other device) that:
- Controls the displayed stimuli (unpredictable for the attacker)
- May alter, inject, or verify the flow independently
- Renders impossible the pre-generation of coherent falsified
responses
Example: A phone whose rear camera captures, the flow transits
through the server, then is displayed on the front screen, then
re-captured by the front camera via a mirror. The attacker, even
by compromising the phone, cannot predict what the server will
inject in the return flow, nor simulate the geometry of the
optical loop in real time.
C) CREATED BY VERIFIABLE GEOMETRIC CONSTRAINTS:
An optical loop (mirror, mise en abyme) creates geometric
relations between flows that are verifiable by the verification
entity and impossible to simulate by sole local software
manipulation.
The present invention exploits these three modes, individually or
in combination, to create perspectives whose coherence cannot be
falsified without compromising MULTIPLE independent points of the
system (devices AND/OR verification entity AND/OR physical
constraints).
CUMULATIVE REINFORCEMENT:
The set of distinct perspectives, whether naturally or artificially
different, is intended to be reinforced by the other verification
techniques described in the present application, including, without
limitation:
- Entropic-anchoring techniques (fluids, chaotic elements)
- Optical-loop and mise-en-abyme techniques
- Physical challenges commanded by the verification entity
- Inertial- and positional-correlation techniques
- Algorithmic traps and expected-failure tests
- Any other technique described in sections 3, 4, and 5
These techniques apply cumulatively: each additional verification
factor MULTIPLIES the difficulty of falsification, creating a
system where compromise requires simultaneously overcoming ALL
active factors, and not each one individually.
EXCLUSION - WHAT IS NOT CLAIMED:
The simple combination of multi-modal data (visual + depth, visual
+ LIDAR, etc.) verified LOCALLY on a single apparatus, without
external dependence or verification loop, does NOT constitute an
implementation of the invention. These configurations (including,
without limitation: Apple Face ID, Android depth sensors, integrated
3D facial-recognition systems) constitute existing state of the art
where a single point of compromise suffices to deceive the entire
system.
6.2 Declensions of the principle
This fundamental principle declines according to two complementary
modes:
A) STATIC MODE (without movement of the capture sources):
Coherence analysis at a given instant between captured
perspectives. This analysis bears on, including without limitation:
- Geometric coherence (angles, proportions, parallax)
- Photometric coherence (colors, luminosity, gradients)
- Radiometric coherence (light distribution, shadows, reflections)
- Telemetric coherence (distances, depths)
- Topological coherence (spatial relations between elements)
B) DYNAMIC MODE (with movement of one or several capture sources):
Analysis of the coherent evolution of perspectives over time.
This analysis bears on, including without limitation:
- Temporal coherence (synchronization of observed changes)
- Kinematic coherence (movements, speeds, accelerations)
- Causal coherence (cause-effect relations between events)
- Coherent evolution of the geometry during displacements
These two modes may be used separately or in combination, according
to the needs of the verification and the capacities of available
devices.
6.3 Relation with the techniques described
The set of techniques described in the present application
(sections 3 and 4) constitutes applications, declensions, or
specific exploitations of this unifying principle. In particular:
- Stimulation techniques (section 4.3.1.c) create conditions where
incoherences become more easily detectable
- Feedback-loop techniques (section 4.3.1.d) allow obtaining multiple
perspectives with a reduced number of devices
- Entropic-anchoring techniques (section 4.3.1.e) introduce
elements whose multi-perspective coherence is particularly
difficult to simulate
- Multi-angle biometric techniques (section 3.3) apply the principle
to human-identity verification
Any present or future technique exploiting the detection of
incoherences between multiple perspectives — whether spatial,
temporal, modal, or obtained by any other means — falls under the
fundamental principle of the invention.
6.4 Extended coverage
The present invention covers:
- Any hardware configuration allowing several perspectives of the
same scene to be obtained, whether described explicitly in this
document or not
- Any method of coherence analysis between perspectives, existing
or to come
- Any combination of the techniques described, in any order and any
proportion
- Any future technological evolution allowing improved detection of
incoherences or augmenting the number/quality of captured
perspectives
- Any application of the principle to domains not explicitly
mentioned
The unifying principle of multi-perspective incoherence detection
constitutes the invariant foundation of the invention, independently
of technological evolutions of the means of capture, processing, or
falsification.
6.5 Protection of individual techniques and overall vision
A) UNIFIED SYSTEM:
The invention must be considered as a global unified system, where
the set of techniques described may be combined to reach the
maximal verification level. The optimal configuration of a
verification session may integrate all or part of the techniques
described, in any combination and any sequence, according to the
security stakes and the resources available.
B) HIERARCHICAL PROTECTION:
The present application aims to protect:
1) AS PRIORITY: The multi-perspective principle as a whole, as
described in section 6.1, constituting the core of the invention.
2) SUBSIDIARILY: Each of the individual techniques described in the
present document, considered separately or in sub-combinations,
insofar as they present a novelty character. These techniques
include, without limitation:
- Feedback-loop techniques and mise-en-abyme optics
- Entropic-anchoring techniques (fluids, chaotic elements)
- Algorithmic-trap techniques and expected-failure tests
- Stimulation techniques exploiting rendering limitations
- The upstream image/frame technique (priority request)
- The use of distinct physical objects with verifiable behavior
- Inertial-visual correlation techniques
- Dynamic-reconstruction techniques by movement
- Any other technique specifically described in the present
document
C) INDEPENDENCE OF PROTECTIONS:
Each individual technique is claimed independently of its
integration into the multi-perspective system. A technique may have
its own protective value even if it is used in a mono-device
context or outside the framework of the complete protocol.
D) ILLUSTRATIVE AND NON-LIMITING CHARACTER:
The individual techniques are described for illustration to support
the unifying principle. Their detailed description cannot limit the
scope of protection of the multi-perspective principle, which
remains the foundation of the invention. Conversely, if the multi-
perspective principle could not be protected in its generality, the
individual techniques retain their vocation to be protected
separately.
6.6 Extended coverage clause - Architectural and operational variants
CLARIFICATION NOTE - SCOPE AND DEGRADED MODES:
This section describes the OPERATIONAL VARIANTS of the system to
illustrate its flexibility and adaptability. It is important to
distinguish:
(1) THE MODES FULLY COVERED BY THE INVENTION (claimed as new):
- Multi-device architecture with external correlated analysis
- Mono-device with external dependence (server, verification
entity)
- Mono-device with techniques creating perspective distinction
(optical loop, mirror, entropy anchors verified by external
entity)
(2) THE DEGRADED / FALLBACK MODES (described for flexibility, NOT
claimed as innovative in themselves):
- Verification entirely local without external entity
- Offline mode without synchronization
- Device acting as its own verification entity without external
control
These modes constitute existing state of the art or fallback
configurations. They are described to ensure interoperability
of the system with constrained environments, but DO NOT
CONSTITUTE the core of the invention.
(3) THE TECHNIQUES PROTECTED INDEPENDENTLY (patentable annexes):
Certain specific techniques described in the present application
are protected IN THEMSELVES, independently of the multi-
perspective architecture. This includes, without limitation:
- Visual-feedback and mise-en-abyme techniques (section 3.3 J)
- Entropic-anchoring techniques by fluids/materials (section 3.3 I)
- Inertial and positional correlation techniques (section 3.3 F)
- Algorithmic traps and expected-failure tests (section 5.7.I)
These techniques may be applied even on a mono-device and
constitute distinct protectable innovations from the multi-
perspective principle.
The present invention covers ALL the following architectural and
operational variants, whether used individually or in combination,
and regardless of the terminology employed to designate them.
Unless otherwise indicated below, these variants apply within the
framework of modes (1) and (3) described above:
A) VARIANTS OF THE VERIFICATION ENTITY:
The verification entity may be, without limitation:
- A remote server (cloud, dedicated infrastructure, third-party
server)
- A local server (on-premise, local network, intranet)
- One of the capture devices itself (master mode) [DEGRADED MODE
- cf. (2)]
- Several capture devices acting jointly (cooperative mode)
- A distributed computing resource between devices (distributed
mode)
- A third-party device not involved in capture (external arbiter)
- A dynamic combination of the above elements
- Any entity capable of performing correlated analysis, regardless
of its physical or logical location
B) CONNECTIVITY VARIANTS:
The system may operate:
- With permanent Internet connection
- With intermittent Internet connection
- Without any Internet connection (full offline mode) [DEGRADED
MODE - cf. (2)]
- In direct connection between devices (Bluetooth, WiFi Direct,
NFC, ultrasounds, infrared, cable, or any other proximity means)
- In mixed mode (some devices connected, others not)
- With deferred synchronization (offline verification, later
validation)
- Without any external synchronization [DEGRADED MODE if mono-
device - cf. (2)]
- Via mesh, ad-hoc, or any other communication topology
C) CONTROL VARIANTS:
The control of the verification process may be:
- Centralized (a single entity decides)
- Decentralized (consensus between devices)
- Distributed (shared responsibilities)
- Hierarchical (master-slave, coordinator-participants)
- Strict peer-to-peer (no hierarchy)
- Hybrid (combination of the above modes)
- Dynamic (the control mode changes during the session)
D) TRUST VARIANTS:
The participating devices may be:
- All trusted (belonging to the same owner/operator)
- Partially trusted (some known, others not)
- None trusted (all considered as potentially compromised)
- Variable trust (trust level adjusted dynamically)
- Anonymous (device identity not required)
- Authenticated (identity verified by certificate, shared secret,
or other)
E) TEMPORALITY VARIANTS:
Verification may be:
- Strict real time (immediate verdict required)
- Soft real time (verdict within an acceptable delay)
- Deferred (a-posteriori analysis)
- Asynchronous (each device processes independently)
- Batch (accumulation then grouped processing)
- Continuous (permanent verification during the entire session)
- Punctual (verification at specific instants)
- Any temporal combination of the above elements
F) GEOGRAPHIC VARIANTS:
The devices may be:
- Co-located (same room, same place)
- Close (same building, same zone)
- Distant (different locations)
- Mobile (in displacement during verification)
- Fixed (static positions)
- Any combination of proximity and mobility
G) OWNERSHIP VARIANTS:
The devices may belong:
- To the same user
- To different users
- To different organizations
- To public entities
- To no one (public or shared devices)
- Be rented, borrowed, or made available temporarily
- Any combination of ownership
H) IMPLEMENTATION VARIANTS:
The system may be implemented:
- Entirely in software (mobile, web, desktop application)
- Entirely in hardware (dedicated devices)
- In hardware/software combination
- Via firmware, microcode, or embedded software
- In the cloud, in edge computing, or locally
- Monolithically or as microservices
- With or without containerization, virtualization
- On any operating system or platform
- Any technical architecture present or future
I) VERDICT VARIANTS:
The verification result may be:
- Binary (authentic/falsified)
- Graduated (confidence level, score, probability)
- Conditional (authentic subject to...)
- Partial (some aspects verified, others not)
- Provisional (subject to later revision)
- Multiple (different verdicts according to criteria)
- Explanatory (verdict with detailed justification)
- Opaque (verdict without explanation)
J) PROCESSING AND ANALYSIS VARIANTS:
Coherence analysis may be performed by:
- Deterministic algorithms (fixed rules, thresholds)
- Artificial intelligence (neural networks, ML, deep learning)
- Statistical methods (distributions, correlations)
- Human analysis (operator, expert, crowd-sourcing)
- Automatic/human combination (human-in-the-loop)
- Pre-trained or dynamically-trained models
- Adaptive heuristics
- Any computational method present or future
K) SCALE VARIANTS:
The system may involve:
- Two devices (minimal configuration)
- Three to ten devices
- Tens of devices
- Hundreds or thousands of devices (mass events)
- A variable number of devices during the same session
- Devices joining or leaving the session dynamically
L) TRIGGER VARIANTS:
Verification may be initiated by:
- The verified user themselves
- A third party requesting verification (bank, employer, service)
- The system automatically (contextual triggering)
- An external event (transaction, access, alarm)
- Temporal programming (periodic verifications)
- A chain of verifications (one verification triggers another)
- Any other triggering mechanism
M) VERIFIED-SUBJECT VARIANTS:
The system may verify:
- A person (identity, presence, liveness)
- A group of persons
- An object (authenticity, integrity, state)
- A place or scene
- A document or information medium
- An event or situation
- A transaction or action
- A device or equipment
- Any entity or situation observable by sensors
N) SENSOR VARIANTS:
The capture sources may include, without limitation:
- Cameras (visible, infrared, UV, multispectral, thermal)
- Microphones (audible, ultrasounds, infrasounds)
- Depth sensors (ToF, lidar, radar, stereoscopy, structured light)
- Inertial sensors (accelerometer, gyroscope, magnetometer)
- Position sensors (GPS, GNSS, UWB, triangulation)
- Biometric sensors (fingerprint, iris, vein, voice)
- Environmental sensors (temperature, pressure, humidity,
luminosity)
- Radio receivers (WiFi, Bluetooth, NFC, cellular, FM/AM, ambient
signals)
- Chemical or olfactory sensors
- Any sensor existing or to be developed
O) DATA-PERSISTENCE VARIANTS:
The verification data may be:
- Ephemeral (deleted immediately after verification)
- Temporary (kept for a limited duration)
- Permanent (archived indefinitely)
- Partially kept (metadata without raw data)
- Hashed or summarized (fingerprints without original content)
- Distributed (fragments distributed, no single entity has all)
- Encrypted (accessible only under conditions)
- Never transmitted (verification entirely local) [DEGRADED MODE
- cf. (2)]
P) INTEGRATION VARIANTS:
The system may be integrated:
- As a standalone application
- As an SDK/library integrated into other applications
- As an API callable by third-party services
- As a browser or platform plugin/extension
- As a web service (SaaS)
- As a native feature of the operating system
- As firmware of a dedicated device
- In an invisible manner (integrated without dedicated user
interface)
Q) CONSENT AND PARTICIPATION VARIANTS:
Participation in verification may be:
- Voluntary and explicit
- Required by a service (access condition)
- Transparent (the user knows they are being verified)
- Discreet (background verification with prior consent)
- Incentive-based (rewards for participation)
- Mandatory (regulated contexts)
- Anonymous (verification without identification)
- Pseudonymous (identifier not linked to real identity)
R) FALLBACK AND DEGRADATION VARIANTS:
Under suboptimal conditions, the system may:
- Switch to a degraded mode (fewer sensors, simplified tests)
- Postpone verification (waiting for better conditions)
- Request compensatory actions from the user
- Accept a reduced confidence level
- Combine with other verification methods (2FA, documents)
- Refuse verification (security priority)
- Operate with a subset of the available devices
- Any strategy of adaptation to constraints
S) SECRET AND KNOWLEDGE VARIANTS:
The information may be distributed thus:
- Total secret on the verifier side (tests, criteria, thresholds
unknown)
- Partial secret (some elements public, others not)
- Shared knowledge (public protocol, secret parameters)
- Zero-knowledge (proof without disclosure of the content)
- Distributed knowledge (no single entity knows everything)
- Evolution of the secret (rotation of keys, tests, parameters)
T) EVOLUTION AND UPDATE VARIANTS:
The system may evolve:
- By software update of the applications
- By update of the AI models on the server/entity side
- By update of the verification protocol
- By addition of new types of tests
- By automatic adaptation (continuous learning)
- By remote configuration (feature flags, parameters)
- Without any update of the devices (evolution on the entity side
alone)
- In a manner transparent to the user
U) ABSOLUTE NON-LIMITATION CLAUSE:
Any variant, modification, adaptation, combination, permutation, or
evolution of the elements described in the present application is
covered, including without limitation:
- Variants not explicitly mentioned but technically equivalent
- Variants made possible by future technologies
- Variants resulting from regulatory, legal, or practical
constraints
- Variants optimized for specific use cases
- Partial implementations of the system (functional subsets)
- Extensions of the system (additional functionalities)
- Adaptations to cultural, linguistic, or geographic contexts
- Any implementation of the fundamental multi-perspective
principle, in whatever form it takes
The silence of the present application on a particular aspect does
not constitute a renunciation of the protection of that aspect, as
long as it derives from the fundamental principle or the techniques
described.
The present list is given for illustration and on a non-limiting
basis. Any variant, combination, or evolution of the above elements
is covered by the invention as long as it implements the
fundamental multi-perspective verification principle described in
section 6.1.
The absence of explicit mention of a specific variant in the present
application cannot be interpreted as an exclusion of that variant
from the scope of protection of the invention.
$ cat > 12. FIGURES (to be attached)
FIGURES (to be attached)
NOTE ON THE FIGURES:
The figures below are provided on an ILLUSTRATIVE and NON-LIMITING
basis. They represent particular embodiments of the invention and
cannot in any case restrict the scope of protection to the
configurations, proportions, layouts, or appearances represented
alone.
The absence of graphical representation of an element, configuration,
or variant described in the text does not constitute an exclusion
of that element from the scope of the invention.
The figures may be completed or replaced in the definitive
application.
[Fig 1] Overview of the multi-device verification system
[Fig 2] Pairing phase by visual code - QR code scan
[Fig 3] Challenge/instruction phase with visible optical feedback
loop
Claims
Preliminary note: At the time of this filing, the claims below are
not yet formulated according to the complete regulatory framework.
They constitute an expression of intent of protection.
INTENT OF PROTECTION:
In the first place, the inventor intends to claim and protect the
concept of authenticity verification of a scene, situation, or
physical presence by the use of:
- several capture sources,
- several data natures,
- and above all several perspectives and/or several sensors and/or
several devices, providing different, or frankly different,
perspectives,
as well as verification by recursive perspective (where a capture
source observes, directly or indirectly, its own visual output, or
that of another apparatus involved in the verification process).
Furthermore, the inventor intends to protect the complementary
techniques mentioned in the present document, including, without
limitation, those resulting from the use of multiple devices, or
when they are described in a mono-device context with accessory
apparatus or equipment.
More broadly, the inventor intends to cover any new technical and
process description present here, whether linked to or independent
of the multi-angle aspect, insofar as its novelty is attested.
This also includes any verification solution based on the use of a
multiplicity of apparatuses within the framework of an anti-
spoofing process, not yet imagined, filed, or published to date, as
long as the use or nature of these techniques pertains to the fact
of using multiple apparatuses in a synchronized and/or unified
manner in the verification process.
Additional individual techniques intended to be covered, including
without limitation:
- The upstream image/frame technique (possibly partial, sent as
priority request)
- The distinct object dedicated to verification (individually
identifiable, known by the verification entity)
- Visual feedback
NOTE ON SCOPE:
The invention primarily targets multi-device configurations
(several independent apparatuses). Mono-device configurations (a
single apparatus with multiple sensors) are covered as a degraded
or fallback version of the protocol, for example when the user does
not have a second device. These mono-device configurations do not
constitute the core of the invention but are accessible declensions
of it, in particular when it is possible through the mono-device
configuration to access different, or frankly different, perspectives
(including, without limitation: double camera with flow passing
through the verification entity, display on screen with third-party
reflective surface, and positioning challenges asked of the user
exploiting reflection angles).
CLARIFICATION - MONO-DEVICE WITH DISTINCTIVE ELEMENTS:
Mono-device configurations are covered by the invention ONLY when
they integrate an EXTERNAL DEPENDENCE creating a perspective
distinction. This dependence may take the form of:
- Transit of the flow through a verification entity that
controls/verifies
- Optical loop whose geometry is verified by the entity
- Challenges commanded by the entity, unpredictable for the attacker
- Physical entropy anchors whose behavior is verified
- Any other technique rendering local-only falsification impossible
These distinctive elements may be used individually or in cumulative
combination to reinforce verification. The greater the number of
active techniques, the more falsification difficulty increases
multiplicatively.
Without this external dependence, a mono-device multi-sensor system
does not pertain to the present invention, regardless of the number
or diversity of integrated sensors.
Abstract
The invention concerns a system and method for physical reality
validation using a plurality of capture sources providing different
perspectives of the same scene. The captured data is analyzed in a
correlated manner by a verification entity to verify their
geometric, photometric, radiometric, telemetric, and temporal
coherence. The system may include optical feedback loops between
devices, the introduction of high-entropy physical elements
(fluids), and latency measurements. The invention exploits the fact
that convincing simulation of a real scene across multiple angles
simultaneously exceeds current computational capacities, thereby
offering long-lasting protection against impersonation attempts.