EP3465602A1 - Method for providing personal information of a user requested by a given online service - Google Patents

Method for providing personal information of a user requested by a given online service

Info

Publication number
EP3465602A1
EP3465602A1 EP17731224.6A EP17731224A EP3465602A1 EP 3465602 A1 EP3465602 A1 EP 3465602A1 EP 17731224 A EP17731224 A EP 17731224A EP 3465602 A1 EP3465602 A1 EP 3465602A1
Authority
EP
European Patent Office
Prior art keywords
user
request
identifier
online service
personal information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
EP17731224.6A
Other languages
German (de)
French (fr)
Inventor
Pierre-François DUBOIS
Javier Polo Moragon
Serge Llorente
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Publication of EP3465602A1 publication Critical patent/EP3465602A1/en
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • G06Q50/26Government or public services
    • G06Q50/265Personal security, identity or safety
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/23Updating
    • G06F16/2379Updates performed during online database operations; commit processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Definitions

  • the present invention relates to the field of authentication via mobile terminal. More specifically, it relates to a method for retrieving a user's personal data in order to inform an online service. STATE OF THE ART
  • the "Mobile Connect” technology developed by the Applicant aims to enable the authentication of a user to an online service via a mobile terminal.
  • the user instead of entering a login / password pair on an online service portal (a web page), the user selects the option MC (Mobile Connect) and is simply asked to simply enter a personal identifier (which can be his phone number or an anonymized "alias").
  • MC Mobile Connect
  • the online service then requires, possibly via an API platform (Application Programming Interface), from a server MC of the user's telephone operator associated personal information (in this case the login and the password).
  • API platform Application Programming Interface
  • the server MC before interrogating a database that encrypts the user's personal information in such a way as to return the requested information, sends a request for validation to the mobile terminal of the user.
  • An MC application opens on the handheld and prompts the user to accept the request. If so, the MC server returns the requested personal information to allow the user access to the service.
  • sensitivity of a service is subjective: for a user, the security of a given online service can be critical, and for another user flexibility can prevail.
  • the present invention thus relates in a first aspect to a method for providing personal information of a user requested by a given online service, the method comprising the implementation by a data processing module of a security server. an operator of a mobile terminal of the user of steps of:
  • step (b) comprising:
  • a dedicated parameter to set a security level allows the user himself to define service by service and the card the validation procedures that he wishes to implement to authorize the information of information, so to adjust to the best security and flexibility.
  • the value of said parameter representative of a security level is chosen from a predetermined and hierarchical list of security level values.
  • Said predetermined list comprises at least a first security level in which manipulation of an interface of the mobile terminal is sufficient to confirm the authorization of response; and a second security level in which the entry of an authentication code on a mobile terminal interface is necessary to confirm the answer authorization;
  • the method comprises a preliminary step of:
  • Step (a) comprises a request by the third party server to an API platform also connected to the Internet network, information of said personal information of the user, said platform API generating said request for said personal information of the user;
  • Said request by the third party server to an API platform for informing said user's personal information is sent on instructions from the user at the level of a device via which the user seeks to access said online service.
  • the process comprises a preliminary step of:
  • the mobile terminal transmits, in response to the response authorization request, the confirmation of response authorization if the user implements a validation procedure dependent on said value of said parameter.
  • the invention relates to a security server for entering personal information of a user requested by a given online service, the user having a mobile terminal of an operator the method comprising the implementation of by a data processing module of the server of:
  • a module for receiving a request for said personal information of the user comprising a unique identifier of the user and an identifier of said given online service, couples of a unique identifier and an identifier of a service in question. line being associated, in a database stored in a data storage module, on the one hand with personal information and on the other hand with a parameter representative of a security level required to confirm a response authorization on said mobile terminal;
  • a transmission module in response to the request of said personal information of the user, if reception of a confirmation of authorization of response from said mobile terminal, of data associated with said unique identifier of the user and identifier of said online service given in said database.
  • a system comprising a security server according to the second aspect and a mobile terminal configured to implement a transmission module in response to the response authorization request of the response authorization confirmation if the user implements a validation procedure dependent on said value of said parameter.
  • the invention relates to a computer program product comprising code instructions for the execution of a method according to the first aspect of the invention for providing personal information of a user requested by a service in question. given line.
  • the invention relates to a storage means readable by a computer equipment on which this computer program product is found.
  • the invention provides a method for providing personal information of a user requested by a given online service.
  • the online service requests the user's personal information (typically fields to be completed) which may be varied in nature: preferably this information includes a login and / or a password of the user for this online service, but it may be for example to automatically fill in a form the address of the user, his date of birth, etc.
  • personal information typically fields to be completed
  • this information includes a login and / or a password of the user for this online service, but it may be for example to automatically fill in a form the address of the user, his date of birth, etc.
  • online service any third party service that the user wishes to use, typically via a web portal displayed on a computer equipment 3 of the user (such as a PC connected to the internet network 20) at which the entry of personal information is requested.
  • equipment 3 can be confused with the mobile terminal 1 which will be described later.
  • the online service is typically hosted by a server 4 connected to the network 20. It is noted that several online services may be involved in the present method.
  • At least one security server 2 is also connected to the network 20.
  • it is a server of an operator of a mobile terminal 1 of the user. It comprises a data processing module 21, for example a processor, and a data storage module 22 such as a hard disk, storing a database containing said personal data, in particular the personal data of a plurality of users (sharing the same mobile operator) for a plurality of online services. We will see the structure of this database later.
  • the data storage module 22 may be separate from the server 2 and only connected to the latter via the network. It may also not be a single base but be distributed among various equipments. In all cases, the database is preferably encrypted and under the control of the server 2 so as to avoid security flaws.
  • An API platform 5 is also preferably connected to the network 20. According to a preferred embodiment, it is confused with the security server 2. It will be understood that it can also be integrated into a server hosting the online service.
  • This API 5 platform is the link between the servers of online services and the security server 2. More specifically, in case of request for personal information from an online service, it is able to identify (in function of the operator) and activate the server 2 via the generation of a suitable request. Similarly, in case of providing the personal information in response by the server 2, it is able to "Fill in” the online service by simulating the entry of this information by the user on the online service interface.
  • a mobile terminal 1 which can be of any type, in particular smartphone or touch pads. It comprises a data processing module (a processor), advantageously a data storage module 12, and a user interface (HMI) comprising, for example, input means and display means (for example a touch screen, will see further alternatives).
  • a data processing module a processor
  • a data storage module 12 a data storage module
  • HMI user interface
  • the mobile terminal 1 is advantageously connected to a mobile communication network 10, itself connected to the Internet network 20.
  • the mobile terminal 1 can be directly connected to the Internet network 20, for example Wi-Fi.
  • the data processing module of the terminal 1 is adapted to implement an application (of the type of application MC mentioned above for the validation of authorizations to supply personal information), which will be seen later on. more in detail.
  • the terminal 1 further comprises a security element. It is an element adapted to allow a connection of the terminal 1 to a mobile communication network, in particular a subscriber identification card.
  • subscriber identification card is meant any integrated circuit capable of performing the functions of identifying a subscriber to a network by means of data stored therein, and more particularly a "SIM” card (of the English “Subscriber Identity Module”), or an “e-UICC” card (“embedded”) comprising data processing means in the form of a microcontroller and the memory of type "EEPROM” (for "Electrically-Erasable Programmable Read-Only Memory”), or flash.
  • the security module 12 is a secure memory area of the mobile terminal such as a "TEE” (Trusted Execution Environment) component embedded in the data processing module, or a hardware element.
  • dedicated terminal 1 for example a microcontroller, an "eSE” chip for "(embedded) -Secure Element” or any “Secure Component GP (GlobalPIatform)", or even a microSD-type removable component ("SD”) for Secure Digital).
  • this security module stores a fraction of said database, in this case the fraction relating to the personal information of the user of the terminal 1 concerned. This ensures maximum security for the user information.
  • the security server 2 can be hosted by this security module (with respect to the user involved), the API 5 platform thus having the role of directly contacting each security module (ie directly mobile terminals 1 users ) if their personal information is requested. Since a security module such as a SIM card is completely locked, this prevents hacking and theft of information.
  • Terminal 1 to store personal information
  • the method for filling in a user's personal information requested by a given online service comprising the implementation by a data processing module 21 of a security server 2 of a service provider.
  • a mobile terminal 1 of the user of three steps of:
  • the user seeks to access the online service at the level of the equipment 5, and for this the third party server 4 hosting said service asks him to enter personal information.
  • the user can simply inform himself of this information, but instead he issues instructions to use mobile authentication, ie to ask via the network 20 the information of this personal information, for example by checking an appropriate box on the portal of the service displayed via the equipment 3.
  • the user informs at least, including by input, his identifier unique (note that it can be for example pre-recorded by an application, such as a browser, equipment 3).
  • this personal identifier can be either directly an e-mail address or even the telephone number of the mobile terminal 1 of the user, or an "alias", that is to say an anonymized identifier (such as a code or a pseudonym) if the user wishes to avoid giving information such as his telephone number to the service.
  • step (a) then comprises a request by the third party server 4 from the API platform 5 also connected to the Internet 20 information network of said personal information of the user.
  • the server 4 requests said API platform 5 to generate said request for said personal information of the user. For this he transmits the unique identifier of the user received and a service identifier (or means to find this identifier). The list of requested information may also be included.
  • the server 4 can present the capabilities of the platform API 5 and thus directly generate the request for the security server 2.
  • the server 2 Upon receipt of the request, the server 2 has all the elements allowing it to retrieve and provide the user's personal information, but beforehand it will verify via its mobile terminal that the user who requested the automatic information is the user. expected.
  • step (b) For this it generates in step (b) the second request for authorization of response to said request of said personal information of the user, and transmits it to said mobile terminal 1 of the user. In other words, it asks the user to validate via his terminal the transfer of personal information requested.
  • Said second request may include the identifier of the requesting service.
  • the mobile terminal 1 Upon receipt of this request, the mobile terminal 1 displays that the user's personal information is about to be provided (where appropriate the requesting service is displayed to assist the user), and the user uses the interface of its terminal to validate or not this authorization, we will see how further.
  • a confirmation of authorization of response is then emitted by the terminal 1 and received by the server 2, and then the latter can send in response to the request of said personal information of the user the data (which is the personal information) associated with said unique identifier of the user and identifier of said online service given in the database stored in a storage module of data 22, or at least those requested (for example the login / password of the user for this service).
  • the present method is distinguished inter alia by a particular structure of the database.
  • each pair of personal data with a pair (unique identifier, identifier of a service)
  • the present method uses a third parameter, representative of a security level required to confirm the authorization of response. on said mobile terminal 1.
  • each set of personal data is associated with a triple ⁇ unique identifier, service identifier, security level ⁇ .
  • the validation procedure to be implemented by the user on his mobile terminal 1 depends on the value of this parameter representative of a security level, c ' that is to say that the mobile application implements different validation procedures depending on the value of this parameter, these different validation procedure corresponding to different levels of security.
  • the value of said parameter representative of a security level is thus chosen from a predetermined and hierarchical list of security level values: level 1, level 2, level 3, etc. (with level i representative of a security lower than level j if i ⁇ j).
  • said predetermined list comprises at least a first security level in which manipulation of an interface of the mobile terminal 1 is sufficient to confirm the authorization of response (in other words the validation procedure consists of the accomplishment of a given manipulation of the interface of the mobile terminal 1); and a second security level in which the entry of an authentication code on an interface of the mobile terminal 1 is necessary to confirm the authorization of response (in other words the validation procedure includes at least the entry of the code authentication on the mobile terminal interface 1).
  • manipulation of an interface is meant any predetermined action such as pressing a button or clicking (or touching in the case of a touch terminal) on a predetermined area. For example, press “OK”.
  • a tactile movement such as a "slide to unlock” can be considered.
  • it is a simple validation signifying that the user is present on the mobile terminal 1. In other words, no code or knowledge of a particular secret information is needed for this validation at security level 1.
  • Validation at security level 2 requires knowledge of a secret information, in this case the said authentication code required.
  • This is typically the PIN code, but it may be for example an unlock pattern.
  • a security level 3 may require information that can not be known or stolen, such as biometric information.
  • the validation procedure is then the verification of a fingerprint, a retained fingerprint, etc.
  • a security level 4 can combine several biometric and / or secret information, etc.
  • step (b) provides for the implementation by the data processing module 21 of the security server 2 of two innovative substeps, in this case:
  • the server 2 when the server 2 receives the first request, it queries the database to know what is the value of the third parameter in the triplet ⁇ unique identifier, identifier of a service, security level ⁇ , and it integrates this parameter value in the second request sent to the mobile terminal 1 (where appropriate with the service identifier).
  • the mobile terminal 1 requests confirmation of the authorization of response to the first request according to the security level corresponding to this parameter, so that for this given online service, security is as defined by the user, typically Level 1 (simple "OK” validation) for basic online services, and Level 2 or higher (validation by authentication code or biometrics) for more critical services such as banking services.
  • Level 1 simple "OK” validation
  • Level 2 or higher validation by authentication code or biometrics
  • the present method for providing personal information of a user requested by a given online service comprises the implementation by a data processing module 21 of a security server 2 of an operator of a terminal mobile user 1 steps from:
  • the security level is flexible under the control of the user, so as to change the validation procedure associated with each online service.
  • the method advantageously comprises a preliminary step of
  • the user can set his security levels.
  • the application can display the security level associated with each online service, and the user can modify it directly by requesting the transmission of the request to modify the value of said parameter.
  • the modification is only possible on the upside, that is to say that the replacement (of the initial value by the modified value) is implemented only if the modified parameter value corresponds at a security level higher than the initial value.
  • each online service is associated with the minimum security level, so that a priori the user can only raise this level. If after mounting it now wants to reduce it, it may be then for example that such a downward modification is made only in an operator's shop by presenting an identity document.
  • the provider of a service may require a minimum level of security. As the default level is minimal, it can be expected that a service provider himself has the opportunity to modify the level of security associated with its service for all users.
  • the method comprises a preliminary step of:
  • the invention relates to the security server 2 for implementing the method according to the first aspect.
  • this security server 2 for entering personal information of a user requested by a given online service is connected to the network 20, and comprises a data processing module 21 implementing:
  • a module for receiving a request for said personal information of the user comprising a unique identifier of the user and an identifier of said given online service, couples of a unique identifier and an identifier of a online service being associated, in a database stored in a data storage module 22 (which can be integrated into the server 2, or just connected to it), on the one hand to personal information and on the other hand to a parameter representing a security level required to confirm a response authorization on a mobile terminal 1 of the user;
  • a transmission module in response to the request of said personal information of the user, if reception of a confirmation of authorization of response from said mobile terminal 1, data associated with said unique identifier of the user and identifying said online service given in said database.
  • the invention relates to a computer program product comprising code instructions for the execution (in particular on the data processing module 21 of the server 2) of a method according to the first aspect. of the invention to provide personal information of a user requested by a given online service, and storage means readable by a computer equipment (the data storage module 22 of the server 2) on which there is this product computer program.

Abstract

The present invention relates to a method for providing personal information of a user requested by a given online service, the method comprising the implementation, by a data processing module (21) of a security server (2) of a mobile terminal operator (1) of the user, steps of: (a) receiving a request for said personal information of the user, comprising a unique identifier of the user and an identifier of said given online service; (b) sending, to said mobile terminal (1) of the user, a response authorisation request; (c) if a response authorisation confirmation is received, sending data associated with the unique identifier of the user and the identifier of the given online service in a database; characterised in that each pair of a unique identifier and an online service identifier is also associated in said database with a parameter representative of a level of security required in order to confirm the response authorisation on the mobile terminal (1), step (b) comprising: determining the value of said parameter associated in the database with the unique identifier of the user and identifier of the given online service; and integrating the determined value of the parameter in the response authorisation request.

Description

Procédé pour renseigner des informations personnelles d'un utilisateur demandées par un service en ligne donné  Method for providing personal information of a user requested by a given online service
DOMAINE TECHNIQUE GENERAL GENERAL TECHNICAL FIELD
La présente invention concerne le domaine de l'authentification via terminal mobile. Plus précisément, elle concerne un procédé pour récupérer des données personnelles d'un utilisateur en vue de renseigner un service en ligne. ETAT DE L'ART The present invention relates to the field of authentication via mobile terminal. More specifically, it relates to a method for retrieving a user's personal data in order to inform an online service. STATE OF THE ART
La technologie « Mobile Connect », développée par le Demandeur vise à permettre l'authentification d'un utilisateur auprès d'un service en ligne via un terminal mobile. The "Mobile Connect" technology developed by the Applicant aims to enable the authentication of a user to an online service via a mobile terminal.
Plus précisément, au lieu d'entrer un couple login/mot de passe sur un portail d'un service en ligne (une page web), l'utilisateur sélectionne l'option MC (Mobile Connect) et il est simplement demandé de saisir simplement un identifiant personnel (qui peut être son numéro de téléphone ou un « alias » anonymisé).  More precisely, instead of entering a login / password pair on an online service portal (a web page), the user selects the option MC (Mobile Connect) and is simply asked to simply enter a personal identifier (which can be his phone number or an anonymized "alias").
Le service en ligne requiert alors, éventuellement via une plateforme API (Application Programming Interface, i.e. interface de programmation applicative), auprès d'un serveur MC de l'opérateur téléphonique de l'utilisateur les informations personnelles associées (en l'espèce le login et le mot de passe).  The online service then requires, possibly via an API platform (Application Programming Interface), from a server MC of the user's telephone operator associated personal information (in this case the login and the password).
Le serveur MC, avant d'interroger une base de données stockant de manière cryptée les informations personnelles des utilisateurs de sorte à retourner celles demandées, envoie vers le terminal mobile de l'utilisateur une requête de validation. Une application MC s'ouvre sur le terminal mobile et invite l'utilisateur à accepter la requête. Si oui, le serveur MC retourne les informations personnelles demandées de sorte à permettre l'accès de l'utilisateur au service.  The server MC, before interrogating a database that encrypts the user's personal information in such a way as to return the requested information, sends a request for validation to the mobile terminal of the user. An MC application opens on the handheld and prompts the user to accept the request. If so, the MC server returns the requested personal information to allow the user access to the service.
La demande brevet EP2629553 décrit un tel mécanisme d'authentification via terminal mobile.  The patent application EP2629553 describes such an authentication mechanism via mobile terminal.
Cette technologie apporte satisfaction, car elle évite à l'utilisateur la nécessité de retenir des dizaines de mots de passe aux différents services en ligne. Une solution était d'utiliser le même mot de passe partout, ce qui pouvait s'avérer risqué si l'un des services présentait une faille. La technologie Mobile Connect améliore ainsi in fine la sécurité en ligne. Aujourd'hui la validation utilisateur au niveau de l'application MC est simplement un « OK » de la part de l'utilisateur, c'est-à-dire l'appui sur une touche dans un délai prédéterminé. This technology is satisfactory because it avoids the need for the user to remember dozens of passwords to different online services. One solution was to use the same password everywhere, which could be risky if one of the services had a flaw. Mobile Connect technology ultimately improves online security. Today the user validation at the application level MC is simply an "OK" on the part of the user, that is to say the pressing of a key within a predetermined time.
Il serait possible de modifier l'application pour prévoir un niveau de sécurité supplémentaire pour authentifier l'utilisateur (de sorte à éviter qu'un tiers mal intentionné ayant volé le terminal mobile ne fasse l'opération), par exemple en requérant la saisie du code PIN par l'utilisateur, voire en posant une question secrète ou encore en exigeant une identification biométrique (de nombreux terminaux mobiles ont un lecteur d'empreintes digitales), et même une combinaison de plusieurs mécanismes d'authentification.  It would be possible to modify the application to provide an additional level of security to authenticate the user (so as to prevent a malicious third party who stole the mobile terminal from doing the operation), for example by requiring the entry of the user. PIN code by the user, or even by asking a secret question or by requiring a biometric identification (many mobile terminals have a fingerprint reader), and even a combination of several authentication mechanisms.
Cela pourrait s'avérer souhaitable pour l'accès à des services en ligne This may be desirable for access to online services
« sensibles » (par exemple bancaires), mais inutilement lourd dans d'autre cas où cela freinerait tout intérêt pour la technologie qui vise avant tout à simplifier la vie de l'utilisateur. "Sensitive" (for example banking), but unnecessarily heavy in other cases where it would curb any interest in the technology that aims above all to simplify the life of the user.
Par ailleurs la notion de « sensibilité » d'un service est subjective : pour un utilisateur, la sécurité d'un service en ligne donné peut être critique, et pour un autre utilisateur la flexibilité peut primer.  Moreover, the notion of "sensitivity" of a service is subjective: for a user, the security of a given online service can be critical, and for another user flexibility can prevail.
Il serait par conséquent souhaitable de disposer d'un mécanisme astucieux permettant à l'utilisateur de trouver un compromis entre sécurité et flexibilité, et ce sans sacrifier à la sécurité globale de la technologie d'authentification via mobile.  It would therefore be desirable to have a clever mechanism allowing the user to find a compromise between security and flexibility, without sacrificing the overall security of the mobile authentication technology.
PRESENTATION DE L'INVENTION PRESENTATION OF THE INVENTION
La présente invention se rapporte ainsi selon un premier aspect à un procédé pour renseigner des informations personnelles d'un utilisateur demandées par un service en ligne donné, le procédé comprenant la mise en œuvre par un module de traitement de données d'un serveur de sécurité d'un opérateur d'un terminal mobile de l'utilisateur d'étapes de : The present invention thus relates in a first aspect to a method for providing personal information of a user requested by a given online service, the method comprising the implementation by a data processing module of a security server. an operator of a mobile terminal of the user of steps of:
(a) réception d'une requête desdites informations personnelles de l'utilisateur, comprenant un identifiant unique de l'utilisateur et un identifiant dudit service en ligne donné ;  (a) receiving a request from said user's personal information, comprising a unique identifier of the user and an identifier of said given online service;
(b) émission à destination dudit terminal mobile de l'utilisateur d'une requête d'autorisation de réponse à ladite requête desdites informations personnelles de l'utilisateur ;  (b) transmitting to said mobile terminal of the user a request for authorization of response to said request of said personal information of the user;
(c) Si réception d'une confirmation d'autorisation de réponse depuis ledit terminal mobile, émission en réponse à la requête desdites informations personnelles de l'utilisateur de données associées auxdits identifiant unique de l'utilisateur et identifiant dudit service en ligne donné dans une base de données stockée dans un module de stockage de données ; (c) if receiving a response authorization confirmation from said mobile terminal, transmitting in response to the request of said personal data user information associated with said unique user identifier and identifying said given online service in a database stored in a data storage module;
Caractérisé en ce que chaque couple d'un identifiant unique et d'un identifiant d'un service en ligne est également associé dans ladite base de données à un paramètre représentatif d'un niveau de sécurité requis pour confirmer l'autorisation de réponse sur ledit terminal mobile, l'étape (b) comprenant : Characterized in that each pair of a unique identifier and an identifier of an online service is also associated in said database with a parameter representative of a security level required to confirm the authorization of response on said mobile terminal, step (b) comprising:
la détermination de la valeur dudit paramètre associée dans ladite base de données auxdits identifiant unique de l'utilisateur et identifiant dudit service en ligne donné ; et  determining the value of said associated parameter in said database to said unique identifier of the user and identifying said given online service; and
- l'intégration de la valeur déterminée du paramètre dans ladite requête d'autorisation de réponse à ladite requête desdites informations personnelles de l'utilisateur.  the integration of the determined value of the parameter in said request for authorization of response to said request of said personal information of the user.
L'utilisation d'un paramètre dédié pour fixer un niveau de sécurité permet à l'utilisateur lui-même de définir service par service et la carte les procédures de validation qu'il souhaite mettre en œuvre pour autoriser le renseignement d'informations, de sorte à ajuster au mieux sécurité et flexibilité. The use of a dedicated parameter to set a security level allows the user himself to define service by service and the card the validation procedures that he wishes to implement to authorize the information of information, so to adjust to the best security and flexibility.
Selon d'autres caractéristiques avantageuses et non limitatives : According to other advantageous and nonlimiting features:
· la valeur dudit paramètre représentatif d'un niveau de sécurité est choisie parmi une liste prédéterminée et hiérarchisée de valeurs de niveaux de sécurité. The value of said parameter representative of a security level is chosen from a predetermined and hierarchical list of security level values.
• ladite liste prédéterminée comprend au moins un premier niveau de sécurité dans lequel une manipulation d'une interface du terminal mobile suffit à confirmer l'autorisation de réponse ; et un deuxième niveau de sécurité dans lequel la saisie d'un code d'authentification sur une interface du terminal mobile est nécessaire à confirmer l'autorisation de réponse ;  Said predetermined list comprises at least a first security level in which manipulation of an interface of the mobile terminal is sufficient to confirm the authorization of response; and a second security level in which the entry of an authentication code on a mobile terminal interface is necessary to confirm the answer authorization;
• le procédé comprend une étape préalable de :  The method comprises a preliminary step of:
réception depuis le terminal mobile (1 ) d'une requête de modification de la valeur dudit paramètre, comprenant l'identifiant unique de l'utilisateur, l'identifiant dudit service en ligne donné et la valeur modifiée dudit paramètre ;  receiving from the mobile terminal (1) a request to modify the value of said parameter, comprising the unique identifier of the user, the identifier of said given online service and the modified value of said parameter;
remplacement dans ladite base de la valeur du paramètre associée auxdits identifiant unique de l'utilisateur et identifiant dudit service en ligne donné, par ladite valeur modifiée.  replacing in said base the value of the parameter associated with said unique identifier of the user and identifier of said given online service by said modified value.
• ledit service en ligne donné est hébergé par un serveur tiers connecté au serveur de sécurité via le réseau internet ; • l'étape (a) comprend une demande par le serveur tiers auprès d'une plateforme API également connectée au réseau Internet, de renseignement desdites informations personnelles de l'utilisateur, ladite plateforme API générant ladite requête desdites informations personnelles de l'utilisateur ; • said given online service is hosted by a third party server connected to the security server via the Internet; Step (a) comprises a request by the third party server to an API platform also connected to the Internet network, information of said personal information of the user, said platform API generating said request for said personal information of the user;
• ladite demande par le serveur tiers auprès d'une plateforme API de renseignement desdites informations personnelles de l'utilisateur est émise sur instructions de l'utilisateur au niveau d'un équipement via lequel l'utilisateur cherche à accéder audit service en ligne. Said request by the third party server to an API platform for informing said user's personal information is sent on instructions from the user at the level of a device via which the user seeks to access said online service.
• Le procédé comprend une étape préalable de : • The process comprises a preliminary step of:
réception depuis le serveur tiers d'une requête de modification de la valeur dudit paramètre, comprenant l'identifiant dudit service en ligne donné et la valeur modifiée dudit paramètre ;  receiving from the third party server a request to modify the value of said parameter, comprising the identifier of said given online service and the modified value of said parameter;
remplacement dans ladite base de la valeur du paramètre associée à chaque combinaison d'un identifiant unique et de l'identifiant dudit service en ligne donné, par ladite valeur modifiée.  replacing in said base the value of the parameter associated with each combination of a unique identifier and the identifier of said given online service by said modified value.
• le remplacement n'est mis en œuvre que si la valeur modifiée de paramètre correspond à un niveau de sécurité supérieur à la valeur initiale ;  • the replacement is implemented only if the modified parameter value corresponds to a security level higher than the initial value;
• à l'issue de l'étape (b), le terminal mobile émet en réponse à la requête d'autorisation de réponse la confirmation d'autorisation de réponse si l'utilisateur met en œuvre une procédure de validation dépendante de ladite valeur dudit paramètre.  At the end of step (b), the mobile terminal transmits, in response to the response authorization request, the confirmation of response authorization if the user implements a validation procedure dependent on said value of said parameter.
Selon un deuxième aspect, l'invention concerne un serveur de sécurité pour renseigner des informations personnelles d'un utilisateur demandées par un service en ligne donné, l'utilisateur disposant d'un terminal mobile d'un opérateur le procédé comprenant la mise en œuvre par un module de traitement de données du serveur de : According to a second aspect, the invention relates to a security server for entering personal information of a user requested by a given online service, the user having a mobile terminal of an operator the method comprising the implementation of by a data processing module of the server of:
Un module de réception d'une requête desdites informations personnelles de l'utilisateur, comprenant un identifiant unique de l'utilisateur et un identifiant dudit service en ligne donné, des couples d'un identifiant unique et d'un identifiant d'un service en ligne étant associés, dans une base de données stockée dans un module de stockage de données, d'une part à des informations personnelles et d'autre part à un paramètre représentatif d'un niveau de sécurité requis pour confirmer une autorisation de réponse sur ledit terminal mobile ;  A module for receiving a request for said personal information of the user, comprising a unique identifier of the user and an identifier of said given online service, couples of a unique identifier and an identifier of a service in question. line being associated, in a database stored in a data storage module, on the one hand with personal information and on the other hand with a parameter representative of a security level required to confirm a response authorization on said mobile terminal;
Un module de détermination de la valeur dudit paramètre associée dans ladite base de données auxdits identifiant unique de l'utilisateur et identifiant dudit service en ligne donné ;  A module for determining the value of said associated parameter in said database to said unique identifier of the user and identifying said given online service;
Un module d'émission à destination dudit terminal mobile de l'utilisateur d'une requête d'autorisation de réponse à ladite requête desdites informations personnelles de l'utilisateur, la valeur déterminée du paramètre étant intégrée dans ladite requête d'autorisation de réponse ; A transmission module for the mobile terminal of the user of a request for authorization of response to said request for said information of the user, the determined value of the parameter being integrated in said response authorization request;
un module d'émission en réponse à la requête desdites informations personnelles de l'utilisateur, si réception d'une confirmation d'autorisation de réponse depuis ledit terminal mobile, de données associées auxdits identifiant unique de l'utilisateur et identifiant dudit service en ligne donné dans ladite base de données.  a transmission module in response to the request of said personal information of the user, if reception of a confirmation of authorization of response from said mobile terminal, of data associated with said unique identifier of the user and identifier of said online service given in said database.
Selon une troisième aspect est proposé un système comprenant un serveur de sécurité selon le deuxième aspect et un terminal mobile configuré pour mettre en œuvre un module d'émission en réponse à la requête d'autorisation de réponse de la confirmation d'autorisation de réponse si l'utilisateur met en œuvre une procédure de validation dépendante de ladite valeur dudit paramètre. According to a third aspect there is provided a system comprising a security server according to the second aspect and a mobile terminal configured to implement a transmission module in response to the response authorization request of the response authorization confirmation if the user implements a validation procedure dependent on said value of said parameter.
Selon un quatrième aspect, l'invention concerne un produit programme d'ordinateur comprenant des instructions de code pour l'exécution d'un procédé selon le premier aspect de l'invention pour renseigner des informations personnelles d'un utilisateur demandées par un service en ligne donné. According to a fourth aspect, the invention relates to a computer program product comprising code instructions for the execution of a method according to the first aspect of the invention for providing personal information of a user requested by a service in question. given line.
Selon un cinquième aspect, l'invention concerne un moyen de stockage lisible par un équipement informatique sur lequel on trouve ce produit programme d'ordinateur.  According to a fifth aspect, the invention relates to a storage means readable by a computer equipment on which this computer program product is found.
PRESENTATION DES FIGURES PRESENTATION OF FIGURES
D'autres caractéristiques et avantages de la présente invention apparaîtront à la lecture de la description qui va suivre d'un mode de réalisation préférentiel. Cette description sera donnée en référence à la figure unique annexée qui est un schéma d'une architecture générale de réseau pour la mise en œuvre de l'invention. Other features and advantages of the present invention will appear on reading the following description of a preferred embodiment. This description will be given with reference to the single appended figure which is a diagram of a general network architecture for the implementation of the invention.
DESCRIPTION DETAILLEE Architecture DETAILED DESCRIPTION Architecture
En référence à la figure 1 , l'invention propose un procédé pour renseigner des informations personnelles d'un utilisateur demandées par un service en ligne donné. Referring to Figure 1, the invention provides a method for providing personal information of a user requested by a given online service.
En d'autres termes, on comprendra que le service en ligne demande des informations personnelles de l'utilisateur (typiquement des champs à compléter) qui peuvent être de nature variées : de façon préférée ces informations comprennent un login et/ou un mot de passe de l'utilisateur pour ce service en ligne, mais il peut s'agir par exemple de renseigner automatiquement dans un formulaire l'adresse de l'utilisateur, sa date de naissance, etc. In other words, it will be understood that the online service requests the user's personal information (typically fields to be completed) which may be varied in nature: preferably this information includes a login and / or a password of the user for this online service, but it may be for example to automatically fill in a form the address of the user, his date of birth, etc.
Par service en ligne, on entend n'importe quel service tiers que l'utilisateur souhaite utiliser, typiquement via un portail web affiché sur un équipement informatique 3 de l'utilisateur (tel qu'un PC connecté au réseau internet 20) au niveau duquel la saisie des informations personnelles est demandée. On notera que l'équipement 3 peut être confondu avec le terminal mobile 1 qui va être décrit plus loin. A titre d'exemple, on citera une banque en ligne, un site de e-commerce, un service administratif, un forum, un jeu en réseau, etc.  By online service is meant any third party service that the user wishes to use, typically via a web portal displayed on a computer equipment 3 of the user (such as a PC connected to the internet network 20) at which the entry of personal information is requested. Note that the equipment 3 can be confused with the mobile terminal 1 which will be described later. For example, there is an online bank, an e-commerce site, an administrative service, a forum, a network game, etc.
Le service en ligne est typiquement hébergé par un serveur 4 connecté au réseau 20. On note que plusieurs services en lignes peuvent être impliqués dans le présent procédé.  The online service is typically hosted by a server 4 connected to the network 20. It is noted that several online services may be involved in the present method.
Comme dans la technologie Mobile Connect connue, au moins un serveur de sécurité 2 est également connecté au réseau 20. Comme l'on verra c'est un serveur d'un opérateur d'un terminal mobile 1 de l'utilisateur. Il comprend un module de traitement de données 21 , par exemple un processeur, et un module de stockage de données 22 tel qu'un disque dur, stockant une base de données dans laquelle on trouve lesdites données personnelles, en particulier les données personnelles d'une pluralité d'utilisateurs (partageant le même opérateur de téléphonie mobile) pour une pluralité de services en ligne. On verra la structure de cette base de données plus loin.  As in the known Mobile Connect technology, at least one security server 2 is also connected to the network 20. As will be seen, it is a server of an operator of a mobile terminal 1 of the user. It comprises a data processing module 21, for example a processor, and a data storage module 22 such as a hard disk, storing a database containing said personal data, in particular the personal data of a plurality of users (sharing the same mobile operator) for a plurality of online services. We will see the structure of this database later.
On note que le module de stockage de données 22 peut être distincte du serveur 2 et seulement connectée à ce dernier via le réseau. Elle peut également être pas être une base unique mais être répartie entre divers équipements. Dans tous les cas la base de données est préférentiellement cryptée et sous le contrôle du serveur 2 de sorte à éviter des failles de sécurité.  Note that the data storage module 22 may be separate from the server 2 and only connected to the latter via the network. It may also not be a single base but be distributed among various equipments. In all cases, the database is preferably encrypted and under the control of the server 2 so as to avoid security flaws.
Une plateforme API 5 est de façon préférée également connectée au réseau 20. Selon un mode de réalisation préférée elle est confondue avec le serveur de sécurité 2. On comprendra qu'elle peut également être intégrée à un serveur hébergeant le service en ligne  An API platform 5 is also preferably connected to the network 20. According to a preferred embodiment, it is confused with the security server 2. It will be understood that it can also be integrated into a server hosting the online service.
Cette plateforme API 5 fait le lien entre les serveurs des services en ligne et le serveur de sécurité 2. Plus précisément, en cas de demande d'informations personnelles de la part d'un service en ligne, elle est capable d'identifier (en fonction de l'opérateur) et d'activer le serveur 2 via la génération d'une requête adéquate. Similairement, en cas de fourniture des informations personnelles en réponse par le serveur 2, elle est capable de « renseigner » le service en ligne en simulant la saisie de ces informations par l'utilisateur sur l'interface du service en ligne. This API 5 platform is the link between the servers of online services and the security server 2. More specifically, in case of request for personal information from an online service, it is able to identify (in function of the operator) and activate the server 2 via the generation of a suitable request. Similarly, in case of providing the personal information in response by the server 2, it is able to "Fill in" the online service by simulating the entry of this information by the user on the online service interface.
Enfin, l'utilisateur est muni d'un terminal mobile 1 qui peut être de n'importe quel type, en particulier smartphone ou des tablettes tactiles. Il comprend un module de traitement de données (un processeur), avantageusement un module de stockage de données 12, et une interface utilisateur (IHM) comprenant par exemple des moyens de saisie et des moyens d'affichage (par exemple un écran tactile, on verra plus loin d'autres alternatives).  Finally, the user is provided with a mobile terminal 1 which can be of any type, in particular smartphone or touch pads. It comprises a data processing module (a processor), advantageously a data storage module 12, and a user interface (HMI) comprising, for example, input means and display means (for example a touch screen, will see further alternatives).
Le terminal mobile 1 est avantageusement connecté à un réseau de communication mobile 10, lui-même connecté au réseau Internet 20. A noter que le terminal mobile 1 peut être directement connecté au réseau Internet 20, par exemple en Wi-Fi.  The mobile terminal 1 is advantageously connected to a mobile communication network 10, itself connected to the Internet network 20. Note that the mobile terminal 1 can be directly connected to the Internet network 20, for example Wi-Fi.
Le module de traitement de données du terminal 1 est adaptée pour mettre en œuvre une application (du type de l'application MC évoquée ci-avant pour la validation d'autorisations de fournitures d'informations personnelles), dont on verra plus loin le fonctionnement plus en détail.  The data processing module of the terminal 1 is adapted to implement an application (of the type of application MC mentioned above for the validation of authorizations to supply personal information), which will be seen later on. more in detail.
De façon préférée, le terminal 1 comprend en outre un élément de sécurité. Il s'agit d'un élément adapté pour autoriser une connexion du terminal 1 à un réseau de communication mobile, en particulier une carte d'identification d'abonné. Par « carte d'identification d'abonné », on entend tout circuit intégré capable d'assurer les fonctions d'identification d'un abonné à un réseau via des données qui y sont stockées, et tout particulièrement une carte « SIM » (de l'anglais « Subscriber Identity Module »), ou une carte « e-UICC » (pour « (embedded)-Universal Integrated Circuit Card ») comprenant des moyens de traitement de données sous la forme d'un microcontrôleur et de la mémoire de type « EEPROM » (pour « Electrically-Erasable Programmable Read-Only Memory »), ou flash. Dans un autre exemple de réalisation, le module de sécurité 12 est une zone mémoire sécurisée du terminal mobile tel un composant « TEE » (de l'anglais « Trusted Execution Environment ») embarqué dans le module de traitement de données, ou un élément matériel dédié du terminal 1 (par exemple un microcontrôleur, une puce « eSE » pour « (embedded)-Secure Elément » ou n'importe quel « Secure Component GP (GlobalPIatform) »), voire un composant amovible de type microSD (« SD » pour Secure Digital).  Preferably, the terminal 1 further comprises a security element. It is an element adapted to allow a connection of the terminal 1 to a mobile communication network, in particular a subscriber identification card. By "subscriber identification card" is meant any integrated circuit capable of performing the functions of identifying a subscriber to a network by means of data stored therein, and more particularly a "SIM" card (of the English "Subscriber Identity Module"), or an "e-UICC" card ("embedded") comprising data processing means in the form of a microcontroller and the memory of type "EEPROM" (for "Electrically-Erasable Programmable Read-Only Memory"), or flash. In another exemplary embodiment, the security module 12 is a secure memory area of the mobile terminal such as a "TEE" (Trusted Execution Environment) component embedded in the data processing module, or a hardware element. dedicated terminal 1 (for example a microcontroller, an "eSE" chip for "(embedded) -Secure Element" or any "Secure Component GP (GlobalPIatform)"), or even a microSD-type removable component ("SD") for Secure Digital).
De façon préférée, ce module de sécurité stocke une fraction de ladite base de données, en l'espèce la fraction relative aux informations personnelles de l'utilisateur du terminal 1 concerné. Cela assure une sécurité maximale pour les informations de l'utilisateur. Similairement, le serveur de sécurité 2 peut être hébergé par ce module de sécurité (en ce qui concerne l'utilisateur impliqué), la plateforme API 5 ayant ainsi le rôle de contacter directement chaque module de sécurité (i.e. directement les terminaux mobiles 1 des utilisateurs) si leurs informations personnelles sont demandées. Dans la mesure où un module de sécurité tel qu'une carte SIM est complètement verrouillé, cela prévient des piratages et des vols d'informations. Preferably, this security module stores a fraction of said database, in this case the fraction relating to the personal information of the user of the terminal 1 concerned. This ensures maximum security for the user information. Similarly, the security server 2 can be hosted by this security module (with respect to the user involved), the API 5 platform thus having the role of directly contacting each security module (ie directly mobile terminals 1 users ) if their personal information is requested. Since a security module such as a SIM card is completely locked, this prevents hacking and theft of information.
Dans la suite de la présente description on prendra l'exemple représenté sur la figure 1 d'un module de stockage centralisé 22, mais l'homme du métier saura transposer l'invention dans le cas de l'utilisation d'un module de stockage du terminal 1 pour stocker les informations personnelles  In the remainder of the present description, the example shown in FIG. 1 will be taken of a centralized storage module 22, but the person skilled in the art will be able to transpose the invention in the case of the use of a storage module. Terminal 1 to store personal information
Procédé Process
De façon connue, le procédé pour renseigner des informations personnelles d'un utilisateur demandées par un service en ligne donné, le procédé comprenant la mise en œuvre par un module de traitement de données 21 d'un serveur de sécurité 2 d'un opérateur d'un terminal mobile 1 de l'utilisateur de trois étapes de : In a known manner, the method for filling in a user's personal information requested by a given online service, the method comprising the implementation by a data processing module 21 of a security server 2 of a service provider. a mobile terminal 1 of the user of three steps of:
(a) réception d'une requête desdites informations personnelles de l'utilisateur, comprenant un identifiant unique de l'utilisateur et un identifiant dudit service en ligne donné ;  (a) receiving a request from said user's personal information, comprising a unique identifier of the user and an identifier of said given online service;
(b) émission à destination dudit terminal mobile 1 de l'utilisateur d'une requête d'autorisation de réponse à ladite requête desdites informations personnelles de l'utilisateur ;  (b) transmitting to said mobile terminal 1 of the user a request for authorization of response to said request of said personal information of the user;
(c) Si réception d'une confirmation d'autorisation de réponse depuis ledit terminal mobile 1 , émission en réponse à la requête desdites informations personnelles de l'utilisateur de données associées auxdits identifiant unique de l'utilisateur et identifiant dudit service en ligne donné dans une base de données stockée dans un module de stockage de données 22. En d'autres termes, le serveur 2 doit être sollicité directement ou indirectement par le service donné pour entamer le procédé.  (c) If reception of a response authorization confirmation from said mobile terminal 1, transmission in response to the request of said personal data of the user of data associated with said unique identifier of the user and identifier of said given online service in a database stored in a data storage module 22. In other words, the server 2 must be solicited directly or indirectly by the given service to start the process.
Pour cela, dans un exemple préféré, l'utilisateur cherche à accéder au service en ligne au niveau de l'équipement 5, et pour cela le serveur tiers 4 hébergeant ledit service lui demande de renseigner des informations personnelles.  For this, in a preferred example, the user seeks to access the online service at the level of the equipment 5, and for this the third party server 4 hosting said service asks him to enter personal information.
L'utilisateur peut simplement renseigner de lui-même ces informations, mais la place il émet des instructions de recourir à l'authentification via mobile, i.e. de demander via le réseau 20 le renseignement de ces informations personnelles, par exemple en cochant une case adéquate sur le portail du service affiché via l'équipement 3. A ce stade il est nécessaire que l'utilisateur renseigne au moins, notamment par saisie, son identifiant unique (à noter qu'il peut être par exemple préenregistré par une application, telle qu'un navigateur, de l'équipement 3). Comme expliqué cet identifiant personnel peut être soit directement une adresse e-mail voire le numéro de téléphone du terminal mobile 1 de l'utilisateur, soit un « alias », c'est-à-dire un identifiant anonymisé (tel qu'un code ou un pseudonyme) si l'utilisateur souhaite éviter de donner une information telle que son numéro de téléphone au service. The user can simply inform himself of this information, but instead he issues instructions to use mobile authentication, ie to ask via the network 20 the information of this personal information, for example by checking an appropriate box on the portal of the service displayed via the equipment 3. At this stage it is necessary that the user informs at least, including by input, his identifier unique (note that it can be for example pre-recorded by an application, such as a browser, equipment 3). As explained this personal identifier can be either directly an e-mail address or even the telephone number of the mobile terminal 1 of the user, or an "alias", that is to say an anonymized identifier (such as a code or a pseudonym) if the user wishes to avoid giving information such as his telephone number to the service.
En conséquence (suite aux instructions de l'utilisateur), l'étape (a) comprend alors une demande par le serveur tiers 4 auprès de la plateforme API 5 également connectée au réseau Internet 20 de renseignement desdites informations personnelles de l'utilisateur.  Accordingly (following the instructions of the user), step (a) then comprises a request by the third party server 4 from the API platform 5 also connected to the Internet 20 information network of said personal information of the user.
En d'autres termes, le serveur 4 demande à ladite plateforme API 5 de générer ladite requête desdites informations personnelles de l'utilisateur. Pour cela il lui transmet l'identifiant unique de l'utilisateur reçu ainsi qu'un identifiant du service (ou des moyens de retrouver cet identifiant). La liste des informations demandées peut également être incluse.  In other words, the server 4 requests said API platform 5 to generate said request for said personal information of the user. For this he transmits the unique identifier of the user received and a service identifier (or means to find this identifier). The list of requested information may also be included.
Comme expliqué on comprendra que le serveur 4 peut présenter les capacités de la plateforme API 5 et donc générer directement la requête pour le serveur de sécurité 2.  As explained it will be understood that the server 4 can present the capabilities of the platform API 5 and thus directly generate the request for the security server 2.
Sur réception de la requête, le serveur 2 a tous les éléments lui permettant de récupérer et fournir les informations personnelles de l'utilisateur, mais auparavant il va vérifier via son terminal mobile que l'utilisateur ayant demandé le renseignement automatique est bien l'utilisateur attendu.  Upon receipt of the request, the server 2 has all the elements allowing it to retrieve and provide the user's personal information, but beforehand it will verify via its mobile terminal that the user who requested the automatic information is the user. expected.
Pour cela il génère dans l'étape (b) la seconde requête d'autorisation de réponse à ladite requête desdites informations personnelles de l'utilisateur, et l'émet à destination dudit terminal mobile 1 de l'utilisateur. En d'autres termes, il demande à l'utilisateur de valider via son terminal le transfert des informations personnelles demandées.  For this it generates in step (b) the second request for authorization of response to said request of said personal information of the user, and transmits it to said mobile terminal 1 of the user. In other words, it asks the user to validate via his terminal the transfer of personal information requested.
Ladite seconde requête peut comprendre l'identifiant du service demandeur. Sur réception de cette requête, le terminal mobile 1 affiche que les informations personnelles de l'utilisateur sont sur le point d'être fournies (le cas échéant le service demandeur est affiché pour aider l'utilisateur), et l'utilisateur utilise l'interface de son terminal pour valider ou non cette autorisation, on verra comment plus loin.  Said second request may include the identifier of the requesting service. Upon receipt of this request, the mobile terminal 1 displays that the user's personal information is about to be provided (where appropriate the requesting service is displayed to assist the user), and the user uses the interface of its terminal to validate or not this authorization, we will see how further.
Une confirmation d'autorisation de réponse est alors émise par le terminal 1 et reçue par le serveur 2, et alors ce dernier peut émettre en réponse à la requête desdites informations personnelles de l'utilisateur les données (qui sont les informations personnelles) associées auxdits identifiant unique de l'utilisateur et identifiant dudit service en ligne donné dans la base de données stockée dans un module de stockage de données 22, ou au moins celles demandées (par exemple le couple login/mot de passe de l'utilisateur pour ce service). A confirmation of authorization of response is then emitted by the terminal 1 and received by the server 2, and then the latter can send in response to the request of said personal information of the user the data (which is the personal information) associated with said unique identifier of the user and identifier of said online service given in the database stored in a storage module of data 22, or at least those requested (for example the login / password of the user for this service).
Base de données Database
Le présent procédé se distingue entre autres en une structure particulière de la base de données. The present method is distinguished inter alia by a particular structure of the database.
Là où il est connu d'associer à chaque ensemble de données personnelles un couple {identifiant unique, identifiant d'un service}, le présent procédé utilise un troisième paramètre, représentatif d'un niveau de sécurité requis pour confirmer l'autorisation de réponse sur ledit terminal mobile 1 . En d'autres termes, chaque ensemble de données personnelles est associé à un triplet {identifiant unique, identifiant d'un service, niveau de sécurité}.  Where it is known to associate each pair of personal data with a pair (unique identifier, identifier of a service), the present method uses a third parameter, representative of a security level required to confirm the authorization of response. on said mobile terminal 1. In other words, each set of personal data is associated with a triple {unique identifier, service identifier, security level}.
Plus précisément, la procédure de validation à mettre en œuvre par l'utilisateur sur son terminal mobile 1 (pour confirmer l'autorisation de réponse à la première requête) dépend de la valeur de ce paramètre représentatif d'un niveau de sécurité, c'est-à-dire que l'application mobile met en œuvre des procédures de validation différentes selon la valeur de ce paramètre, ces différentes procédure de validation correspondant à des niveaux de sécurité différents.  More specifically, the validation procedure to be implemented by the user on his mobile terminal 1 (to confirm the authorization of response to the first request) depends on the value of this parameter representative of a security level, c ' that is to say that the mobile application implements different validation procedures depending on the value of this parameter, these different validation procedure corresponding to different levels of security.
De façon préférée, la valeur dudit paramètre représentatif d'un niveau de sécurité est ainsi choisie parmi une liste prédéterminée et hiérarchisée de valeurs de niveaux de sécurité : niveau 1 , niveau 2, niveau 3, etc. (avec niveau i représentatif d'une sécurité moins élevée que niveau j si i<j).  Preferably, the value of said parameter representative of a security level is thus chosen from a predetermined and hierarchical list of security level values: level 1, level 2, level 3, etc. (with level i representative of a security lower than level j if i <j).
L'idée est que plus le niveau de sécurité est élevé plus la procédure de validation est complexe et nécessite une authentification « forte » de l'utilisateur sur le terminal mobile 1 , et donc plus son identité est garantie, mais plus la procédure est fastidieuse. Au contraire un niveau de sécurité bas peut présenter des failles, mais autorise une procédure de validation simple, c'est-à-dire très peu contraignante et légère. Cela permet comme on va le voir une modularité du niveau de sécurité et un paradigme nouveau dans lequel c'est l'utilisateur qui définit au cas par cas sa sécurité, sans que ce soit le fournisseur de service qui l'impose comme c'est jusque-là toujours le cas.  The idea is that the higher the level of security, the more complex the validation procedure is and the user needs to have "strong" authentication on the mobile terminal 1, and therefore his identity is guaranteed, but the more tedious the procedure is. . On the other hand, a low level of security can present flaws, but allows a simple validation procedure, that is to say, very little binding and light. This allows, as we will see, a modularity of the security level and a new paradigm in which it is the user who defines his security on a case-by-case basis, without it being the service provider who imposes it as it is until then always the case.
De façon particulièrement préférée, ladite liste prédéterminée comprend au moins un premier niveau de sécurité dans lequel une manipulation d'une interface du terminal mobile 1 suffit à confirmer l'autorisation de réponse (en d'autres termes la procédure de validation consiste en l'accomplissement d'une manipulation donnée de l'interface du terminal mobile 1 ) ; et un deuxième niveau de sécurité dans lequel la saisie d'un code d'authentification sur une interface du terminal mobile 1 est nécessaire à confirmer l'autorisation de réponse (en d'autres termes la procédure de validation comprend au moins la saisie du code d'authentification sur l'interface du terminal mobile 1 ). In a particularly preferred manner, said predetermined list comprises at least a first security level in which manipulation of an interface of the mobile terminal 1 is sufficient to confirm the authorization of response (in other words the validation procedure consists of the accomplishment of a given manipulation of the interface of the mobile terminal 1); and a second security level in which the entry of an authentication code on an interface of the mobile terminal 1 is necessary to confirm the authorization of response (in other words the validation procedure includes at least the entry of the code authentication on the mobile terminal interface 1).
Par « manipulation d'une interface », on entend n'importe quelle action prédéterminée telle qu'un appui sur un bouton ou le clic (ou le toucher dans le cas d'un terminal tactile) sur une zone prédéterminée. Par exemple, appuyer sur « OK ». Un mouvement tactile tel qu'un « slide to unlock » peut être envisagé. De façon générale, il s'agit d'une validation simple signifiant que l'utilisateur est présent sur le terminal mobile 1 . En d'autres termes, aucun code ou aucune connaissance d'une information secrète particulière n'est nécessaire pour cette validation au niveau de sécurité 1 .  By "manipulation of an interface" is meant any predetermined action such as pressing a button or clicking (or touching in the case of a touch terminal) on a predetermined area. For example, press "OK". A tactile movement such as a "slide to unlock" can be considered. In general, it is a simple validation signifying that the user is present on the mobile terminal 1. In other words, no code or knowledge of a particular secret information is needed for this validation at security level 1.
Si l'utilisateur n'accomplit pas ladite manipulation dans un délai prédéterminé (ou en fait une autre représentative du refus d'autorisation, telle qu'appuyer sur « CANCEL »), alors la procédure de validation n'est pas mise en œuvre correctement, l'autorisation est réputée non confirmée et le procédé s'arrête.  If the user does not perform the said manipulation within a predetermined time (or in fact another representative of the refusal of authorization, such as to press "CANCEL"), then the validation procedure is not implemented correctly. the authorization is deemed unconfirmed and the process stops.
La validation au niveau de sécurité 2 nécessite quant à elle connaissance d'une information sécrète, en l'espèce ledit code d'authentification nécessaire. Il s'agit typiquement du code PIN, mais ce peut être par exemple un motif de déverrouillage.  Validation at security level 2 requires knowledge of a secret information, in this case the said authentication code required. This is typically the PIN code, but it may be for example an unlock pattern.
Des niveaux de sécurité encore au-delà peuvent être envisagés. Par exemple, un niveau de sécurité 3 peut nécessiter une information qui ne peut être ni connue ni volée, comme une information biométrique. La procédure de validation est alors la vérification d'une empreinte digitale, d'une empreinte retienne, etc.  Security levels beyond that can be considered. For example, a security level 3 may require information that can not be known or stolen, such as biometric information. The validation procedure is then the verification of a fingerprint, a retained fingerprint, etc.
Un niveau de sécurité 4 peut combiner plusieurs informations biométriques et/ou secrètes, etc.  A security level 4 can combine several biometric and / or secret information, etc.
Quelles que soient les valeurs prévues de niveau de sécurité, l'étape (b) prévoit la mise en œuvre par le module de traitement de données 21 du serveur de sécurité 2 de deux sous-étapes innovantes, en l'espèce : Whatever the predicted values of the security level, step (b) provides for the implementation by the data processing module 21 of the security server 2 of two innovative substeps, in this case:
la détermination de la valeur dudit paramètre associée dans ladite base de données auxdits identifiant unique de l'utilisateur et identifiant dudit service en ligne donné ; et  determining the value of said associated parameter in said database to said unique identifier of the user and identifying said given online service; and
l'intégration de la valeur déterminée du paramètre dans ladite requête d'autorisation de réponse à ladite requête desdites informations personnelles de l'utilisateur.  integrating the determined value of the parameter in said request for authorization of response to said request of said personal information of the user.
En d'autres termes, lorsque le serveur 2 reçoit le première requête, il interroge la base de donnée pour savoir quelle est la valeur du troisième paramètre dans le triplet {identifiant unique, identifiant d'un service, niveau de sécurité}, et il intègre cette valeur de paramètre dans la seconde requête émise vers le terminal mobile 1 (le cas échéant avec l'identifiant du service). In other words, when the server 2 receives the first request, it queries the database to know what is the value of the third parameter in the triplet {unique identifier, identifier of a service, security level}, and it integrates this parameter value in the second request sent to the mobile terminal 1 (where appropriate with the service identifier).
Et le terminal mobile 1 demande confirmation de l'autorisation de réponse à la première requête conformément au niveau de sécurité correspondant à ce paramètre, de sorte que pour ce service en ligne donné, la sécurité soit comme l'a défini l'utilisateur, typiquement au niveau 1 (validation simple par « OK ») pour les services en ligne basiques, et niveau 2 ou plus (validation par code d'authentification voire biométrie) pour les services plus critiques tels que les services bancaires.  And the mobile terminal 1 requests confirmation of the authorization of response to the first request according to the security level corresponding to this parameter, so that for this given online service, security is as defined by the user, typically Level 1 (simple "OK" validation) for basic online services, and Level 2 or higher (validation by authentication code or biometrics) for more critical services such as banking services.
En résumé, le présent procédé pour renseigner des informations personnelles d'un utilisateur demandées par un service en ligne donné comprend la mise en œuvre par un module de traitement de données 21 d'un serveur de sécurité 2 d'un opérateur d'un terminal mobile 1 de l'utilisateur d'étapes de : In summary, the present method for providing personal information of a user requested by a given online service comprises the implementation by a data processing module 21 of a security server 2 of an operator of a terminal mobile user 1 steps from:
(a) réception d'une requête desdites informations personnelles de l'utilisateur, comprenant un identifiant unique de l'utilisateur et un identifiant dudit service en ligne donné, des couples d'un identifiant unique et d'un identifiant d'un service en ligne étant associés, dans une base de données stockée dans un module de stockage de données 22, d'une part à des informations personnelles et d'autre part à un paramètre représentatif d'un niveau de sécurité requis pour confirmer une autorisation de réponse sur ledit terminal mobile 1 ;  (a) receiving a request from said user's personal information, comprising a unique identifier of the user and an identifier of said given online service, couples of a unique identifier and an identifier of a service in question; line being associated, in a database stored in a data storage module 22, on the one hand with personal information and on the other hand with a parameter representative of a security level required to confirm a response authorization on said mobile terminal 1;
(b) détermination de la valeur dudit paramètre associée dans ladite base de données auxdits identifiant unique de l'utilisateur et identifiant dudit service en ligne donné ; et émission à destination dudit terminal mobile 1 de l'utilisateur d'une requête d'autorisation de réponse à ladite requête desdites informations personnelles de l'utilisateur, contenant la valeur déterminée du paramètre dans ladite requête d'autorisation de réponse ;  (b) determining the value of said associated parameter in said database to said unique identifier of the user and identifying said given online service; and transmitting to said mobile terminal 1 of the user a request for authorization of response to said request of said personal information of the user, containing the determined value of the parameter in said response authorization request;
(c) Si réception d'une confirmation d'autorisation de réponse depuis ledit terminal mobile 1 , émission en réponse à la requête desdites informations personnelles de l'utilisateur de données associées auxdits identifiant unique de l'utilisateur et identifiant dudit service en ligne donné dans ladite base de données.  (c) If reception of a response authorization confirmation from said mobile terminal 1, transmission in response to the request of said personal data of the user of data associated with said unique identifier of the user and identifier of said given online service in said database.
Modification de niveau de sécurité Comme expliqué, le niveau de sécurité est modulable sous le contrôle de l'utilisateur, de sorte à changer la procédure de validation associée à chaque service en ligne. Change security level As explained, the security level is flexible under the control of the user, so as to change the validation procedure associated with each online service.
Pour cela, le procédé comprend avantageusement une étape préalable de  For this, the method advantageously comprises a preliminary step of
- réception depuis le terminal mobile 1 d'une requête de modification de la valeur dudit paramètre, comprenant l'identifiant unique de l'utilisateur, l'identifiant dudit service en ligne donné et la valeur modifiée dudit paramètre ; et  receiving from the mobile terminal 1 a request for modifying the value of said parameter, comprising the unique identifier of the user, the identifier of said given online service and the modified value of said parameter; and
remplacement dans ladite base de la valeur du paramètre associée auxdits identifiant unique de l'utilisateur et identifiant dudit service en ligne donné, par ladite valeur modifiée.  replacing in said base the value of the parameter associated with said unique identifier of the user and identifier of said given online service by said modified value.
En d'autres termes, via l'application de validation, l'utilisateur peut paramétrer ses niveaux de sécurité. Ainsi l'application peut afficher le niveau de sécurité associé à chaque service en ligne, et l'utilisateur peut le modifier directement en demandant l'émission de la requête de modification de la valeur dudit paramètre.  In other words, via the validation application, the user can set his security levels. Thus, the application can display the security level associated with each online service, and the user can modify it directly by requesting the transmission of the request to modify the value of said parameter.
De façon préférée, la modification n'est possible qu'à la hausse, c'est-à-dire que le remplacement (de la valeur initiale par la valeur modifiée) n'est mis en œuvre que si la valeur modifiée de paramètre correspond à un niveau de sécurité supérieur à la valeur initiale.  In a preferred manner, the modification is only possible on the upside, that is to say that the replacement (of the initial value by the modified value) is implemented only if the modified parameter value corresponds at a security level higher than the initial value.
Par exemple, un passage du niveau de sécurité 1 (validation simple par « OK ») au niveau 2 (validation par code d'authentification) sera autorisée, mais pas l'inverse. Cela permet d'éviter une attaque complexe dans lequel un tiers mal intentionné volerait le terminal mobile 1 de l'utilisateur, puis modifierait à la baisse le niveau de sécurité, de sorte à pouvoir accéder à un service en usurpant l'identité de l'utilisateur sans connaître son code d'authentification.  For example, a transition from security level 1 (simple validation by "OK") to level 2 (validation by authentication code) will be allowed, but not the other way around. This avoids a complex attack in which a malicious third party would steal the mobile terminal 1 of the user, then downgrade the level of security, so as to access a service by usurping the identity of the user without knowing his authentication code.
Pour éviter de bloquer l'utilisateur, il peut être prévu que par défaut chaque service en ligne est associé au niveau de sécurité minimale, ce qui fait qu'a priori l'utilisateur ne peut que monter ce niveau. Si après l'avoir monté il souhaite à présent le diminuer, il peut être alors par exemple prévu qu'une telle modification à la baisse ne soit faite que dans une boutique de l'opérateur en présentant une pièce d'identité.  To avoid blocking the user, it can be expected that by default each online service is associated with the minimum security level, so that a priori the user can only raise this level. If after mounting it now wants to reduce it, it may be then for example that such a downward modification is made only in an operator's shop by presenting an identity document.
A noter que dans tous les cas la modification du niveau de sécurité peut être conditionnée à la manipulation requise par niveau de sécurité actuel (voire le plus élevé entre l'initial et le modifié).  Note that in all cases the change in the security level can be conditioned to the required handling by current security level (or even the highest between the initial and the modified).
Alternativement ou en complément, le fournisseur d'un service peut exiger un niveau minimal de sécurité. Comme par défaut le niveau est minimal, il peut ainsi être prévu qu'un fournisseur de service ait lui-même la possibilité de modifier à la hausse le niveau de sécurité associé à son service pour tous les utilisateurs. Pour cela, le procédé comprend une étape préalable de : Alternatively or in addition, the provider of a service may require a minimum level of security. As the default level is minimal, it can be expected that a service provider himself has the opportunity to modify the level of security associated with its service for all users. For this, the method comprises a preliminary step of:
réception depuis le serveur tiers 4 d'une requête de modification de la valeur dudit paramètre, comprenant l'identifiant dudit service en ligne donné et la valeur modifiée dudit paramètre ;  receiving from the third party server 4 a request for modifying the value of said parameter, comprising the identifier of said given online service and the modified value of said parameter;
remplacement dans ladite base de la valeur du paramètre associée à chaque combinaison d'un identifiant unique et de l'identifiant dudit service en ligne donné, par ladite valeur modifiée.  replacing in said base the value of the parameter associated with each combination of a unique identifier and the identifier of said given online service by said modified value.
Comme avant, les modifications à la baisse, potentiellement frauduleuses, peuvent être bloquées ou en tout cas conditionnées à des procédures sécurisées particulières.  As before, downward changes, potentially fraudulent, can be blocked or in any case conditioned on specific secure procedures.
Serveur de sécurité et terminal Security server and terminal
Selon un deuxième aspect, l'invention concerne le serveur de sécurité 2 pour la mise en œuvre du procédé selon le premier aspect. According to a second aspect, the invention relates to the security server 2 for implementing the method according to the first aspect.
Comme expliqué, ce serveur de sécurité 2 pour renseigner des informations personnelles d'un utilisateur demandées par un service en ligne donné est connecté au réseau 20, et comprend un module de traitement de données 21 mettant en œuvre :  As explained, this security server 2 for entering personal information of a user requested by a given online service is connected to the network 20, and comprises a data processing module 21 implementing:
Un module de réception d'une requête desdites informations personnelles de l'utilisateur, ladite requête comprenant un identifiant unique de l'utilisateur et un identifiant dudit service en ligne donné, des couples d'un identifiant unique et d'un identifiant d'un service en ligne étant associés, dans une base de données stockée dans un module de stockage de données 22 (qui peut être intégrée au serveur 2, ou juste lui être connectée), d'une part à des informations personnelles et d'autre part à un paramètre représentatif d'un niveau de sécurité requis pour confirmer une autorisation de réponse sur un terminal mobile 1 de l'utilisateur ;  A module for receiving a request for said personal information of the user, said request comprising a unique identifier of the user and an identifier of said given online service, couples of a unique identifier and an identifier of a online service being associated, in a database stored in a data storage module 22 (which can be integrated into the server 2, or just connected to it), on the one hand to personal information and on the other hand to a parameter representing a security level required to confirm a response authorization on a mobile terminal 1 of the user;
Un module de détermination de la valeur dudit paramètre associée dans ladite base de données auxdits identifiant unique de l'utilisateur et identifiant dudit service en ligne donné ;  A module for determining the value of said associated parameter in said database to said unique identifier of the user and identifying said given online service;
- Un module d'émission à destination dudit terminal mobile 1 de l'utilisateur d'une requête d'autorisation de réponse à ladite requête desdites informations personnelles de l'utilisateur, la valeur déterminée du paramètre étant intégrée dans ladite requête d'autorisation de réponse ;  A transmission module intended for said mobile terminal 1 of the user of a request for authorization of response to said request for said personal information of the user, the determined value of the parameter being integrated in said authorization request of reply ;
un module d'émission en réponse à la requête desdites informations personnelles de l'utilisateur, si réception d'une confirmation d'autorisation de réponse depuis ledit terminal mobile 1 , de données associées auxdits identifiant unique de l'utilisateur et identifiant dudit service en ligne donné dans ladite base de données. a transmission module in response to the request of said personal information of the user, if reception of a confirmation of authorization of response from said mobile terminal 1, data associated with said unique identifier of the user and identifying said online service given in said database.
Est également proposé le système comprenant le serveur de sécurité 2, et un terminal mobile 1 configuré pour mettre en œuvre un module d'émission en réponse à la requête d'autorisation de réponse de la confirmation d'autorisation de réponse si l'utilisateur met en œuvre une procédure de validation dépendante de ladite valeur dudit paramètre. Produit programme d'ordinateur Is also proposed the system comprising the security server 2, and a mobile terminal 1 configured to implement a transmission module in response to the response authorization request of the response authorization confirmation if the user sets implementing a validation procedure dependent on said value of said parameter. Computer program product
Selon un quatrième et un cinquième aspects, l'invention concerne un produit programme d'ordinateur comprenant des instructions de code pour l'exécution (en particulier sur le module de traitement de données 21 du serveur 2) d'un procédé selon le premier aspect de l'invention pour renseigner des informations personnelles d'un utilisateur demandées par un service en ligne donné, ainsi que des moyens de stockage lisibles par un équipement informatique (le module de stockage de données 22 du serveur 2) sur lequel on trouve ce produit programme d'ordinateur. According to a fourth and a fifth aspect, the invention relates to a computer program product comprising code instructions for the execution (in particular on the data processing module 21 of the server 2) of a method according to the first aspect. of the invention to provide personal information of a user requested by a given online service, and storage means readable by a computer equipment (the data storage module 22 of the server 2) on which there is this product computer program.

Claims

REVENDICATIONS
1. Procédé pour renseigner des informations personnelles d'un utilisateur demandées par un service en ligne donné, le procédé comprenant la mise en œuvre par un module de traitement de données (21 ) d'un serveur de sécurité (2) d'un opérateur d'un terminal mobile (1 ) de l'utilisateur d'étapes de : 1. Method for providing personal information of a user requested by a given online service, the method comprising the implementation by a data processing module (21) of a security server (2) of an operator of a mobile terminal (1) of the user of steps of:
(a) réception d'une requête desdites informations personnelles de l'utilisateur, comprenant un identifiant unique de l'utilisateur et un identifiant dudit service en ligne donné ; (a) receiving a request for said personal information of the user, including a unique identifier of the user and an identifier of said given online service;
(b) émission à destination dudit terminal mobile (1 ) de l'utilisateur d'une requête d'autorisation de réponse à ladite requête desdites informations personnelles de l'utilisateur ; (b) sending to said mobile terminal (1) of the user a request for authorization to respond to said request for said personal information of the user;
(c) Si réception d'une confirmation d'autorisation de réponse depuis ledit terminal mobile (1 ), émission en réponse à la requête desdites informations personnelles de l'utilisateur, de données associées auxdits identifiant unique de l'utilisateur et identifiant dudit service en ligne donné dans une base de données stockée dans un module de stockage de données (22) ; (c) If receipt of a response authorization confirmation from said mobile terminal (1), transmission in response to the request of said personal information of the user, of data associated with said unique identifier of the user and identifier of said service online given in a database stored in a data storage module (22);
Caractérisé en ce que chaque couple d'un identifiant unique et d'un identifiant d'un service en ligne est également associé dans ladite base de données à un paramètre représentatif d'un niveau de sécurité requis pour confirmer l'autorisation de réponse sur ledit terminal mobile (1 ), l'étape (b) comprenant : Characterized in that each pair of a unique identifier and an identifier of an online service is also associated in said database with a parameter representative of a security level required to confirm the authorization of response on said mobile terminal (1), step (b) comprising:
la détermination de la valeur dudit paramètre associée dans ladite base de données auxdits identifiant unique de l'utilisateur et identifiant dudit service en ligne donné ; et determining the value of said parameter associated in said database with said unique user identifier and identifier of said given online service; And
- l'intégration de la valeur déterminée du paramètre dans ladite requête d'autorisation de réponse, à ladite requête desdites informations personnelles de l'utilisateur. - the integration of the determined value of the parameter in said response authorization request, to said request for said personal information of the user.
2. Procédé selon la revendication 1 , dans lequel la valeur dudit paramètre représentatif d'un niveau de sécurité est choisie parmi une liste prédéterminée et hiérarchisée de valeurs de niveaux de sécurité. 2. Method according to claim 1, wherein the value of said parameter representative of a security level is chosen from a predetermined and hierarchical list of security level values.
3. Procédé selon la revendication 2, dans lequel ladite liste prédéterminée comprend au moins un premier niveau de sécurité dans lequel une manipulation d'une interface du terminal mobile (1 ) suffit à confirmer l'autorisation de réponse ; et un deuxième niveau de sécurité dans lequel la saisie d'un code d'authentification sur une interface du terminal mobile (1 ) est nécessaire à confirmer l'autorisation de réponse. 3. Method according to claim 2, wherein said predetermined list comprises at least a first security level in which manipulation of an interface of the mobile terminal (1) is sufficient to confirm the response authorization; and a second security level in which entering a code authentication on an interface of the mobile terminal (1) is necessary to confirm the response authorization.
4. Procédé selon l'une des revendications 1 à 3, comprenant une étape préalable de : 4. Method according to one of claims 1 to 3, comprising a preliminary step of:
réception depuis le terminal mobile (1 ) d'une requête de modification de la valeur dudit paramètre, comprenant l'identifiant unique de l'utilisateur, l'identifiant dudit service en ligne donné et la valeur modifiée dudit paramètre ; reception from the mobile terminal (1) of a request to modify the value of said parameter, comprising the unique identifier of the user, the identifier of said given online service and the modified value of said parameter;
remplacement dans ladite base de la valeur du paramètre associée auxdits identifiant unique de l'utilisateur et identifiant dudit service en ligne donné, par ladite valeur modifiée. replacement in said base of the parameter value associated with said unique identifier of the user and identifier of said given online service, by said modified value.
5. Procédé selon l'une des revendications 1 à 4, dans lequel ledit service en ligne donné est hébergé par un serveur tiers (4) connecté au serveur de sécurité (2) via le réseau internet (20). 5. Method according to one of claims 1 to 4, wherein said given online service is hosted by a third-party server (4) connected to the security server (2) via the internet network (20).
6. Procédé selon la revendication 5, dans lequel l'étape (a) comprend une demande par le serveur tiers (4) auprès d'une plateforme API (5) également connectée au réseau Internet (20) de renseignement desdites informations personnelles de l'utilisateur, ladite plateforme API (5) générant ladite requête desdites informations personnelles de l'utilisateur. 6. Method according to claim 5, in which step (a) comprises a request by the third-party server (4) to an API platform (5) also connected to the Internet network (20) for information of said personal information of the user, said API platform (5) generating said request for said personal information of the user.
7. Procédé selon la revendication 6, dans lequel ladite demande par le serveur tiers (4) auprès d'une plateforme API (5) de renseignement desdites informations personnelles de l'utilisateur est émise sur instructions de l'utilisateur au niveau d'un équipement (5) via lequel l'utilisateur cherche à accéder audit service en ligne. 7. Method according to claim 6, in which said request by the third-party server (4) to an API platform (5) for providing said personal information of the user is issued on instructions from the user at the level of a equipment (5) via which the user seeks to access said online service.
8. Procédé selon l'une des revendications 5 à 7, comprenant une étape préalable de : 8. Method according to one of claims 5 to 7, comprising a preliminary step of:
- réception depuis le serveur tiers (4) d'une requête de modification de la valeur dudit paramètre, comprenant l'identifiant dudit service en ligne donné et la valeur modifiée dudit paramètre ; - reception from the third-party server (4) of a request to modify the value of said parameter, comprising the identifier of said given online service and the modified value of said parameter;
remplacement dans ladite base de la valeur du paramètre associée à chaque combinaison d'un identifiant unique et de l'identifiant dudit service en ligne donné, par ladite valeur modifiée. replacement in said base of the value of the parameter associated with each combination of a unique identifier and the identifier of said given online service, by said modified value.
9. Procédé selon l'une des revendications 4 et 8 en combinaison avec l'une des revendications 2 et 3, dans lequel le remplacement n'est mis en œuvre que si la valeur modifiée de paramètre correspond à un niveau de sécurité supérieur à la valeur initiale. 9. Method according to one of claims 4 and 8 in combination with one of claims 2 and 3, in which the replacement is only implemented if the modified parameter value corresponds to a security level greater than the initial value.
10. Procédé selon l'une des revendications 1 à 9, dans lequel à l'issue de l'étape (b) le terminal mobile (1 ) émet, en réponse à la requête d'autorisation de réponse, la confirmation d'autorisation de réponse si l'utilisateur met en œuvre une procédure de validation dépendante de ladite valeur dudit paramètre. 10. Method according to one of claims 1 to 9, in which at the end of step (b) the mobile terminal (1) issues, in response to the response authorization request, the authorization confirmation response if the user implements a validation procedure dependent on said value of said parameter.
11. Serveur de sécurité (2) pour renseigner des informations personnelles d'un utilisateur demandées par un service en ligne donné, l'utilisateur disposant d'un terminal mobile (1 ) d'un opérateur le procédé comprenant la mise en œuvre par un module de traitement de données (21 ) du serveur (2) de : 11. Security server (2) for providing personal information of a user requested by a given online service, the user having a mobile terminal (1) of an operator, the method comprising the implementation by a data processing module (21) of the server (2) of:
- Un module de réception d'une requête desdites informations personnelles de l'utilisateur, la requête comprenant un identifiant unique de l'utilisateur et un identifiant dudit service en ligne donné ; des couples d'un identifiant unique et d'un identifiant d'un service en ligne étant associés, dans une base de données stockée dans un module de stockage de données (22), d'une part à des informations personnelles et d'autre part à un paramètre représentatif d'un niveau de sécurité requis pour confirmer une autorisation de réponse sur ledit terminal mobile (1 ) ; Un module de détermination de la valeur dudit paramètre associée dans ladite base de données auxdits identifiant unique de l'utilisateur et identifiant dudit service en ligne donné ; - A module for receiving a request for said personal information of the user, the request comprising a unique identifier of the user and an identifier of said given online service; pairs of a unique identifier and an identifier of an online service being associated, in a database stored in a data storage module (22), on the one hand with personal information and on the other part of a parameter representative of a security level required to confirm a response authorization on said mobile terminal (1); A module for determining the value of said parameter associated in said database with said unique user identifier and identifier of said given online service;
- Un module d'émission à destination dudit terminal mobile (1 ) de l'utilisateur d'une requête d'autorisation de réponse à ladite requête desdites informations personnelles de l'utilisateur, la valeur déterminée du paramètre étant intégrée dans ladite requête d'autorisation de réponse ; - A module for transmitting to said mobile terminal (1) of the user a request for authorization to respond to said request for said personal information of the user, the determined value of the parameter being integrated into said request for response authorization;
un module d'émission en réponse à la requête desdites informations personnelles de l'utilisateur, si réception d'une confirmation d'autorisation de réponse depuis ledit terminal mobile (1 ), de données associées auxdits identifiant unique de l'utilisateur et identifiant dudit service en ligne donné dans ladite base de données. a transmission module in response to the request for said personal information of the user, if receipt of a response authorization confirmation from said mobile terminal (1), of data associated with said unique identifier of the user and identifier of said online service given in said database.
12. Système comprenant un serveur de sécurité (2) selon la revendication 1 1 et un terminal mobile (1 ) configuré pour mettre en œuvre un module d'émission en réponse à la requête d'autorisation de réponse de la confirmation d'autorisation de réponse si l'utilisateur met en œuvre une procédure de validation dépendante de ladite valeur dudit paramètre. 12. System comprising a security server (2) according to claim 1 1 and a mobile terminal (1) configured to implement a transmission module in response to the confirmation response authorization request response authorization if the user implements a validation procedure dependent on said value of said parameter.
13. Produit programme d'ordinateur comprenant des instructions de code pour l'exécution d'un procédé selon l'une des revendications 1 à 10 pour renseigner des informations personnelles d'un utilisateur demandées par un service en ligne donné, lorsque ledit programme est exécuté par un ordinateur. 13. Computer program product comprising code instructions for executing a method according to one of claims 1 to 10 for providing personal information of a user requested by a given online service, when said program is executed by a computer.
14. Moyen de stockage lisible par un équipement informatique sur lequel un produit programme d'ordinateur comprend des instructions de code pour l'exécution d'un procédé selon l'une des revendications 1 à 10 pour renseigner des informations personnelles d'un utilisateur demandées par un service en ligne donné. 14. Storage means readable by computer equipment on which a computer program product comprises code instructions for the execution of a method according to one of claims 1 to 10 for providing requested personal information of a user by a given online service.
EP17731224.6A 2016-05-30 2017-05-24 Method for providing personal information of a user requested by a given online service Ceased EP3465602A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1654836A FR3051944A1 (en) 2016-05-30 2016-05-30 METHOD FOR INQUIRY OF PERSONAL INFORMATION FROM A USER ASKED BY A GIVEN ONLINE SERVICE
PCT/FR2017/051302 WO2017207894A1 (en) 2016-05-30 2017-05-24 Method for providing personal information of a user requested by a given online service

Publications (1)

Publication Number Publication Date
EP3465602A1 true EP3465602A1 (en) 2019-04-10

Family

ID=56990517

Family Applications (1)

Application Number Title Priority Date Filing Date
EP17731224.6A Ceased EP3465602A1 (en) 2016-05-30 2017-05-24 Method for providing personal information of a user requested by a given online service

Country Status (4)

Country Link
US (1) US10984131B2 (en)
EP (1) EP3465602A1 (en)
FR (1) FR3051944A1 (en)
WO (1) WO2017207894A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111382056B (en) * 2018-12-29 2024-02-02 北京字节跳动网络技术有限公司 Service testing method and device, server and storage medium
US11429741B2 (en) 2020-12-04 2022-08-30 Salesforce.Com, Inc. Data security using multi-factor authentication

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070288394A1 (en) * 2000-12-01 2007-12-13 Carrott Richard F Transactional security over a network
JP5520813B2 (en) * 2007-04-17 2014-06-11 ビザ ユー.エス.エー.インコーポレイテッド Personal authentication method for transaction, server, and program storage medium for executing the method
US8509431B2 (en) * 2010-09-20 2013-08-13 Interdigital Patent Holdings, Inc. Identity management on a wireless device
FR2987199B1 (en) * 2012-02-16 2015-02-20 France Telecom SECURING A DATA TRANSMISSION.
EP2629553B1 (en) 2012-02-17 2015-07-29 Alcatel Lucent Method to retrieve personal data of a customer for delivering online service to said customer
GB2501267B (en) * 2012-04-17 2016-10-26 Bango Net Ltd Payment authentication systems

Also Published As

Publication number Publication date
US10984131B2 (en) 2021-04-20
FR3051944A1 (en) 2017-12-01
US20200193052A1 (en) 2020-06-18
WO2017207894A1 (en) 2017-12-07

Similar Documents

Publication Publication Date Title
EP2494489B1 (en) Method and client agent for monitoring the use of protected content
EP3008872B1 (en) Method for authenticating a terminal by a gateway of an internal network protected by an entity providing secure access
KR101019458B1 (en) Extended one­time password method and apparatus
WO2011138558A2 (en) Method for authenticating a user requesting a transaction with a service provider
EP3257224B1 (en) Technique for connecting to a service
FR3013177A1 (en) SECURE ACCESS CONFIGURATION TECHNIQUE OF A GUEST TERMINAL TO A HOST NETWORK
WO2015007958A1 (en) Strong authentication method
WO2018130486A1 (en) Two-step authentication method, device and corresponding computer program
EP3465602A1 (en) Method for providing personal information of a user requested by a given online service
CA2414469A1 (en) Container access control process and container access control system
EP1449092B1 (en) Method for making secure access to a digital resource
EP3729307A1 (en) Methods and devices for enrolling and authenticating a user with a service
EP2071799B1 (en) Method and server for accessing an electronic strongbox via several entities
EP1413158B1 (en) Method of accessing a specific service offered by a virtual operator and the chip card for a corresponding device
EP2911365B1 (en) Method and system for protecting transactions offered by a plurality of services between a mobile device of a user and an acceptance point
FR2985052A1 (en) ELECTRONIC DEVICE FOR STORING CONFIDENTIAL DATA
EP3570518B1 (en) Authentication system and method using a limited-life disposable token
EP3842970B1 (en) Method for checking the password of a dongle, associated computer program, dongle and user terminal
FR2888437A1 (en) Service e.g. marine meteorological consultation service, access controlling method for e.g. mobile telephone, involves downloading marked validation tokens in multimedia terminal before user chooses service to be utilized
EP3912065A1 (en) Authorization for the loading of an application onto a security element
FR3114714A1 (en) A method of accessing a set of user data.
FR2927750A1 (en) Electronic payment terminal e.g. chip card reader, for exchanging e.g. confidential data, over Internet network, has security module removing private key based on reception of alarm signal provided by intrusion detector
WO2018099874A1 (en) Method and system for securing sensitive operations performed in an unsecured communication environment
FR3070776A1 (en) IMPROVED ENVELOPMENT OF EQUIPMENT IN A SECURE NETWORK
FR3046272A1 (en) METHOD AND DEVICE FOR CONNECTING TO A REMOTE SERVER

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20181128

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

17Q First examination report despatched

Effective date: 20200324

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: ORANGE

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

RAP3 Party data changed (applicant data changed or rights of an application transferred)

Owner name: ORANGE

REG Reference to a national code

Ref country code: DE

Ref legal event code: R003

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED

18R Application refused

Effective date: 20211105