SYSTEME DE POSITIONNEMENT AVEC MECANISME DE DETECTION DE FRAUDE POUR APPLICATION CRITIQUE L'invention concerne un système de positionnement avec mécanisme de détection de fraude pour application critique et s'applique notamment aux domaines des systèmes de navigation par satellites.
Les terminaux électroniques mobiles mettant en œuvre des applications requérant des informations sur leur positionnement géographique comportent des moyens pour estimer le plus précisément possible leur position. Pour cela, des systèmes de géo-localisation par satellites sont communément utilisés, ces systèmes étant désignés par l'acronyme GNSS venant de l'expression anglo-saxonne « Global Navigation Satellite Systems ». Un exemple de système GNSS est le système GPS, acronyme venant de l'expression anglo-saxonne « Global Positionning System ».
Il est nécessaire que ces estimations de positions soient intègres et précises pour des applications critiques de positionnement. Une application critique de positionnement désigne une application pour laquelle les estimations de positions doivent présenter une grande fiabilité. C'est le cas, par exemple, des systèmes de paiement à l'usage pour l'assurance, les parking et les réseaux routiers notamment ainsi que des systèmes électronique judiciaires comme le bracelet électronique ou les équipements pour la filatures de suspects par la police. En outre, des applications de suivi de marchandise comme des containers ou des applications d'assistance à la conduite sont également considérées comme des applications critiques de positionnement.
Les terminaux utilisés dans des systèmes mettant en œuvre des applications critiques de positionnement sont habituellement inviolables et utilisent des moyens de communication sécurisés. Ces terminaux sont aussi appelés équipement embarqués et désignés par l'acronyme OBU venant de l'expression anglo-saxonne « Onboard Unit ».
Cependant, le lien radio entre le terminal et les satellites appartenant au système GNSS est habituellement mis en œuvre à l'aide d'un signal non protégé et est accessible à tous. Il est par conséquent possible
pour un utilisateur malintentionné de perturber le fonctionnement normal du terminal afin que celui-ci acquière des estimations faussées de sa position. Ces estimations faussées sont habituellement transmises par radio à des serveurs de traitement dont le fonctionnement est alors également faussé. Ce type de fraude est possible sans même que l'utilisateur pirate ne modifie le terminal OBU. Pour cela, un équipement à bas coût peut être utilisé, par exemple un équipement pouvant recevoir des signaux GNSS et les retransmettre après les avoir modifiés. Le signal retransmis et modifié se substitue au signal réel provenance des satellites du système GNSS et le terminal estime une position erronée.
Dans le cas d'un système mettant en œuvre une application de paiement, le déclanchement d'un paiement est lié à des événements de tarification déclenché par le passage du terminal OBU au travers de portes virtuelles ou à l'entrée/sortie d'une zone géographique. Dans ce cas, l'équipement utilisé pour la fraude peut-être conçu pour neutraliser des points de tarification tout en apparaissant conforme lors de points de contrôle et minimiser ces écarts par rapport aux trajectoires réelles pour éviter la détection.
Des méthodes existantes permettent de vérifier le fonctionnement des terminaux OBU. Cette vérification est faite de manière statistique sur des points de contrôle fixes ou mobiles. Une autre manière de faire est de vérifier a posteriori la cohérence des événements de tarification, par exemple en croisant les événements de tarification avec les immatriculations des véhicules observés dans les zones de tarification. Cependant, un équipement de fraude peut être conçu pour être silencieux lors des contrôles, la position des zones de contrôle pouvant être publiée par un service centralisé sur le modèle des équipements anti radars de contrôle de vitesse.
Différentes méthodes de contrôle de la cohérence des estimations de position existent. Cette cohérence peut être vérifiée en surveillant la puissance absolue ou relative des signaux GNSS ou en surveillant la puissance du signal pour chaque satellite.
La cohérence des mesures peut également être vérifiée en utilisant des techniques de tatouage numérique permettant notamment aux terminaux de localiser les émetteurs d'un réseau. Cette technique est souvent désignée par le mot anglais « watermarking ». Un exemple de mise
en œuvre du tatouage numérique est divulgué dans la demande de brevet WO 2009/037133.
Un grand nombre de terminaux OBU déjà déployés et en fonctionnement n'incluent pas de tels techniques permettant de vérifier la cohérence des estimations de positions. Pour mettre à niveau ces récepteurs, c'est-à-dire pour y inclure des fonctionnalités leurs permettant de vérifier la cohérence des mesures, il faudrait intervenir sur chaque récepteur ce qui induirait des coûts importants de main d'œuvre.
En outre, ces techniques ne permettent pas de garantir l'intégrité des estimations. Des attaques sophistiquées peuvent les contourner au moins partiellement. Par exemple, une trajectoire peut être modifiée avec un faible écart de giration par rapport à la trajectoire réelle pour contrer par exemple la vérification de la cohérence avec des données provenant d'un capteur inertiel embarqué dans le véhicule.
Un but de l'invention est notamment de pallier les inconvénients précités.
A cet effet, l'invention a pour objet un système de positionnement comprenant au moins un récepteur satellite GNSS embarqué dans un élément mobile appartenant à un utilisateur u, ledit récepteur ayant pour fonction l'estimation de la position Xu dudit élément mobile à différents instants, un premier module de traitement déterminant un indicateur de cohérence coh(X) en combinant les positions estimées Xu[t] et des données fournies par des sources d'informations secondaires, un modèle dynamique de déplacement des éléments mobiles à positionner étant utilisé, ledit indicateur étant déterminé en comparant un triplet vitesse, accélération, giration [v, a, g] dérivé de mesures de direction et de vélocité réalisées par l'élément mobile à un modèle dynamique de déplacement d'un objet, véhicule, personne ou animal à positionner. Le système comprend en outre un module de consolidation comportant des moyens pour mémoriser les positions Xu[t] estimées à différents instants t par utilisateur u, un filtre numérique permettant d'obtenir une position filtrée Xf[t] à partir des positions Xu[t] mémorisées d'un utilisateur, l'indicateur de cohérence coh(X) étant calculé à partir des positions filtrées Xf[t]. Le système comporte aussi des
moyens de détections pour déterminer à partir de l'indicateur de cohérence coh(X) si les positions estimées Xu(t) sont falsifiées ou non.
Le filtre numérique intègre par exemple un ensemble de positions estimées Xu[t] sur tout ou partie d'un trajet.
Selon un aspect de l'invention, la fréquence des falsifications pour un utilisateur u donné est calculée et mémorisée dans une base de données.
La fréquence des falsifications pour des zones géographiques choisies peut être déterminée et mémorisée dans une base de données.
Les positions estimées peuvent être utilisées pour la mise en œuvre de péages routiers.
Dans un mode de réalisation, le module de consolidation effectue une corrélation entre les positions estimées considérées suspectes et une base de données de tarification comprenant les coordonnées géographiques des zones de tarification.
L'indicateur de cohérence est déterminé par exemple en utilisant un modèle dynamique de déplacement des éléments mobiles à positionner, l'indicateur étant déterminé en comparant un triplet vitesse, accélération , giration [v, a, g] dérivé de mesures de direction et de vélocité réalisées par l'élément mobile à un modèle dynamique de déplacement d'un objet, véhicule, personne ou animal à positionner.
D'autres caractéristiques et avantages de l'invention apparaîtront à l'aide de la description qui suit donnée à titre illustratif et non limitatif, faite en regard des dessins annexés parmi lesquels : la figure 1 illustre de manière simplifiée le système de positionnement selon l'invention ;
la figure 2 donne un exemple d'application d'un critère de cohérence se basant sur un filtre cartographique ;
- la figure 3 illustre le principe d'un indicateur de cohérence se basant sur l'analyse des signaux reçus par un récepteur GNSS.
Le système décrit à l'aide de la figure 1 comprend un terminal OBU dans lequel un récepteur GNSS 100 a pour fonction l'estimation de la
position d'un élément mobile sur lequel le terminal est embarqué. L'élément mobile correspond par exemple à une personne, un animal, un véhicule ou un objet quelconque. Le système comprend aussi des sources d'informations secondaires. Ces informations secondaires sont de deux types. Le premier type d'informations secondaires est relatif à l'élément mobile localisé 101. Le second type d'informations secondaires est relatif aux conditions locales 102 dans lequel se trouve le terminal OBU. Le système comprend en outre des moyens pour vérifier la fiabilité de la position estimée 103, 104, 105.
L'ensemble des composants du système peuvent être implémentés dans le terminal OBU. De manière alternative, le récepteur GNSS 100 ainsi que la source d'informations secondaires relatives à l'élément mobile 101 peuvent être implémentés dans le terminal, et le reste des composants 102, 103, 105 peut être mis en œuvre dans des infrastructures fixes. A titre d'exemple, les systèmes de péage routier s'appuient habituellement sur une infrastructure fixe d'un réseau de télécommunications.
La trajectoire X de l'élément mobile sur lequel est embarqué le terminal 100 est composée d'une suite de position X[t] estimées à des instants t et est associées à une incertitude en position ΔΧ et à une incertitude temporelle At.
Les données fournies par les sources d'informations secondaires 101 , 102 sont indépendantes du récepteur GNSS 100, mais elles dépendent aussi de la position absolue ou d'un changement de position dudit récepteur 100. Des exemples de sources de données secondaires relatives à l'élément mobile 101 sont :
• des capteurs inertiels ou odomètres fournissant des données de position relative de l'élément mobile ;
• un modèle mécanique de l'élément mobile indiquant des plages de paramètres dynamiques pour la vitesse, l'accélération et/ou la giration de l'élément mobile.
D'autre part, des exemples de sources de données secondaires relatives aux conditions locales 102 sont :
• une base de données cartographiques fournissant des indications sur les routes, par exemple leurs types, leurs largeurs, leurs virages ainsi que des indications sur l'environnement voisin desdites routes ;
« un almanach de la ou des constellations des satellites du système GNSS utilisé.
Un module de traitement 103 dérive un indicateur de cohérence noté coh(X) en combinant les informations de positionnement fournies par le récepteur GNSS 100 avec les données fournies par les sources d'informations secondaires 101 , 102.
Des moyens de détection 105 déterminent ensuite un indicateur statistique A(X) permettant de décider si la position X[t] estimée à l'instant t est authentique. Cet indicateur correspond à une représentation numérique d'une confiance dans la position.
Un exemple d'indicateur statistique A(X) est donné par l'expression suivante :
A(X) = 1 si coh(X) > k et A(X) = 0 si coh(X) < k
L'indicateur vaut 1 lorsque la position estimée X[t] est considérée suffisamment fiable et 0 si celle-ci est considérée falsifiée. K est une valeur réelle positive ou nulle correspondant à un seuil de décision.
Un autre exemple d'indicateur A(X) correspond à une probabilité de falsification ou un couple possibilité/nécessité suivant la logique floue de Zadeh. On a alors A(X) = 1 -p(X) et il se base alors sur une probabilité de falsification p(X). Cette probabilité de falsification est donnée par l'expression suivante : p(X) = f(coh(X)) dans laquelle f est une fonction de [0;∞[ vers [0; 1 ]. A titre d'exemple, la fonction f est donnée par l'expression suivante : f(coh(X)) = (2/TT)xarctan( axcoh(X)n)
dans laquelle les facteurs réels a > 0 et n > 0 permettent le réglage de la décision ;
a est défini comme l'inverse de la valeur de coh(X) correspondant à une probabilité de confiance de ½ ;
n est un nombre réel positif permettant de régler la « rampe » de la fonction f.
Comme explicité précédemment, cet indicateur de confiance A(X) est obtenu à partir d'un indicateur de cohérence coh(X) ou d'une combinaison d'indicateurs de cohérence. Des exemples d'indicateurs de cohérence sont décrits dans la suite de la description.
L'indicateur ou les indicateurs de cohérence correspondent à une probabilité d'authenticité de la position estimée. Cependant, la mesure d'un indicateur de cohérence en chaque position estimée X[t] n'est pas suffisante pour prouver qu'il y a fraude. Comme toute décision basée sur des mesures, le résultat de la détection peut présenter des faux positifs, c'est-à-dire que des positions reportées peuvent être détectées comme falsifiées alors qu'elles ne le sont pas en réalité. L'impact des faux positifs peut être important dans le cas d'un taux faible de falsification, ce qui est la situation habituelle. De la même manière, des faux négatifs peuvent apparaître, c'est- à-dire qu'une mesure falsifiée est considérée par le système comme une mesure fiable.
Pour renforcer la fiabilité de la détection de fraude, le système selon l'invention comprend un module de consolidation 104. Le module de consolidation 104 met en œuvre des méthodes d'inférence statistique bayesienne, de filtrage ou toute autre calcul visant à assurer une confiance suffisante au résultat de l'authentification des positions estimées. Pour cela, un ensemble de positions estimées X[t] et d'indicateurs de cohérence coh(X) associés auxdites positions est examiné. Le but est de diminuer le taux de faux positifs et de faux négatifs en déterminant une probabilité d'authenticité ou de falsification avec une marge de sécurité prédéterminée.
Pour cela, les positions X[t] ainsi que les indicateurs coh(X) sont mémorisés dans une base de donnée comprise dans le système, et ce pour tout les terminaux du système. Ces données sont ensuite regroupées dans des sous-ensembles statistiques. La validation de position comprend un ou
plusieurs tests d'hypothèses basés sur ces données sous-ensembles statistiques.
La distribution des erreurs dans le temps ainsi que les coordonnées géographiques des zones payantes et non payantes permet de distinguer un fonctionnement défaillant d'un terminal d'une volonté délibérée de fraude. Il est alors possible de déclencher une notification d'incident de fraude ou de disfonctionnement.
Dans un mode de réalisation préféré, un vecteur comportant les estimations de positions Xu[t] pour un utilisateur u donné est utilisé en entrée d'un filtre numérique. A titre d'exemple, la fonction de consolidation mise en œuvre par le filtre numérique intègre un ensemble de positions estimées Xu[t] sur tout ou partie d'un trajet, réduisant ainsi la dispersion de l'indicateur. En d'autres termes, les positions estimées Xu pour un utilisateur u donné sont moyennées sur un intervalle de temps prédéfini.
La fréquence des suspicions de falsification pour un utilisateur u donné est mémorisée dans un historique des suspicions 106.
La fréquence de suspicion de falsification pour des zones géographiques choisies peut être également mémorisée 106 afin de pouvoir éviter un effet local. En effet, dans des zones géographiques données peuvent apparaître des taux de faux positifs et de faux négatifs élevés, par exemple du fait de conditions de propagation radio dégradées.
Le module de consolidation 104 peut également effectuer une corrélation entre les positions estimées suspectes et une base de données de tarification comprenant les coordonnées géographiques des zones de tarification et ainsi mieux caractériser une fraude intentionnelle. Cela permet de tenir compte du fait que les falsifications se produisent habituellement à proximité ou dans les zones de tarifications. Ce critère de coïncidence avec les zones de tarification permet de discriminer les trajectoires erronées visant à éviter le passage d'une porte virtuelle.
Dans un mode de réalisation préféré, le système comprend un mécanisme de mise à jour logicielle. Ainsi, les composants du système peuvent être mis à jour périodiquement ou suivant le besoin des données et des programmes utilisés par le système. Cela peut être mis en œuvre pour tout type d'équipement du système, qu'ils soient distribués dans l'infrastructure fixe du réseau ou bien embarqués. L'objectif de ces mises à
jour est d'améliorer l'efficacité du système en suivant l'évolution des méthodes de falsification.
Comme décrit précédemment, le fonctionnement du système requière la détermination d'indicateurs de cohérence. Plusieurs exemples d'indicateurs de cohérence coh(X) sont décrits ci-après.
Un premier exemple d'indicateur de cohérence coh(X) se base sur l'estimation de la cohérence des positions estimées par rapport à un modèle dynamique de déplacement d'un véhicule à positionner. Un modèle dynamique de déplacement de l'élément mobile à positionner permet de définir des valeurs maximum ou une plage d'estimations cohérentes dans l'espace des mesures de vitesse, d'accélération et de giration dans le plan.
Pour des éléments mobiles correspondant à un véhicule motorisé, un indicateur de cohérence peut être calculé en comparant la vitesse et la direction du récepteur par rapport à ce modèle. Pour cela, les ratios suivants peuvent être calculés :
• ratio de la vitesse v à la vitesse maximale possible sur la trajectoire
• ratio de l'accélération a à l'accélération maximale possible sur la trajectoire
• ratio de la giration g à la giration maximale possible sur la trajectoire
• inclusion du triplet [v, a, g] dans le domaine mécanique de l'élément mobile considéré, ce domaine est limité par un graphe dans le repère [v, a, g] dont les bornes sont les maximum absolus de vitesse, d'accélération, et de giration.
Pour des éléments mobiles correspondants à des objets, des personnes ou des animaux, les mêmes principes peuvent être appliqués en définissant les domaines autorisés à partir des connaissances acquises sur la mobilité de l'objet, les possibilités de l'espèce animale ou de la personne en tenant compte de la possibilité pour cet objet, cette personne ou cet animal de monter à bord d'un véhicule. Par exemple, du fait qu'il ne puisse par être monté dans une voiture de course, un objet de type container peut- être associé à un domaine dynamique réduit.
En d'autre terme, la mise en œuvre de cet indicateur de cohérence se basant sur un modèle de déplacement dynamique revient à associer un modèle dynamique à l'élément mobile suivi et de comparer les trajectoires estimées aux limites de ce modèle.
En prenant l'exemple d'un modèle dynamique se basant sur une conduite routière, si l'utilisateur emprunte une autoroute alors qu'il prétend utiliser une route secondaire, la falsification pourra être détectée car sa vitesse dépassera les bornes de la plage de vitesses autorisée sur route secondaire. En utilisant le même indicateur de cohérence, une déformation erronée de la trajectoire ou la présence de sauts visant à éviter des événements de tarification ou d'alertes peuvent être détectés.
Il est en outre à noter qu'à moins que toutes les positions soient en permanence falsifiées, la trajectoire va raccorder un point de départ à un point d'arrivée en un temps donné correspondant à des positions réelles. Ainsi la distance parcourue estimée dans cet intervalle de temps sera différente par rapport à la distance réellement parcourue. De plus, les conditions de routes sont très différentes entre une route secondaire et une autoroute. Un deuxième exemple d'indicateur de cohérence coh(X) se base sur l'utilisation d'un filtre cartographique. La technique du filtre cartographique est habituellement désignée par l'expression anglo-saxonne « map-matching ». Elle est utilisée pour améliorer la précision de l'estimation de position d'un élément mobile en se basant sur des données issues de cartes. Ces données permettent de déterminer une position corrigée Xc[t] à partir d'une position X[t] estimée par le récepteur GNSS. Des techniques connues permettant d'obtenir Xc[t] à partir de X[t] sont par exemple la projection orthogonale de la position estimée X[t] sur le route la plus proche ou le calcul d'une distance minimale entre la position estimée X[t] et plusieurs routes possibles.
Un indicateur de cohérence s'appuyant sur cette technique peut être utilisé dans le cadre de l'invention. L'indicateur de cohérence peut être défini comme une métrique représentative de l'écart entre la position estimée X[t] et la position corrigée Xc[t]. L'indicateur de cohérence coh(X) correspond
par exemple à la distance d(X,Xc) pouvant être la distance euclidienne, quadratique, géodésique ou curviligne entre X et Xc.
La figure 2 donne un exemple d'application d'un critère de cohérence coh(X) se basant sur un filtre cartographique pour un système de péage routier. Les positions 200, 201 , 202, 203, 204, 206 reportées par le terminal embarqué sont falsifiées en vue d'éviter une porte virtuelle 206 traversée si la trajectoire réelle 207 est prise en compte par le système. Dans ce cas, l'indicateur de cohérence coh(X) se basant sur un filtre cartographique permet de détecter que celles-ci sont trop éloignées de position pertinentes comprises sur un segment routier, ce segment routier correspondant par exemple à la route départementale D15. Par exemple, coh(X) e[0.7 ; 1 ] si les positions estimées sont cohérentes avec les positions pertinentes et coh(X) e[0 ; 0.7[ si les positions estimées sont incohérentes avec les positions pertinentes.
Un troisième exemple d'indicateur de cohérence coh(X) se base sur l'analyse des signaux reçus par le récepteur GNSS. Cette indicateur est appelé indicateur de cohérence de réception dans la suite de la description. Il a pour objectif de détecter les événements suivants :
• affaiblissement des signaux satellites ;
• perte de position ;
• différence de visibilité des satellites par rapport à la visibilité attendue.
La figure 3 illustre le principe d'un indicateur de cohérence coh(X) se basant sur l'analyse des signaux reçus par un récepteur GNSS. La visibilité des satellites d'une constellation GNSS par le terminal dépend de l'environnement physique, c'est-à-dire de la végétation, des constructions autour du récepteur et du relief. Dans l'exemple de la figure, le terminal est embarqué dans un véhicule 300. Son récepteur GNSS est potentiellement en visibilité directe avec 3 satellites 301 , 302, 303. Cependant, des bâtiments 304 empêchent le terminal de recevoir le signal en provenance de l'un des trois satellites.
Les données habituellement fournies en sortie d'un récepteur GNSS comprennent en plus de la position estimée X la liste des satellites suivis, c'est-à-dire la liste des satellites sur lequel le récepteur est synchronisé. Il est donc possible de vérifier la cohérence entre cette liste de satellites et la visibilité des satellites à la position estimée X à l'instant t d'estimation. Par exemple, une incohérence est détectée lorsque le récepteur indique qu'il est accroché au signal d'un satellite alors que ce satellite est masqué par un immeuble. Lorsque le nombre de satellites suivis est inférieur au nombre de canaux du récepteur et que le récepteur devrait suivre d'autres satellites car ceux-ci sont visibles, une incohérence est également détectée.
Cet indicateur n'est pas très utile lorsque le véhicule se déplace sur autoroute ou sur une route dégagée. Par contre, dans le cas d'une trajectoire falsifiée lorsque le véhicule traverse une zone urbaine, l'ensemble de satellites visibles constitue une signature de la position réelle. Cette signature équivaut à un fort indice de confiance.
Diverses données peuvent être utilisées afin d'estimer la probabilité de cohérence de la visibilité des satellites sur lequel le récepteur se base pour l'estimation de position. Ainsi, on peut utiliser les extrémités du segment routier sur lequel le récepteur se situe et la largeur de ce segment. Des informations comme la hauteur Hb des obstacles empêchant la visibilité directe d'un satellite et l'empreinte au sol, c'est-à-dire la distance à l'axe routier, peuvent être utilisées. Ce type d'informations peut être estimé avec à partir d'une ou plusieurs sources parmi lesquelles :
• un modèle tridimensionnel des lieux traversés par le véhicule ;
• des photographies de rues ;
• des photographies aériennes ou par satellite permettant la reconnaissance du type de bâti ou de végétation ;
• des réglementations d'urbanisme, permettant notamment de déterminer la hauteur maximum Hmax des bâtiments d'une zone donnée ;
des données représentatives de la densité de population afin par exemple de déduire un nombre moyen de logements et donc d'étages par bâtiment ;
une cartographie de la végétation ;
un modèle de croissance saisonnier, dont on peut déduire la densité et la hauteur de feuillage des végétaux du lieu dans lequel le véhicule évolue, une fonction d'atténuation radio due à la végétation pouvant ainsi être déterminée.
10