Contact VentesInscrivez-vous gratuitement

Contrôle d'identité via ICAO & NFC

Contrôle complet des documents d'identité conformément à la norme ICAO 9303. Comprend la lecture MRZ, la lecture de puces NFC, PACE/BAC/CAN, la validation SOD, l'authentification passive, l'authentification active et l'authentification par puce.

Pourquoi le contrôle d'identité ICAO/NFC ?

ProjectAssistant intègre une implémentation complète de la norme ICAO 9303 pour la vérification des passeports et des cartes d’identité. Grâce au scan MRZ et à la communication NFC de la puce, des données telles que le nom, la date de naissance, la nationalité, le numéro du document et la photo sont lues directement depuis la puce sécurisée. Cela permet de confirmer l’authenticité du document conformément aux obligations légales d’identification et de documentation.

  • Pas de saisie manuelle — toutes les données sont automatiquement extraites de DG1 et DG2
  • Contrôle conforme aux normes de sécurité ICAO 9303
  • Détection des contrefaçons via SOD et chaîne de hachage
  • Prise en charge de PACE, CAN, BAC
  • Contrôle qualité des données relatives aux photos et aux documents

Étape 1 : scan MRZ

Le contrôle commence par la numérisation de la zone lisible par machine (MRZ) d'une carte d'identité ou d'un passeport. L'application mobile utilise une superposition de caméra en direct avec détection automatique :

  • Type MRZ (TD1, TD2, TD3)
  • Validation du contrôle de somme
  • Dérivation CAN pour PACE
  • Numéro du document, date de naissance, date d'expiration

Les clés pour BAC ou PACE sont calculées sur la base de la MRZ et la lecture NFC démarre.

Étape 2 : Accès NFC (PACE / BAC / CAN)

L'application essaie toujours d'abord PACE — c'est plus moderne, plus sûr et plus rapide. Si le document ne prend pas en charge PACE, le système revient à BAC ou CAN.

Ordre des protocoles

  • PACE (préféré) – protocoles modernes, ECDH/ECDSA, plus sécurisé
  • CAN – via le numéro d'accès à la carte (pour les cartes d'identité européennes)
  • BAC – anciens passeports et cartes d'identité

Débit PACE (GA1 → GA4)

  1. GA1 : Démarrer l'accord de clé (mappage OID → courbe)
  2. GA2 : échange ECDH
  3. GA3 : Mappage de nonce + authentification mutuelle
  4. GA4 : dérivation de clé de messagerie sécurisée

Résultat : clé ENC et clé MAC permettant de sécuriser tous les APDU suivants.

Étape 3 : Lecture des groupes de données (DG1–DG15)

L'application lit tous les groupes de données nécessaires à partir de la puce. Dans votre implémentation, les groupes DG1, DG2, DG7, DG11 et DG12, entre autres, sont lus en fonction du pays et de la disponibilité.

  • DG1 - Données lisibles par machine (nom, date de naissance, numéro de document)
  • DG2 - Scan du visage / photo
  • DG7 - Signatures (pour certains pays)
  • DG11 - Données personnelles supplémentaires
  • DG12 - Informations sur le document
  • SOD - Objet de sécurité des documents (racine de hachage et de signature)

Le mappage des données s'effectue automatiquement vers votre EmployeeIdentityModel.

Étape 4 : Vérification SOD et authentification passive

Le SOD contient les valeurs de hachage de chaque groupe de données et une signature numérique de l'État émetteur. ProjectAssistant valide :

  • Chaîne de hachage : hachage DG1 = hachage SOD
  • Signature : signature PKI avec certificats CSCA et DS
  • Validité et révocation du certificat

Si le contrôle SOD est réussi, le document est cryptographiquement authentique.

Étape 5 : Authentification active

Si le document le permet, l'application exécute l'authentification active. Cela nous permet de vérifier que la puce est authentique et n'a pas été clonée.

  • Défi → Réponse
  • Vérification ECDSA / RSA
  • Contrôle de sécurité contre les copies

Si la signature est correcte, la puce est unique et n'a pas été copiée.

Étape 6 : Authentification par puce

La certification par puce remplace la certification active dans les cartes d'identité électroniques modernes. Elle confirme l'authenticité de la puce via un nouvel échange ECDH.

  • ECDH avec clé privée à puce
  • Nouvelles clés de session
  • Preuve d'authenticité complète

Lien vers l'employé

Une fois la vérification réussie, toutes les données sont automatiquement associées à l'employé :

  • Nom, date de naissance, nationalité
  • Numéro du document, date d'expiration
  • Photo tirée de DG2
  • Journal de contrôle incluant les détails PACE/BAC/CAN

Le document apparaît automatiquement dans le système de gestion des documents des employés.