WO2017162995A1 - Authentication method for authorising access to a website - Google Patents

Authentication method for authorising access to a website Download PDF

Info

Publication number
WO2017162995A1
WO2017162995A1 PCT/FR2017/050694 FR2017050694W WO2017162995A1 WO 2017162995 A1 WO2017162995 A1 WO 2017162995A1 FR 2017050694 W FR2017050694 W FR 2017050694W WO 2017162995 A1 WO2017162995 A1 WO 2017162995A1
Authority
WO
WIPO (PCT)
Prior art keywords
authentication
server
computer
website
parameters
Prior art date
Application number
PCT/FR2017/050694
Other languages
French (fr)
Inventor
Florian PRADINES
Original Assignee
Arcansecurity
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Arcansecurity filed Critical Arcansecurity
Publication of WO2017162995A1 publication Critical patent/WO2017162995A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/40User authentication by quorum, i.e. whereby two or more security principals are required
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS

Definitions

  • the subject of the invention is an authentication method for authorizing access to a website.
  • Document EP 2,804,136 concerns for example the management of access to a social network.
  • the request for access to this social network is managed by a remote server.
  • the latter authorizes access according to a geographical position and a period of time associated with the access request.
  • the geographical position corresponds for example to a conference center and the time period to a time slot of a given day (which typically coincides with a conference that takes place in the conference center).
  • a time slot of a given day which typically coincides with a conference that takes place in the conference center.
  • the document US Patent 2014/0230022 (YUASA) relates to an information processing device for accessing content. This feature allows a person (owner) who is leading a group to grant access to this group to participants. Group access conditions are defined by the owner and consist of a combination of a location, a time slot and a theme. Participants can not choose authentication settings to access the group. These parameters are imposed by the owner.
  • WO2012 / 000107 discloses a device for automatically setting the setting of a geo-location of a computer device such as computer, telephone, etc.
  • the user first defines a geo-tracking zone around a point of geolocation of the apparatus. If the device is located in the geo-location area, the device works (the user can access the data contained in his device). If the device is not located in the area of geo-tracking, the device no longer works (the user no longer has access to the data contained in his device). The position of the device can be checked to see if it is located in the geo-tracking area.
  • the device If the apparatus is outside the geo-location area, the device prompts the user to enter a password to adjust said geo-location area to include the new location of said location.
  • the interest of this authentication method is limited insofar as the user can only choose one authentication parameter (other than the password) which is the extent of the geo-registration area.
  • US2013 / 0036462 discloses an authentication method for authorizing a computing device to gain access to sensitive information. In addition to the fact that this document does not deal with access to a website, authentication management is devolved to the computing device so that the level of security is not optimal. A similar situation appears in the patent documents US2013 / 262873 (READ) and US2015 / 0281279 (SMITH).
  • the invention aims to remedy this state of affairs.
  • an object of the invention is to improve the authentication technique other than by identifier and password.
  • Another object of the invention is to allow a user to access more securely to a website whose access is reserved for him.
  • Another objective of the invention is to propose an authentication technical solution that is inexpensive, easy to install, and easy to use.
  • the solution proposed by the invention is an authentication method for authorizing the connection to a website from a computer device of a user.
  • a prior parameterization phase comprises the following steps:
  • a second group consisting of at least one other data other than a password, a login, a geo-location data of the computing device and a time slot of operation of said device,
  • At least one authentication condition by selecting one or more logical operators belonging to the following list: logical AND, logical OR, logical NOT, and combining the selected logical operator (s) with the selected authentication parameters,
  • this authentication condition which computer server is adapted to manage the connection to the website or access to the encrypted data.
  • a subsequent phase of access to the website includes the following steps: the computer device connects to the website whose access is protected, the connection of the computer device to the website triggers the implementation of a process that causes the automatic connection of said device to the computer server,
  • the computer apparatus transmits to the computer server authentication parameters
  • the computer server analyzes the authentication parameters transmitted by the computer device and confronts them with the authentication condition
  • the computer server generates an access authorization instruction to the website, this instruction being generated only if the transmitted authentication parameters respect the authentication condition,
  • the computer server transfers the authorization instruction to the website, in response to the receipt of the authorization instruction, the website authorizes access to the computer device.
  • the user who himself sets his own authentication condition. The latter is not imposed by a third party contrary to the aforementioned techniques known from the prior art.
  • the authentication condition being now constituted by the combination of at least two parameters (other than a password or an identifier) which are associated logical operators, the security level is improved.
  • the fact of delegating to a computer server saying independent of the computer device of the user or the website) the management of the authentication, and thus the management of the access to the website, makes it possible to increase further the level of security.
  • the authentication parameters are selected so that during the subsequent phase of access to the website, the computer device can automatically detect all these authentication parameters without voluntary action on said apparatus.
  • the authentication condition is a static condition, the selection of a parameter does not influence the other selected parameters.
  • the second group consists of at least one item selected from the following list: identifier integrated in a SIM card of the computer apparatus; identifier associated with the computer apparatus; SSID of a wifi network; detecting a Bluetooth connection between the computing device and another electronic device; identifier registered in an NFC or RFID tag; digital print ; retinal scan; iris recognition; detecting a connection between the computer apparatus and a proxy server; detecting a connection between the computing device and a VPN server; IP address assigned to the computing device when connected to a telecommunication network; detecting a connection of the computer apparatus to a social network; detecting a connection of the computer device to the page of a specific friend or a specific person followed on a social network; MAC address of a network gateway.
  • the geo-location data of the computing device can be selected by the user from an interactive map displayed on a graphical interface of said apparatus.
  • the operating time range of the computing device may consist of one or more days of the week and a period of time.
  • the prior parameterization phase further comprises the following steps: displaying, from a menu accessible from a graphical interface of the computing device, all the authentication parameters; - select, from the menu, authentication parameters among the set of authentication parameters displayed. Logical operators can also be displayed in this menu with all the authentication parameters.
  • the method advantageously comprises a step of encrypting the authentication condition with a cryptographic algorithm.
  • This AES key can be encrypted with a public RSA key generated by the computer server.
  • This public RSA key can be generated by the computer server in response to a request transmitted by the website.
  • Another aspect of the invention not covered by the claims relates to an authentication method for authorizing the decryption of encrypted data stored in a computer apparatus of a user
  • a prior parameterization phase comprises the following steps: creating a list of authentication parameters, which parameters are distributed:
  • o selecting, from a graphical interface of the electronic device, at least one authentication parameter of the first group and at least one authentication parameter of the second group, o defining, from the graphical interface, at least one authentication condition by selecting one or more logical operators belonging to the following list: logical AND, logical OR, logical NOT, and combining the selected logical operator (s) with the parameters of selected authentication,
  • this authentication condition which computer server is adapted to manage access to the encrypted data
  • a subsequent phase of decryption of the encrypted data comprises the following steps:
  • the selection of the encrypted data triggers the implementation of a process which causes the connection of the computer apparatus to the computer server, where the computer apparatus transmits authentication parameters to the computer server,
  • the computer server analyzes the authentication parameters transmitted by the computer device and confronts them with the authentication condition, where the computer server generates an access authorization instruction for the encrypted data, this instruction being generated only if the transmitted authentication parameters comply with the authentication condition, o the computer server transmits to the computer apparatus: the authorization instruction and a key for decrypting the encrypted data, or in response to the reception of the authorization instruction and the decryption key, the computer device decrypts the encrypted data.
  • This method advantageously comprises a step of encrypting the data with a cryptographic algorithm.
  • the data is preferentially encrypted with an AES key generated by the computer server.
  • Encrypted data may be stored in a memory of the electronic apparatus or in a memory of a second electronic apparatus separate from said apparatus
  • the method advantageously comprises a step of transmitting a decryption key data to the second electronic device, the decryption key being automatically transmitted by the computer server if the authentication parameters transmitted by the electronic device comply with the authentication condition.
  • FIG. 1 schematizes an example of a system in which the method according to the invention can be implemented
  • FIG. 2 schematizes another example of a system in which the method according to the invention can be implemented
  • FIG. 3 schematizes yet another example of a system in which the method according to the invention can be implemented
  • FIG. 4 schematically illustrates the structure of a computing device used in the invention
  • FIG. 5 schematically illustrates the structure of a remote computer server used in the invention
  • FIG. 6 is a simplified illustration of an example of a graphical interface allowing a user to define an authentication condition
  • FIG. 7 is a flow diagram illustrating various steps implemented in the method that is the subject of the invention, during the prior parameterization phase, for access to a website,
  • FIG. 8 is a flowchart illustrating various steps implemented in the method that is the subject of the invention during the subsequent phase of accessing a website
  • FIG. 9 is a flowchart illustrating various steps implemented in the method that is the subject of the invention, during the prior parameterization phase, for access to encrypted data,
  • FIG. 10 is a flowchart illustrating various steps implemented in the method that is the subject of the invention, during the subsequent phase of access to the encrypted data,
  • FIG. 11 is a flowchart illustrating various steps implemented in the method that is the subject of the invention, during the prior parameterization phase, for access to encrypted data, in a variant embodiment,
  • FIG. 12 is a flowchart illustrating various steps implemented in the method that is the subject of the invention, during the subsequent phase of access to the encrypted data, in a variant embodiment.
  • Preferred embodiments of the invention
  • the method which is the subject of the invention consists of a coherent sequence of steps making it possible to achieve a desired result. These steps generate manipulations of physical elements, including signals (electrical or magnetic) capable of being stored, transferred, combined, compared, and so on.
  • the method is implemented via computer applications executed respectively by one or more computing devices or by one or more computer servers.
  • the device / server does something means “the computer application running on the device / server is doing something”.
  • the computer application does something means “the computer application run by the device / server is doing something”.
  • the implementation of the method that is the subject of the invention requires the use of one or more electronic devices 1 a, 1 b (FIGS. 1, 2 and 3), for example in the form of a fixed or portable computer, a tablet, preferably in the form of a smartphone iPhone®, Samsung Galaxy®, iPad®, Samsung Tab®, or in the form of another electronic device, operating with a Windows-like operating system , Mac, iOS, Android, etc.
  • the device 1 a, 1 b is adapted to be operated by a user, who, in practice, is a natural person.
  • each electronic device 1 a, 1 b notably comprises one or more processors or microprocessors 10, one or more memories 11, a network interface 12, a graphical interface 13, a position determination module 14 , an infrared signal transmitter / receiver 16, which are mutually connected via a bus 15.
  • processors or microprocessors 10 one or more memories 11, a network interface 12, a graphical interface 13, a position determination module 14 , an infrared signal transmitter / receiver 16, which are mutually connected via a bus 15.
  • One or more computer applications - or computer programs - are recorded in the memory or memories 1 1 and whose instructions (or codes), when they are executed by the processor or processors 10 allow to achieve the features described further in the description.
  • the memory or memories 1 1 must be considered as a storage device also suitable for storing data and / or data files. It can be a native memory or a reported memory such as a Secure Digital (SD) card.
  • SD Secure Digital
  • the network interface 12 is adapted to establish a communication with the remote server S described further in the description, via a wireless or wired link, so as to receive and transmit signals.
  • the network interface 12 may for example comprise a Bluetooth module, a GSM module, or a module providing a network connectivity to the device 1 a, 1 b.
  • the purpose of the network interface 12 is to manage the connections between the device 1a, 1b and a telecommunication network R (Internet, mobile telephony, etc.), and possibly between the devices between them via network technologies such as, but not limited to, GSM, 3G, 4G Wifi, Bluetooth, etc.
  • the graphical interface 13 offers the user the possibility of entering, selecting and / or entering data to define at least one authentication condition. It is for example in the form of a touch screen, a screen connected to a keyboard and / or mouse, etc.
  • the position determination module 14 is preferably a satellite geolocation module of the GPS type or based on a technique of triangulation of signals acquired by cell phone relay terminals.
  • the infrared signal transmitter / receiver 16 allows a device 1a to communicate wirelessly with another device 1b.
  • the user must install a computer application in at least one of his apparatus 1a (preferably each apparatus 1a, 1b) to implement all or part of the invention from said apparatus.
  • the computer application can be preinstalled on the device 1a, for example by a network operator.
  • the user can search for the computer application on an online store such as Google Play®, Itunes® or on a dedicated website, and then download it to their device 1 a.
  • the information to download and install the computer application on the device can for example be retrieved using a QR code or an NFC tag.
  • the computer application can be installed in any memory 1 1 of the device 1 a.
  • a remote server S may consist of a physical server or, in some cases, be composed of several separate computers that communicate and interact on a network to perform the functions described above.
  • the remote server S notably comprises one or more processors or microprocessors 20, one or more memories 21, a network interface 22, which are mutually connected via a bus 25.
  • One or more computer applications - or programs information - are recorded in the memory (s) 21 and whose instructions, when executed by the processors 20 make it possible to realize the functionalities described further in the description.
  • the network interface 22 is a wired or wireless communication interface adapted to establish communication with the devices 1 a, 1 b, an internet site S ', and possibly a database 23, via a telecommunication network R (Internet , mobile telephony, etc.) and by using network technologies such as, but not limited to, GSM, 3G, 4G Wifi, Bluetooth, etc.
  • the network interface 22 notably allows the remote server S to receive and transmit signals.
  • the database 23 can be hosted directly in the remote server S, or in another server or in a server network type Cloud Computing, or in a computer.
  • a computer application is installed in the remote server S to implement all or part of the invention from said server as explained further in the description.
  • This computer application can be preinstalled on the remote server S or be downloaded later.
  • a list of authentication parameters is created which is used to authorize the connection to a website or access to encrypted data.
  • These authentication parameters are advantageously divided into at least two groups.
  • a first group consists of at least one geo-location data of the apparatus 1a and / or a time slot of operation of said apparatus.
  • the geolocation data can be generated from the position determination module 14.
  • the user can for example activate this module to determine an exact position and define a perimeter or radius around this position. It can also be a place (eg the Eiffel Tower) and / or a geographical area (eg Paris) selected by the user from an interactive map, for example GoogleMap®, displayed on a graphical interface 13.
  • GoogleMap® displayed on a graphical interface 13.
  • the operating time range of the device may consist of one or more days of the week and / or a period of time.
  • this time slot can be: Monday, between 8am and 10am.
  • This time slot can be defined by the user in the same way that an alarm is set on a smartphone.
  • the second group consists of at least one other data other than a password, a login, a geo-location data of the computing device and a operating time range of said apparatus. It is preferentially, but not exclusively, of:
  • the identifier integrated in the SIM card for Subscriber Identity Module, / a Smartphone in the case where the device 1 is a Smartphone;
  • This identifier can be generated randomly during the installation of the computer application, or automatically generated from the IP address (for Internet Protocol) assigned to the device when connected to a telecommunication network to download the computer application.
  • the identifier can still be entered manually by the user during the installation process, or retrieved from a file stored locally or on a remote server.
  • the SSID (for Service Set Identifier) of a wifi network. This SSID can be set automatically by default, or entered manually by the user, when setting up the wireless network.
  • An identifier stored in an NFC or RFID tag may in particular be carried out by scanning the tag from the device 1a, by means of a reader adapted for this purpose.
  • the acquisition of this identifier may in particular be carried out by an acquisition means adapted to the nature of this identifier, which means equips the apparatus 1 a.
  • Detection of a connection between the device 1a and a VPN server for Virtual Private Network.
  • IP address for Internet Protocol assigned to the device 1 when connected to a telecommunication network.
  • Detecting a connection from the device 1 to a social network such as Facebook®, Twitter®, Viadeo®, Instagram®, Snapchat®, Linkedln®, etc.
  • Detecting a connection from the device 1 to the page of a specific friend or a specific person followed on a social network such as Facebook®, Twitter®, Viadeo®, Instagram®, Snapchat®, Linkedln®, etc.
  • the MAC (for Media Access Control) address of a network gateway This is typically an identifier stored in a network adapter or similar network interface.
  • the graphical interface 13 of the apparatus 1 has the user to choose the authentication parameters.
  • the graphical interface 13 displays in a window, for example in the form of a menu 130, for example a drop-down menu, the set of available authentication parameters A, B, C, D, ...., Z.
  • This window can appear automatically when selecting a dedicated key 131.
  • the user can then select in the menu 130 the authentication parameters he has chosen and define them precisely, including geolocation data and time slot.
  • the user selects at least one authentication parameter of the first group and at least one authentication parameter of the second group.
  • At least one authentication condition by selecting one or more logical operators belonging to the following list: logical AND, logical OR, logical NOT, and combining the selected logical operator (s) with selected authentication settings.
  • the logical operators are also displayed in the menu 130, with the available authentication parameters A, B, C, D, ...., Z, in the same window. Logical operators can however be displayed in another window and / or in another menu.
  • the authentication condition is: 'A' AND 'B' ('C OR' D ') AND NOT ⁇ '.
  • A may be chosen in the first group of authentication parameters.
  • B, C and D may be selected from the second group of authentication parameters.
  • E can be chosen in the first or second group of authentication parameters.
  • the authentication condition may be:
  • the device 1 in order for the authentication condition to be fulfilled, the device 1 must be in working order on a Monday from 8am to 10am, whether the device 1 is connected to the facebook.com website. and that he should consult Paul's Facebook® page or Pierre's Facebook® page, since the device 1 should not be located in Paris (France). Yes one of these parameters is not respected, the authentication condition is not fulfilled.
  • the authentication condition may be as follows:
  • this authentication condition In order for this authentication condition to be fulfilled, the user must scan his fingerprint, whether the device 1 is connected to a wireless network, this wireless network must be that of Paul or Pierre, every day of the year. the week, except Monday from 8h to 10h. If any of these parameters are violated, the authentication condition is not met.
  • the user-defined authentication condition is a static condition. That is, the selection of a parameter does not influence the other selected parameters. In particular, the selection of an operating time slot has no effect on the other parameters, unlike the process described in the document US2013 / 0036462 (QUALCOMM) where a time slot is determined for dynamically varying one or more other parameters of the authentication condition.
  • the authentication conditions can be more or less complex depending on the type of website for which the connection is requested or the type of encrypted data to be consulted. If the website is a social network or the encrypted data a simple text, the authentication condition can be relatively simple, and for example consisting of the combination of a parameter of the first group and a parameter of the second group with a only logical operator. The condition will, however, be more complex, of the type described above with reference to Figure 6, when the website is an online bank account or the encrypted data are highly confidential files. Having said this, the implementations of the method that is the subject of the invention, on the one hand to authorize access to a website and, on the other hand, to authorize access to encrypted data, will now be described in more detail. . Access to a website ( Figures 1, 7 and 8)
  • the objective is to secure access to a website S ', this access being restricted to the user and protected, that is to say that his access is blocked.
  • This website S ' can for example be an online bank account of the user, a social network, a discussion group, etc.
  • the website S ' is managed by a computer server of the type described above with reference to FIG. 5.
  • a computer application is advantageously installed in the server managing the website S' to implement all or part of the invention from said server. This computer application can be preinstalled on this server or downloaded later.
  • a step 101 the device 1 has connects to the website S '.
  • This connection is made via a telecommunication network R and is shown schematically by a double arrow in FIG.
  • the user may have to follow a usual procedure to register on the website S 'in question. To make this registration, the user may be asked to identify himself by filling in one or more identification data, for example: last name, first name, age, address, telephone number, email address, etc.
  • a step 102 the internal site S 'connects to the server S.
  • This connection is made via a telecommunication network R and is shown schematically by an arrow in FIG. 1.
  • This connection is accompanied by a request by which the site S asks the server S to generate a unique identifier.
  • the server S In a step 103, the server S generates a unique identifier and an RSA key pair. This identifier is preferably generated randomly.
  • RSA encryption is well known to those skilled in the art. It uses a pair of keys (integers) consisting of a public key to encrypt and a private key to decrypt confidential data. The skilled person can refer to the document US4405829 (MASSACHUSETTS INST TECHNOLOGY) if necessary.
  • the unique identifier is stored in the memory 21 of the server S.
  • the server S transfers the unique identifier to the site S '. This transmission is carried out via a telecommunications network R.
  • a step 105 the site S 'creates a new unique identifier by associating the identifier returned by the server S with the data that the user has entered during the registration procedure (step 101). This new unique identifier is stored in the memory of the site S '.
  • a step 106 the site S 'transfers this new unique identifier to the apparatus 1a, via a telecommunication network R.
  • This identifier can be displayed on the graphical interface of said site, for example in the form of a QR code, a barcode, or in any other form suitable to the skilled person.
  • the device 1 acquires this new identifier, for example by scanning the QR code on the graphical interface of the website S '.
  • the device 1 a connects to the server S, via a telecommunications network R.
  • This connection is accompanied by a request containing the acquired identifier and by which the device 1 has asked the server S of him send the public RSA key associated with said identifier.
  • a step 109 the server S transfers to the device 1 a, via a telecommunications network R, the public RSA key associated with the identifier.
  • a step 1 10 the user defines, from the device 1 a, an authentication condition, by selecting authentication parameters and combining them with the logical operators.
  • a step 1 1 1 the device 1 a generates an AES key (for Advanced Encryption Standard).
  • AES encryption is well known to those skilled in the art. If necessary, the latter may refer to the publication: "Federal Information Processing Standards Publication 197, November 26, 2001, Announcing the ADVANCED ENCRYPTION STANDARD (AES)".
  • the apparatus 1 digit, with this key AES, the authentication condition defined in step 1 10.
  • the device 1 has encrypted the AES key with the public RSA key previously retrieved from the server S.
  • the apparatus 1 a connects to the server S, via a telecommunications network R, to transfer to it the identifier acquired in step 107, the encrypted authentication condition and the encrypted AES key.
  • a step 1 14 the server S decrypts the key AES with its private RSA key. The server S then decrypts the authentication condition, verifies it and associates it with the identifier. In a step 1 15, the server connects to the site S ', via a telecommunications network R, and notifies the smooth running of operations.
  • a step 201 the apparatus 1 a connects to the site S 'whose access is protected, via a telecommunication network R.
  • the user may be led to follow a usual procedure to authenticate on the site S' for example by entering only his username or email address.
  • the connection of the device 1 to the site S 'then triggers the implementation of a process described below, which process causes the automatic connection of said device to the server S.
  • a step 202 the site S 'transfers the identifier created in step 105 to the device
  • This identifier is displayed on the graphical interface of the website S ', for example in the form of a QR code, a bar code, or in any other form suitable for the skilled person.
  • the device 1 acquires this identifier, for example by scanning the QR code.
  • the device 1 a connects automatically to the server S, via a telecommunications network R.
  • This connection is accompanied by a request containing the acquired identifier and by which the device 1 has requested the server S to send him the public RSA key associated with the identifier.
  • a step 205 the server S generates a new pair of RSA keys that it associates with the identifier.
  • a step 206 the server S transfers the public RSA key to the device 1a.
  • This transmission is carried out via a telecommunications network R.
  • the user may be required to generate an authentication parameter, for example: connection to a wireless network; Bluetooth connection digital print ; retinal scan; iris recognition, scan of an NFC or RFID tag; etc.
  • an authentication parameter for example: connection to a wireless network; Bluetooth connection digital print ; retinal scan; iris recognition, scan of an NFC or RFID tag; etc.
  • the device 1a In a step 208, the device 1a generates an AES key and encrypts, with this key, the authentication parameters of the step 207 and the public RSA key previously retrieved from the server S. In a step 209, the device 1 a connects to the server S, via a telecommunications network R, to transfer the identifier, the encrypted authentication parameters and the encrypted AES key.
  • a step 210 the server S decrypts the AES key with its private RSA key.
  • the server S then decrypts the authentication parameters. It confronts them with the authentication condition defined in step 1 and received in step 1 14.
  • step 21 1 the server S generates an instruction to authorize access to the site S '.
  • This authorization instruction is generated only if the authentication parameters transmitted in step 209 respect the authentication condition defined in step 1 10.
  • the server S connects to the site S ', via a telecommunications network R, and notifies the success or failure of the connection.
  • the server S transfers to the site S 'authorization instruction, and in response to the receipt of this instruction, said site S' authorizes access to the device 1 a.
  • This encrypted data is for example documents or files (containing text, audio data, video data, photo, ...) stored in the memory 1 1 of the device 1 a.
  • a step 301 the user defines, from the apparatus 1 a, an authentication condition, by selecting authentication parameters and combining them with the logical operators.
  • the apparatus 1a In a step 302, the apparatus 1a generates a pair of RSA keys and a key
  • the apparatus 1 digit, with this key AES, the authentication condition defined in step 301.
  • a step 303 the apparatus 1 a connects to the server S, via a telecommunications network R, to transfer to it the encrypted authentication condition in step 302 and the public RSA key. These elements are stored in the memory 21 of the server S.
  • the server S generates a unique identifier and saves it in its memory 21.
  • the server S In a step 305, the server S generates a pair of RSA keys and an AES key. The server S encrypts this AES key with the public RSA key received in step 303. The encrypted AES key and the private RSA key are stored in the memory 21 of the server S.
  • a step 306 the server S transfers to the apparatus 1 a: the unique identifier generated in step 304, the AES key encrypted in step 305 and the public RSA key generated in step 305. This transmission is performed via a telecommunications network R.
  • the apparatus 1 decrypts the AES key received at step 306 with its private RSA key.
  • a step 308 the device 1 has created and encrypts its data whose access must be limited and protected. This data encryption is performed with the AES key decrypted in step 307.
  • the apparatus 1 has encrypted its AES key generated in step 302, with the public RSA key of the server S received at step 306.
  • step 310 the apparatus 1 has recorded in its encrypted data in step 308: the unique identifier received in step 306, its RSA key pair generated in step 302, the AES key encrypted at step 309, the public RSA key of the server S received in step 306.
  • the user may be required to generate an authentication parameter, for example: connection to a wireless network; Bluetooth connection digital print ; retinal scan; iris recognition, scan of an NFC or RFID tag; etc. This only occurs if the generation of one of the authentication parameters requires voluntary action by the user. In all other cases, the device 1 has automatically detected all the authentication parameters determined in step 301.
  • an authentication parameter for example: connection to a wireless network; Bluetooth connection digital print ; retinal scan; iris recognition, scan of an NFC or RFID tag; etc.
  • a step 402 the user selects his encrypted data and the apparatus 1 extracted from these encrypted data: the unique identifier received in step 306, the RSA key pair generated in step 302, the AES key encrypted at step 309, the public server RSA key S received at step 306.
  • the apparatus 1a In a step 403, the apparatus 1a generates a new AES key. The device 1 digit, with this new key AES, the authentication parameters found in step 401. In a step 404, the apparatus 1 encrypts the new AES key generated in step 403, with the public RSA key of the server S extracted in step 402.
  • the apparatus 1 a connects to the server S, via a telecommunications network R, to transfer to it: the encrypted authentication parameters in step 403, the new AES key encrypted in step 404, the key AES extracted in step 402, the identifier extracted in step 402.
  • step 406 the server S decrypts the AES keys received in step 405 with its private RSA key.
  • step 407 the server S decrypts the authentication parameters received in step 405, with the new AES key decrypted in step 406.
  • step 408 the server S decrypts the authentication condition received in step 303, with the key AES extracted in step 402 and decrypted in step 406.
  • step 409 the server S confronts the decrypted authentication parameters in step 407 to the decrypted authentication condition in step 408.
  • a step 410 the server S generates an instruction to allow access to the encrypted data.
  • This instruction is generated only if the authentication parameters decrypted in step 407 respect the authentication condition decrypted in step 408.
  • This instruction is advantageously materialized in the form of the key AES encrypted in step 305. .
  • a step 41 1 the server S transfers to the device 1 a: the key AES encrypted in step 305. This transmission is performed via a telecommunications network R.
  • step 412 the apparatus 1 decrypts the AES key received in step 41 1, with its private RSA key generated in step 302.
  • the apparatus 1 decrypts the encrypted data. This decryption is performed with the AES key decrypted in step 412.
  • This encrypted data is for example documents or files (containing text, audio data, video data, photo, ...) stored in the memory of another electronic device 1 b.
  • this electronic device 1b is a laptop while the electronic device 1 is a smartphone.
  • Prior parameterization phase (figures 3 and 11)
  • the apparatus 1b In a step 501, the apparatus 1b generates a pair of RSA keys.
  • the device 1b connects to the server S, via a telecommunications network R, to transfer the public RSA key.
  • the server S In a step 503, the server S generates a unique identifier and saves it in its memory 21.
  • the server S In a step 504, the server S generates an RSA key pair.
  • the private RSA key is stored in the memory 21 of the server S.
  • the server S In a step 505, the server S generates an authentication token (token in English) and associates therewith: the public RSA key received in step 502 and the public RSA key generated in step 504 and the unique identifier generated at step 503.
  • an authentication token token in English
  • a step 506 the server S connects to the device 1b, via a telecommunications network R, to transfer the authentication token of step 505.
  • step 507 the token received in step 506 is displayed on the graphical interface 13 of the apparatus 1b, for example in the form of a QR code, a bar code, or under any other form suitable for the skilled person.
  • the device 1 acquires the token displayed on the graphical interface 13 of the device 1b, for example by scanning the QR code.
  • a step 509 the apparatus 1 a connects to the server S via a telecommunication network R. This connection occurs automatically in response to the acquisition of step 508.
  • a step 510 the server S transfers to the apparatus 1 a: the authentication token of step 505, the public RSA key generated in step 504 and the unique identifier generated in step 503.
  • a step 51 1 the user defines, from the device 1 a, an authentication condition, by selecting authentication parameters and combining them with the logical operators.
  • a step 512 the apparatus 1a generates an AES key.
  • the device 1 digit, with this key AES, the authentication condition defined in step 51 1.
  • the apparatus 1 has encrypted its AES key generated in step 512, with the public RSA key of the server S received at step 510.
  • a step 514 the apparatus 1 a connects to the server S, via a telecommunication network R, to transfer it to it: the encrypted authentication condition in step 512, the encrypted AES key in step 513, the token received at step 510, the identifier received at step 510.
  • the server stores in its memory 21, the encrypted authentication condition received in step 514.
  • the server S In a step 516, the server S generates an AES key and the digit with the public RSA key received in step 502. This encrypted AES key is stored in the memory 21 of the server S.
  • the server S connects to the apparatus 1b, via a telecommunication network R, to transfer to it: the unique identifier received at step 514, the encrypted AES key of step 513 received at step 514, the AES key encrypted in step 516, the public RSA key generated in step 504.
  • the apparatus 1b decrypts the AES key of step 516 with its key
  • the device 1b creates and encrypts its data whose access must be limited and protected. This data encryption is performed with the AES key decrypted in step 518.
  • the device 1b records in its encrypted data at the step
  • step 519 the unique identifier received in step 517, its RSA key pair generated in step 501, the encrypted AES key of step 513, the public RSA key of the server S received at step 517.
  • a step 601 the user selects his encrypted data and the apparatus 1 b extracted from these encrypted data: the unique identifier, the encrypted AES key of step 513, its RSA key pair generated in step 501 the public RSA key of the server S received in step 517.
  • the apparatus 1b connects to the server S, via a telecommunications network R, to transfer to it: the unique identifier, the encrypted AES key of step 513, the public RSA key of the server S.
  • the server S In a step 603, the server S generates an authentication token and associates with it the data received in step 602, that is to say: the unique identifier, the encrypted AES key of step 513, the Public RSA key from the S server.
  • a step 604 the server S connects to the device 1b, via a telecommunications network R, to transfer the authentication token of step 603.
  • step 605 the token received in step 604 is displayed on the graphical interface 13 of the apparatus 1b, for example in the form of a QR code, a barcode, or under any other form suitable for the skilled person.
  • step 606 the device 1 acquires the token displayed on the graphical interface 13 of the device 1b, for example by scanning the QR code.
  • a step 607 the device 1 a connects to the server S, via a telecommunications network R. This connection occurs automatically in response to the acquisition of step 606.
  • step 608 the server S transfers to the apparatus 1 a: the authentication token of step 603, the public RSA key of the server S and the unique identifier received in step 602.
  • the user may be required to generate an authentication parameter, for example: connection to a wireless network; Bluetooth connection digital print ; retinal scan; iris recognition, scan of an NFC or RFID tag; etc. This only occurs if the generation of one of the authentication parameters requires voluntary action by the user. In all other cases, the device 1 has automatically detected all the authentication parameters determined in step 51 1.
  • an authentication parameter for example: connection to a wireless network; Bluetooth connection digital print ; retinal scan; iris recognition, scan of an NFC or RFID tag; etc.
  • a step 610 the apparatus 1a generates a new AES key.
  • the device 1 digit, with this new AES key, the authentication parameters found in step 609.
  • a step 61 1 the apparatus 1 has encrypted the new AES key generated in step 610, with the public RSA key of the server S received in step 608.
  • the apparatus 1 a connects to the server S, via a telecommunication network R, to transfer to it: the encrypted authentication parameters in step 610, the new AES key of step 610 encrypted in FIG. step 61 1, the key AES extracted in step 601, the authentication token received in step 608, the unique identifier received in step 608.
  • step 613 the server S decrypts the AES keys received in step 612 with its private RSA key.
  • step 614 the server S decrypts the authentication parameters received in step 612, with the new AES key of step 610 decrypted at step 613.
  • step 615 the server S decrypts the authentication condition received in step 514, with the key AES extracted in step 601 and decrypted in step 613.
  • step 616 the server S confronts the decrypted authentication parameters in step 614 to the decrypted authentication condition in step 615.
  • a step 617 the server S generates an instruction to allow access to the encrypted data. This statement is generated only if the parameters authentication decrypted in step 614 respect the authentication condition decrypted in step 615. This instruction materializes advantageously in the form of the key AES encrypted in step 516.
  • step 618 the server S transfers to the device 1 b: the encrypted AES key in step 516. This transmission is performed via a telecommunications network R.
  • the apparatus 1b decrypts the AES key received in step 618, with its private RSA key generated in step 501.
  • a step 620 the apparatus 1b decrypts the encrypted data. This decryption is performed with the AES key decrypted in step 619.
  • the RSA and AES encryption steps are not essential although they further enhance security.
  • RSA encryption can be replaced by any other asymmetric or symmetric cryptographic algorithm.
  • AES encryption can be replaced by any other symmetric or asymmetric cryptographic algorithm.

Abstract

The invention relates to an authentication method for authorising access to an Internet site from the computing device of a user or access to encrypted data stored in said computer device, wherein a prior phase of parameter setting comprises the following steps : o creating a list of authentication parameters, which parameters are divided: into a first group consisting of at least one item of geolocation data of the computer device and/or a time range of operation of said device, and a second group consisting of at least one other item of data other than a password, a login, an item of geolocation data of the computing device and a time range of the operation of said device; selecting, from a graphic interface of the electronic device, at least one authentication parameter of the first group and at least one authentication parameter of the second group; defining, from the graphic interface, at least one authentication condition by selecting one or more logic operators belonging to the following list: logical AND, logical OR and logical NOT; and combining the logical operator or operators selected with the chosen authentication parameters.

Description

PROCEDE D'AUTHENTIFICATION POUR AUTORISER L'ACCES A UN SITE WEB  AUTHENTICATION METHOD FOR AUTHORIZING ACCESS TO A WEB SITE
Description Domaine technique de l'invention. Description Technical Field of the Invention
L'invention a pour objet un procédé d'authentification pour autoriser l'accès à un site web.  The subject of the invention is an authentication method for authorizing access to a website.
Elle concerne le domaine du traitement de données numériques et plus particulièrement celui des techniques de sécurité pour protéger ces données contre une activité non autorisée.  It concerns the field of digital data processing and more particularly that of security techniques for protecting such data against unauthorized activity.
État de la technique. State of the art
Il est courant d'autoriser l'accès à un site web ou à des données chiffrées au moyen d'une authentification par identifiant et mot de passe. Cette authentification permet à un utilisateur de prouver son identité lorsqu'il désire accéder à une ressource (notamment informatique) ou à un service proposé sur un site internet (par exemple des comptes bancaires en ligne) dont l'accès est limité et protégé.  It is common practice to allow access to a website or encrypted data through login and password authentication. This authentication allows a user to prove his identity when he wishes to access a resource (particularly computer) or a service offered on a website (eg online bank accounts) whose access is limited and protected.
Des techniques d'authentification qui ne sont pas basées sur les traditionnels identifiant et mot de passe existent.  Authentication techniques that are not based on traditional username and password exist.
Le document brevet EP 2.804.136 (ORANGE) concerne par exemple la gestion d'accès à un réseau social. La demande d'accès à ce réseau social est gérée par un serveur distant. Ce dernier autorise l'accès en fonction d'une position géographique et d'un laps de temps associé à la demande d'accès. La position géographique correspond par exemple à un centre de conférences et le laps de temps à une plage horaire d'un jour déterminé (qui coïncide typiquement avec une conférence qui à lieu dans le centre de conférences). Ainsi, seules les personnes qui demandent à se joindre au réseau social et qui sont situées dans le centre de conférences pendant le laps de temps prédéfini, seront inscrites au réseau social dédié à la conférence se déroulant ce même jour, au centre de conférence. Les personnes souhaitant s'inscrire au réseau social ne peuvent toutefois pas choisir les paramètres d'authentification, ces derniers leur étant imposés.  Document EP 2,804,136 (ORANGE) concerns for example the management of access to a social network. The request for access to this social network is managed by a remote server. The latter authorizes access according to a geographical position and a period of time associated with the access request. The geographical position corresponds for example to a conference center and the time period to a time slot of a given day (which typically coincides with a conference that takes place in the conference center). Thus, only those who ask to join the social network and who are located in the conference center during the predefined period of time, will be registered on the social network dedicated to the conference taking place that same day, at the conference center. People wishing to register to the social network can not however choose the authentication parameters, the latter being imposed on them.
Le document brevet US 2014/0230022 (YUASA) concerne un dispositif de traitement d'informations permettant d'accéder à un contenu. Ce dispositif permet à une personne (propriétaire) qui dirige un groupe, d'autoriser l'accès à ce groupe à des participants. Les conditions d'accès au groupe sont définies par le propriétaire et consistent en une combinaison d'un emplacement, d'une plage horaire et d'un thème. Les participants ne peuvent pas choisir les paramètres d'authentification leur permettant d'accéder au groupe. Ces paramètres leur sont en effet imposés par le propriétaire. The document US Patent 2014/0230022 (YUASA) relates to an information processing device for accessing content. This feature allows a person (owner) who is leading a group to grant access to this group to participants. Group access conditions are defined by the owner and consist of a combination of a location, a time slot and a theme. Participants can not choose authentication settings to access the group. These parameters are imposed by the owner.
Le document brevet WO2012/000107 (ABSOLUTE SOFTWARE CORPORATION) décrit un dispositif permettant de définir automatiquement le réglage d'un géo-repérage d'un appareil informatique tel que ordinateur, téléphone, etc. L'utilisateur définit préalablement une zone de géo-repérage autour d'un point de géo-localisation de l'appareil. Si l'appareil est situé dans la zone de géo-repérage, l'appareil fonctionne (l'utilisateur peut donc avoir accès aux données contenues dans son appareil). Si l'appareil n'est pas situé dans la zone de géo-repérage, l'appareil ne fonctionne plus (l'utilisateur n'a donc plus accès aux données contenues dans son appareil). La position de l'appareil peut être vérifiée pour voir s'il est situé dans la zone de géo-repérage. Si l'appareil est en dehors de la zone de géo-repérage, le dispositif invite l'utilisateur à saisir un mot de passe pour ajuster ladite zone de géo-repérage de manière à y inclure le nouvel emplacement dudit appareil. L'intérêt de cette méthode d'authentification est limité dans la mesure où l'utilisateur ne peut choisir qu'un seul paramètre d'authentification (autre que le mot de passe) qui est l'étendue de la zone de géo-repérage.  WO2012 / 000107 (ABSOLUTE SOFTWARE CORPORATION) discloses a device for automatically setting the setting of a geo-location of a computer device such as computer, telephone, etc. The user first defines a geo-tracking zone around a point of geolocation of the apparatus. If the device is located in the geo-location area, the device works (the user can access the data contained in his device). If the device is not located in the area of geo-tracking, the device no longer works (the user no longer has access to the data contained in his device). The position of the device can be checked to see if it is located in the geo-tracking area. If the apparatus is outside the geo-location area, the device prompts the user to enter a password to adjust said geo-location area to include the new location of said location. The interest of this authentication method is limited insofar as the user can only choose one authentication parameter (other than the password) which is the extent of the geo-registration area.
Le document brevet US2013/0036462 (QUALCOMM) décrit un procédé d'authentification pour autoriser un appareil informatique à avoir accès à des informations sensibles. Outre le fait que ce document ne traite pas de l'accès à un site internet, ia gestion de l'authentification est dévolue à l'appareil informatique de sorte que le niveau de sécurité n'est pas optimum. Une situation similaire apparaît dans les documents brevets US2013/262873 (READ) et US2015/0281279 (SMITH).  US2013 / 0036462 (QUALCOMM) discloses an authentication method for authorizing a computing device to gain access to sensitive information. In addition to the fact that this document does not deal with access to a website, authentication management is devolved to the computing device so that the level of security is not optimal. A similar situation appears in the patent documents US2013 / 262873 (READ) and US2015 / 0281279 (SMITH).
L'invention vise à remédier à cet état des choses. En particulier, un objectif de l'invention est d'améliorer la technique d'authentification autre que par identifiant et mot de passe.  The invention aims to remedy this state of affairs. In particular, an object of the invention is to improve the authentication technique other than by identifier and password.
Un autre objectif de l'invention est de permettre à un utilisateur d'accéder de manière plus sécurisée à un site web dont l'accès lui est réservé.  Another object of the invention is to allow a user to access more securely to a website whose access is reserved for him.
Un autre objectif de l'invention est de proposer une solution technique d'authentification qui soit peu onéreuse, facile à installer, et dont l'utilisation est aisée.  Another objective of the invention is to propose an authentication technical solution that is inexpensive, easy to install, and easy to use.
Divulgation de l'invention. Disclosure of the invention.
La solution proposée par l'invention est un procédé d'authentification pour autoriser la connexion à un site internet depuis un appareil informatique d'un utilisateur. Une phase préalable de paramétrage comprend les étapes suivantes : The solution proposed by the invention is an authentication method for authorizing the connection to a website from a computer device of a user. A prior parameterization phase comprises the following steps:
créer une liste de paramètres d'authentification, lesquels paramètres sont répartis : o dans un premier groupe consistant en au moins une donnée de géo- localisation de l'appareil informatique et/ou une plage horaire de fonctionnement dudit appareil,  creating a list of authentication parameters, which parameters are distributed: o in a first group consisting of at least one geolocation data item of the computing device and / or a running time slot of said apparatus,
o et dans un second groupe consistant en au moins une autre donnée autre qu'un mot de passe, qu'un login, qu'une donnée de géo-localisation de l'appareil informatique et qu'une plage horaire de fonctionnement dudit appareil,  o and in a second group consisting of at least one other data other than a password, a login, a geo-location data of the computing device and a time slot of operation of said device,
sélectionner au moins un paramètre d'authentification du premier groupe et au moins un paramètre d'authentification du second groupe,  select at least one authentication parameter of the first group and at least one authentication parameter of the second group,
définir au moins une condition d'authentification en sélectionnant un ou plusieurs opérateurs logiques appartenant à la liste suivante : ET logique, OU logique, NON logique, et combiner le ou les opérateurs logiques sélectionnés aux paramètres d'authentification choisis,  define at least one authentication condition by selecting one or more logical operators belonging to the following list: logical AND, logical OR, logical NOT, and combining the selected logical operator (s) with the selected authentication parameters,
enregistrer, dans un serveur informatique, cette condition d'authentification, lequel serveur informatique est adapté pour gérer la connexion au site internet ou l'accès aux données chiffrées.  record, in a computer server, this authentication condition, which computer server is adapted to manage the connection to the website or access to the encrypted data.
Une phase ultérieure d'accès au site internet comprend les étapes suivantes : l'appareil informatique se connecte au site internet dont l'accès est protégé, la connexion de l'appareil informatique au site internet déclenche la mise en œuvre d'un processus qui entraine la connexion automatique dudit appareil au serveur informatique,  A subsequent phase of access to the website includes the following steps: the computer device connects to the website whose access is protected, the connection of the computer device to the website triggers the implementation of a process that causes the automatic connection of said device to the computer server,
- l'appareil informatique transmet au serveur informatique des paramètres d'authentification,  the computer apparatus transmits to the computer server authentication parameters,
le serveur informatique analyse les paramètres d'authentification transmis par l'appareil informatique et les confronte à la condition d'authentification,  the computer server analyzes the authentication parameters transmitted by the computer device and confronts them with the authentication condition,
le serveur informatique génère une instruction d'autorisation d'accès au site internet, cette instruction n'étant générée que si les paramètres d'authentification transmis respectent la condition d'authentification,  the computer server generates an access authorization instruction to the website, this instruction being generated only if the transmitted authentication parameters respect the authentication condition,
le serveur informatique transfert l'instruction d'autorisation au site internet, en réponse à la réception de l'instruction d'autorisation, le site internet autorise son accès à l'appareil informatique. C'est donc maintenant l'utilisateur qui paramètre lui-même sa propre condition d'authentification. Cette dernière ne lui est pas imposée par un tiers contrairement aux techniques précitées connues de l'art antérieur. En outre, la condition d'authentification étant maintenant constituée par la combinaison d'au moins deux paramètres (autres qu'un mot de passe ou qu'un identifiant) auxquels sont associés des opérateurs logiques, le niveau de sécurité est amélioré. Et le fait de déléguer à un serveur informatique disant (indépendant de l'appareil informatique de l'utilisateur ou du site web) la gestion de l'authentification, et donc la gestion de l'accès au site internet, permet d'accroître davantage le niveau de sécurité. the computer server transfers the authorization instruction to the website, in response to the receipt of the authorization instruction, the website authorizes access to the computer device. It is now the user who himself sets his own authentication condition. The latter is not imposed by a third party contrary to the aforementioned techniques known from the prior art. In addition, the authentication condition being now constituted by the combination of at least two parameters (other than a password or an identifier) which are associated logical operators, the security level is improved. And the fact of delegating to a computer server saying (independent of the computer device of the user or the website) the management of the authentication, and thus the management of the access to the website, makes it possible to increase further the level of security.
D'autres caractéristiques avantageuses de l'invention sont listées ci-dessous. Other advantageous features of the invention are listed below.
Chacune de ces caractéristiques peut être considérée seule ou en combinaison avec les caractéristiques remarquables définies ci-dessus, et faire l'objet, le cas échéant, d'une ou plusieurs demandes de brevet divisionnaires : Each of these features may be considered alone or in combination with the outstanding characteristics defined above, and may be subject, where applicable, to one or more divisional patent applications:
Préférentiellement, durant la phase préalable de paramétrage, les paramètres d'authentification sont sélectionnés de manière à ce que durant la phase ultérieure d'accès au site internet, l'appareil informatique puisse détecter automatiquement tous ces paramètres d'authentification sans action volontaire sur ledit appareil.  Preferably, during the prior parameterization phase, the authentication parameters are selected so that during the subsequent phase of access to the website, the computer device can automatically detect all these authentication parameters without voluntary action on said apparatus.
La condition d'authentification est une condition statique, la sélection d'un paramètre n'influençant pas les autres paramètres sélectionnés.  The authentication condition is a static condition, the selection of a parameter does not influence the other selected parameters.
- préférentiellement, le second groupe consiste en au moins une donnée choisie dans la liste suivante : identifiant intégré dans une carte SIM de l'appareil informatique ; identifiant associé à l'appareil informatique ; SSID d'un réseau wifi ; détection d'une connexion Bluetooth entre l'appareil informatique et un autre appareil électronique ; identifiant enregistré dans un tag NFC ou RFID ; empreinte digitale ; scan rétinien ; reconnaissance d'iris ; détection d'une connexion entre l'appareil informatique et un serveur proxy ; détection d'une connexion entre l'appareil informatique et un serveur VPN ; adresse IP attribuée à l'appareil informatique lors de sa connexion à un réseau de télécommunication ; détection d'une connexion de l'appareil informatique à un réseau social ; détection d'une connexion de l'appareil informatique à la page d'un ami spécifique ou d'une personne spécifique suivie sur un réseau social ; adresse MAC d'une passerelle réseau.  preferably, the second group consists of at least one item selected from the following list: identifier integrated in a SIM card of the computer apparatus; identifier associated with the computer apparatus; SSID of a wifi network; detecting a Bluetooth connection between the computing device and another electronic device; identifier registered in an NFC or RFID tag; digital print ; retinal scan; iris recognition; detecting a connection between the computer apparatus and a proxy server; detecting a connection between the computing device and a VPN server; IP address assigned to the computing device when connected to a telecommunication network; detecting a connection of the computer apparatus to a social network; detecting a connection of the computer device to the page of a specific friend or a specific person followed on a social network; MAC address of a network gateway.
La donnée de géo-localisation de l'appareil informatique peut être sélectionnée par l'utilisateur depuis une carte interactive affichée sur une interface graphique dudit appareil. La plage horaire de fonctionnement de l'appareil informatique peut consister en un ou plusieurs jours de la semaine et un laps de temps. The geo-location data of the computing device can be selected by the user from an interactive map displayed on a graphical interface of said apparatus. The operating time range of the computing device may consist of one or more days of the week and a period of time.
Avantageusement, la phase préalable de paramétrage comprend en outre les étapes suivantes : - afficher, depuis un menu accessible depuis une interface graphique de l'appareil informatique, l'ensemble des paramètres d'authentification ; - sélectionner, dans le menu, des paramètres d'authentification parmi l'ensemble des paramètres d'authentification affichés. Les opérateurs logiques peuvent également être affichés dans ce menu avec l'ensemble des paramètres d'authentification.  Advantageously, the prior parameterization phase further comprises the following steps: displaying, from a menu accessible from a graphical interface of the computing device, all the authentication parameters; - select, from the menu, authentication parameters among the set of authentication parameters displayed. Logical operators can also be displayed in this menu with all the authentication parameters.
Le procédé comprend avantageusement une étape consistant à chiffrer la condition d'authentification avec un algorithme de cryptographie.  The method advantageously comprises a step of encrypting the authentication condition with a cryptographic algorithm.
Dans ce cas, on chiffre préférentiellement la condition d'authentification avec une clé AES générée par l'appareil informatique.  In this case, it preferentially encrypts the authentication condition with an AES key generated by the computer device.
Cette clé AES peut être chiffrée avec une clé RSA publique générée par le serveur informatique.  This AES key can be encrypted with a public RSA key generated by the computer server.
Cette clé RSA publique peut être générée par le serveur informatique en réponse à une requête transmise par le site internet.  This public RSA key can be generated by the computer server in response to a request transmitted by the website.
Un autre aspect de l'invention non couvert par les revendications concerne un procédé d'authentification pour autoriser le déchiffrement de données chiffrées stockées dans un appareil informatique d'un utilisateur, Another aspect of the invention not covered by the claims relates to an authentication method for authorizing the decryption of encrypted data stored in a computer apparatus of a user,
dans lequel, une phase préalable de paramétrage comprend les étapes suivantes : o créer une liste de paramètres d'authentification, lesquels paramètres sont répartis :  wherein, a prior parameterization phase comprises the following steps: creating a list of authentication parameters, which parameters are distributed:
dans un premier groupe consistant en au moins une donnée de géo-localisation de l'appareil informatique et/ou une plage horaire de fonctionnement dudit appareil, in a first group consisting of at least one geo-location of the computing device data and / or a time slot of said apparatus,
et dans un second groupe consistant en au moins une donnée autre qu'un mot de passe, qu'un login, qu'une donnée de géo-localisation de l'appareil informatique et qu'une plage horaire de fonctionnement dudit appareil, and in a second group consisting of at least one data other than a password, a login, a geo-location data of the computing device and a time slot of said device,
o sélectionner, depuis une interface graphique de l'appareil électronique, au moins un paramètre d'authentification du premier groupe et au moins un paramètre d'authentification du second groupe, o définir, depuis l'interface graphique, au moins une condition d'authentification en sélectionnant un ou plusieurs opérateurs logiques appartenant à la liste suivante : ET logique, OU logique, NON logique, et combiner le ou les opérateurs logiques sélectionnés aux paramètres d'authentification choisis, o selecting, from a graphical interface of the electronic device, at least one authentication parameter of the first group and at least one authentication parameter of the second group, o defining, from the graphical interface, at least one authentication condition by selecting one or more logical operators belonging to the following list: logical AND, logical OR, logical NOT, and combining the selected logical operator (s) with the parameters of selected authentication,
o enregistrer, dans un serveur informatique, cette condition d'authentification, lequel serveur informatique est adapté pour gérer l'accès aux données chiffrées, et dans lequel, une phase ultérieure de déchiffrement des données chiffrées comprend les étapes suivantes :  recording, in a computer server, this authentication condition, which computer server is adapted to manage access to the encrypted data, and wherein, a subsequent phase of decryption of the encrypted data comprises the following steps:
o la sélection des données chiffrées déclenche la mise en œuvre d'un processus qui entraine la connexion de l'appareil informatique au serveur informatique, o l'appareil informatique transmet au serveur informatique des paramètres d'authentification,  o the selection of the encrypted data triggers the implementation of a process which causes the connection of the computer apparatus to the computer server, where the computer apparatus transmits authentication parameters to the computer server,
o le serveur informatique analyse les paramètres d'authentification transmis par l'appareil informatique et les confronte à la condition d'authentification, o le serveur informatique génère une instruction d'autorisation d'accès aux données chiffrées, cette instruction n'étant générée que si les paramètres d'authentification transmis respectent la condition d'authentification, o le serveur informatique transmet à l'appareil informatique : l'instruction d'autorisation ainsi qu'une clé de déchiffrement des données chiffrées, o en réponse à la réception de l'instruction d'autorisation et de la clé de déchiffrement, l'appareil informatique déchiffre les données chiffrées.  o the computer server analyzes the authentication parameters transmitted by the computer device and confronts them with the authentication condition, where the computer server generates an access authorization instruction for the encrypted data, this instruction being generated only if the transmitted authentication parameters comply with the authentication condition, o the computer server transmits to the computer apparatus: the authorization instruction and a key for decrypting the encrypted data, or in response to the reception of the authorization instruction and the decryption key, the computer device decrypts the encrypted data.
Ce procédé comprend avantageusement une étape consistant à chiffrer les données avec un algorithme de cryptographie.  This method advantageously comprises a step of encrypting the data with a cryptographic algorithm.
Dans ce cas, on chiffre préférentiellement les données avec une clé AES générée par le serveur informatique.  In this case, the data is preferentially encrypted with an AES key generated by the computer server.
Des données chiffrées peuvent être enregistrées dans une mémoire de l'appareil électronique ou dans une mémoire d'un second appareil électronique distinct dudit appareil  Encrypted data may be stored in a memory of the electronic apparatus or in a memory of a second electronic apparatus separate from said apparatus
Dans ce dernier cas, le procédé comprend avantageusement une étape consistant à transmettre une clé de déchiffrement des données au second appareil électronique, cette clé de déchiffrement étant automatiquement transmise par le serveur informatique si les paramètres d'authentification transmis par l'appareil électronique respectent la condition d'authentification. Description des figures. In the latter case, the method advantageously comprises a step of transmitting a decryption key data to the second electronic device, the decryption key being automatically transmitted by the computer server if the authentication parameters transmitted by the electronic device comply with the authentication condition. Description of the figures.
D'autres avantages et caractéristiques de l'invention apparaîtront mieux à la lecture de la description d'un mode de réalisation préféré qui va suivre, en référence aux dessins annexés, réalisés à titre d'exemples indicatifs et non limitatifs et sur lesquels :  Other advantages and characteristics of the invention will appear better on reading the description of a preferred embodiment which will follow, with reference to the accompanying drawings, carried out as indicative and non-limiting examples and in which:
- la figure 1 schématise un exemple de système dans lequel peut être mis en œuvre le procédé conforme à l'invention,  FIG. 1 schematizes an example of a system in which the method according to the invention can be implemented,
la figure 2 schématise un autre exemple de système dans lequel peut être mis en œuvre le procédé conforme à l'invention,  FIG. 2 schematizes another example of a system in which the method according to the invention can be implemented,
la figure 3 schématise encore un autre exemple de système dans lequel peut être mis en œuvre le procédé conforme à l'invention,  FIG. 3 schematizes yet another example of a system in which the method according to the invention can be implemented,
la figure 4 illustre de manière simplifiée la structure d'un appareil informatique utilisé dans l'invention,  FIG. 4 schematically illustrates the structure of a computing device used in the invention,
la figure 5 illustre de manière simplifiée la structure d'un serveur informatique distant utilisé dans l'invention,  FIG. 5 schematically illustrates the structure of a remote computer server used in the invention,
- la figure 6 illustre de manière simplifiée un exemple d'interface graphique permettant à un utilisateur de définir une condition d'authentification,  FIG. 6 is a simplified illustration of an example of a graphical interface allowing a user to define an authentication condition,
la figure 7 est un organigramme illustrant différentes étapes mises en œuvre dans le procédé objet de l'invention, durant la phase préalable de paramétrage, pour l'accès à un site internet,  FIG. 7 is a flow diagram illustrating various steps implemented in the method that is the subject of the invention, during the prior parameterization phase, for access to a website,
- la figure 8 est un organigramme illustrant différentes étapes mises en œuvre dans le procédé objet de l'invention, durant la phase ultérieure d'accès à un site internet,  FIG. 8 is a flowchart illustrating various steps implemented in the method that is the subject of the invention during the subsequent phase of accessing a website,
la figure 9 est un organigramme illustrant différentes étapes mises en œuvre dans le procédé objet de l'invention, durant la phase préalable de paramétrage, pour l'accès à des données chiffrées,  FIG. 9 is a flowchart illustrating various steps implemented in the method that is the subject of the invention, during the prior parameterization phase, for access to encrypted data,
- la figure 10 est un organigramme illustrant différentes étapes mises en œuvre dans le procédé objet de l'invention, durant la phase ultérieure d'accès aux données chiffrées,  FIG. 10 is a flowchart illustrating various steps implemented in the method that is the subject of the invention, during the subsequent phase of access to the encrypted data,
la figure 1 1 est un organigramme illustrant différentes étapes mises en œuvre dans le procédé objet de l'invention, durant la phase préalable de paramétrage, pour l'accès à des données chiffrées, dans une variante de réalisation,  FIG. 11 is a flowchart illustrating various steps implemented in the method that is the subject of the invention, during the prior parameterization phase, for access to encrypted data, in a variant embodiment,
la figure 12 est un organigramme illustrant différentes étapes mises en œuvre dans le procédé objet de l'invention, durant la phase ultérieure d'accès aux données chiffrées, dans une variante de réalisation. Modes préférés de réalisation de l'invention. FIG. 12 is a flowchart illustrating various steps implemented in the method that is the subject of the invention, during the subsequent phase of access to the encrypted data, in a variant embodiment. Preferred embodiments of the invention
Le procédé objet de l'invention consiste en une séquence cohérente d'étapes permettant d'aboutir à un résultat souhaité. Ces étapes engendrent des manipulations d'éléments physiques, notamment des signaux (électriques ou magnétiques) capables d'être stockés, transférés, combinés, comparés, etc.  The method which is the subject of the invention consists of a coherent sequence of steps making it possible to achieve a desired result. These steps generate manipulations of physical elements, including signals (electrical or magnetic) capable of being stored, transferred, combined, compared, and so on.
Le procédé est mis en œuvre par l'intermédiaire d'applications informatiques exécutées respectivement par un ou plusieurs appareils informatiques ou par un ou plusieurs serveurs informatiques. Par souci de clarté, il faut comprendre au sens de l'invention que « l'appareil/serveur fait quelque chose » signifie « l'application informatique exécutée sur l'appareil/serveur fait quelque chose ». Tout comme « l'application informatique fait quelque chose » signifie « l'application informatique exécutée par l'appareil/serveur fait quelque chose ».  The method is implemented via computer applications executed respectively by one or more computing devices or by one or more computer servers. For the sake of clarity, it should be understood within the meaning of the invention that "the device / server does something" means "the computer application running on the device / server is doing something". Just like "the computer application does something" means "the computer application run by the device / server is doing something".
La mise en œuvre du procédé objet de l'invention nécessite l'utilisation d'un ou plusieurs appareils électroniques 1 a, 1 b (figures 1 , 2 et 3) se présentant par exemple sous la forme d'un ordinateur fixe ou portable, d'une tablette, préférentiellement sous la forme d'un Smartphone du type iPhone®, Samsung Galaxy®, iPad®, Samsung Tab®, ou sous la forme d'un autre appareil électronique, fonctionnant avec un système d'exploitation de type Windows, Mac, iOS, Android, etc.. L'appareil 1 a, 1 b est adapté pour être exploité par un utilisateur, qui, en pratique, est une personne physique.  The implementation of the method that is the subject of the invention requires the use of one or more electronic devices 1 a, 1 b (FIGS. 1, 2 and 3), for example in the form of a fixed or portable computer, a tablet, preferably in the form of a smartphone iPhone®, Samsung Galaxy®, iPad®, Samsung Tab®, or in the form of another electronic device, operating with a Windows-like operating system , Mac, iOS, Android, etc. The device 1 a, 1 b is adapted to be operated by a user, who, in practice, is a natural person.
En se rapportant à la figure 4, chaque appareil électronique 1 a, 1 b comprend notamment un ou plusieurs processeurs ou microprocesseurs 10, une ou plusieurs mémoires 1 1 , une interface réseau 12, une interface graphique 13, un module de détermination de position 14, un 'émetteur/récepteur de signaux infrarouges 16, qui sont mutuellement connectés via un bus 15. Une ou plusieurs applications informatiques - ou programmes informatiques - sont enregistrées dans la ou les mémoires 1 1 et dont les instructions (ou codes), lorsqu'elles sont exécutées par le ou les processeurs 10 permettent de réaliser les fonctionnalités décrites plus avant dans la description.  With reference to FIG. 4, each electronic device 1 a, 1 b notably comprises one or more processors or microprocessors 10, one or more memories 11, a network interface 12, a graphical interface 13, a position determination module 14 , an infrared signal transmitter / receiver 16, which are mutually connected via a bus 15. One or more computer applications - or computer programs - are recorded in the memory or memories 1 1 and whose instructions (or codes), when they are executed by the processor or processors 10 allow to achieve the features described further in the description.
La ou les mémoires 1 1 doivent être considérées comme un dispositif de stockage également adapté pour stocker des données et/ou des fichiers de données. Il peut s'agir d'une mémoire native ou d'une mémoire rapportée telle qu'une carte Secure Digital (SD).  The memory or memories 1 1 must be considered as a storage device also suitable for storing data and / or data files. It can be a native memory or a reported memory such as a Secure Digital (SD) card.
L'interface réseau 12 est adaptée pour établir une communication avec le serveur distant S décrit plus avant dans la description, via une liaison sans fil ou filaire, de manière à recevoir et émettre des signaux. L'interface réseau 12 peut par exemple comprendre un module Bluetooth, un module GSM, ou un module fournissant une connectivité de réseau à l'appareil 1 a, 1 b. De manière générale, l'interface réseau 12 a pour fonction de gérer les connexions entre l'appareil 1 a, 1 b et un réseau R de télécommunication (Internet, téléphonie mobile, ...), et éventuellement entre les appareils entre eux via les technologies de réseau telles que, mais sans s'y limiter, GSM, 3G, 4G Wifi, Bluetooth, etc. The network interface 12 is adapted to establish a communication with the remote server S described further in the description, via a wireless or wired link, so as to receive and transmit signals. The network interface 12 may for example comprise a Bluetooth module, a GSM module, or a module providing a network connectivity to the device 1 a, 1 b. In general, the purpose of the network interface 12 is to manage the connections between the device 1a, 1b and a telecommunication network R (Internet, mobile telephony, etc.), and possibly between the devices between them via network technologies such as, but not limited to, GSM, 3G, 4G Wifi, Bluetooth, etc.
L'interface graphique 13 offre à l'utilisateur la possibilité de saisir, sélectionner et/ou entrer des données pour définir au moins une condition d'authentification. Il se présente par exemple sous la forme d'un écran tactile, d'un écran connecté à un clavier et/ou une souris, etc.  The graphical interface 13 offers the user the possibility of entering, selecting and / or entering data to define at least one authentication condition. It is for example in the form of a touch screen, a screen connected to a keyboard and / or mouse, etc.
Le module de détermination de position 14 est préférentiellement un module de géo-localisation par satellite de type GPS ou basé sur une technique de triangulation de signaux acquis par des bornes relais de téléphonie cellulaire.  The position determination module 14 is preferably a satellite geolocation module of the GPS type or based on a technique of triangulation of signals acquired by cell phone relay terminals.
L'émetteur/récepteur de signaux infrarouges 16 permet à un appareil 1 a de communiquer sans fil avec un autre appareil 1 b.  The infrared signal transmitter / receiver 16 allows a device 1a to communicate wirelessly with another device 1b.
L'utilisateur doit installer une application informatique dans au moins un de ses appareil 1 a (préférentiellement chaque appareils 1 a, 1 b) pour mettre en œuvre tout ou partie de l'invention depuis ledit appareil. Avantageusement, l'application informatique peut être préinstallée sur l'appareil 1 a, par exemple par un opérateur réseau. L'utilisateur a toutefois la possibilité de rechercher l'application informatique sur une boutique en ligne telles que Google Play®, Itunes® ou sur un site internet dédié, et ensuite la télécharger sur son appareil 1 a. Les informations pour télécharger et installer l'application informatique sur l'appareil peuvent par exemple être récupérées à l'aide d'un code QR ou d'un tag NFC. En tout état de cause, l'application informatique peut être installée dans toute mémoire 1 1 de l'appareil 1 a.  The user must install a computer application in at least one of his apparatus 1a (preferably each apparatus 1a, 1b) to implement all or part of the invention from said apparatus. Advantageously, the computer application can be preinstalled on the device 1a, for example by a network operator. However, the user can search for the computer application on an online store such as Google Play®, Itunes® or on a dedicated website, and then download it to their device 1 a. The information to download and install the computer application on the device can for example be retrieved using a QR code or an NFC tag. In any case, the computer application can be installed in any memory 1 1 of the device 1 a.
La mise en œuvre du procédé objet de l'invention nécessite également l'utilisation d'un serveur distant S. Ce dernier peut consister en un serveur physique ou, dans certains cas, être composé de plusieurs ordinateurs distincts qui communiquent et interagissent sur un réseau pour exécuter les fonctions décrites plus avant.  The implementation of the method of the invention also requires the use of a remote server S. The latter may consist of a physical server or, in some cases, be composed of several separate computers that communicate and interact on a network to perform the functions described above.
En se rapportant à la figure 5, le serveur distant S comprend notamment un ou plusieurs processeurs ou microprocesseurs 20, une ou plusieurs mémoires 21 , une interface réseau 22, qui sont mutuellement connectés via un bus 25. Une ou plusieurs applications informatiques - ou programmes informatiques - sont enregistrées dans la ou les mémoires 21 et dont les instructions, lorsqu'elles sont exécutées par le ou les processeurs 20 permettent de réaliser les fonctionnalités décrites plus avant dans la description. With reference to FIG. 5, the remote server S notably comprises one or more processors or microprocessors 20, one or more memories 21, a network interface 22, which are mutually connected via a bus 25. One or more computer applications - or programs information - are recorded in the memory (s) 21 and whose instructions, when executed by the processors 20 make it possible to realize the functionalities described further in the description.
L'interface réseau 22 est une interface de communication filaire ou sans fil adaptée pour établir une communication avec les appareils 1 a, 1 b, un site internet S', et éventuellement une base de donnée 23, via un réseau R de télécommunication (Internet, téléphonie mobile, ...) et en employant des technologies de réseau telles que, mais sans s'y limiter, GSM, 3G, 4G Wifi, Bluetooth, etc. L'interface réseau 22 permet notamment au serveur distant S de recevoir et émettre des signaux.  The network interface 22 is a wired or wireless communication interface adapted to establish communication with the devices 1 a, 1 b, an internet site S ', and possibly a database 23, via a telecommunication network R (Internet , mobile telephony, etc.) and by using network technologies such as, but not limited to, GSM, 3G, 4G Wifi, Bluetooth, etc. The network interface 22 notably allows the remote server S to receive and transmit signals.
La base de données 23 peut être hébergée directement dans le serveur distant S, ou dans un autre serveur ou dans un réseau de serveur type Cloud Computing, ou dans un ordinateur.  The database 23 can be hosted directly in the remote server S, or in another server or in a server network type Cloud Computing, or in a computer.
Une application informatique est installée dans le serveur distant S pour mettre en œuvre tout ou partie de l'invention depuis ledit serveur comme cela est expliqué plus avant dans la description. Cette application informatique peut être préinstallée sur le serveur distant S ou être téléchargée ultérieurement.  A computer application is installed in the remote server S to implement all or part of the invention from said server as explained further in the description. This computer application can be preinstalled on the remote server S or be downloaded later.
Conformément à l'invention, on crée une liste de paramètres d'authentification qui sont utilisés pour autoriser la connexion à un site internet ou l'accès à des données chiffrées. Ces paramètres d'authentification sont avantageusement répartis en au moins deux groupes.  According to the invention, a list of authentication parameters is created which is used to authorize the connection to a website or access to encrypted data. These authentication parameters are advantageously divided into at least two groups.
Un premier groupe consiste en au moins une donnée de géo-localisation de l'appareil 1 a et/ou une plage horaire de fonctionnement dudit appareil.  A first group consists of at least one geo-location data of the apparatus 1a and / or a time slot of operation of said apparatus.
La donnée de géo-localisation peut être générée depuis le module de détermination de position 14. Pour générer cette donnée, l'utilisateur peut par exemple activer ce module pour déterminer une position exacte et définir un périmètre, ou rayon, autour de cette position. Il peut également s'agir d'un lieu (ex : la tour Eiffel) et/ou d'une zone géographique (ex : Paris) sélectionnés par l'utilisateur depuis une carte interactive, par exemple GoogleMap®, affichée sur une interface graphique 13.  The geolocation data can be generated from the position determination module 14. To generate this data, the user can for example activate this module to determine an exact position and define a perimeter or radius around this position. It can also be a place (eg the Eiffel Tower) and / or a geographical area (eg Paris) selected by the user from an interactive map, for example GoogleMap®, displayed on a graphical interface 13.
La plage horaire de fonctionnement de l'appareil peut consister en un ou plusieurs jours de la semaine et/ou un laps de temps. Par exemple, cette plage horaire peut être : le lundi, entre 8h et 10h. Cette plage horaire peut notamment être définie par l'utilisateur de la même façon que l'on règle une alarme sur un Smartphone.  The operating time range of the device may consist of one or more days of the week and / or a period of time. For example, this time slot can be: Monday, between 8am and 10am. This time slot can be defined by the user in the same way that an alarm is set on a smartphone.
Le second groupe consiste en au moins une autre donnée autre qu'un mot de passe, qu'un login, qu'une donnée de géo-localisation de l'appareil informatique et qu'une plage horaire de fonctionnement dudit appareil. Il s'agit préférentiellement, mais non exclusivement, de : The second group consists of at least one other data other than a password, a login, a geo-location data of the computing device and a operating time range of said apparatus. It is preferentially, but not exclusively, of:
L'identifiant intégré dans la carte SIM (pour Subscriber Identity Module,/ d'un Smartphone dans le cas où l'appareil 1 a est un Smartphone ;  The identifier integrated in the SIM card (for Subscriber Identity Module, / a Smartphone in the case where the device 1 is a Smartphone;
- Un identifiant associé à l'appareil 1 a. Cet identifiant peut être généré de façon aléatoire lors de l'installation de l'application informatique, ou généré automatiquement à partir de l'adresse IP (pour Internet Protocol) attribuée à l'appareil lors de sa connexion à un réseau de télécommunication pour télécharger l'application informatique. L'identifiant peut encore être saisi manuellement par l'utilisateur lors du processus d'installation, ou récupéré à partir d'un fichier stocké localement ou sur un serveur distant.  - An identifier associated with the device 1 a. This identifier can be generated randomly during the installation of the computer application, or automatically generated from the IP address (for Internet Protocol) assigned to the device when connected to a telecommunication network to download the computer application. The identifier can still be entered manually by the user during the installation process, or retrieved from a file stored locally or on a remote server.
Le SSID (pour Service Set Identifier) d'un réseau wifi. Ce SSID peut être défini automatiquement par défaut, ou être saisi manuellement par l'utilisateur, lors du paramétrage du réseau wifi.  The SSID (for Service Set Identifier) of a wifi network. This SSID can be set automatically by default, or entered manually by the user, when setting up the wireless network.
Détection d'une connexion Bluetooth entre l'appareil 1 a et un autre appareil électronique.  Detection of a Bluetooth connection between the device 1 a and another electronic device.
Un identifiant enregistré dans un tag NFC ou RFID. L'acquisition de cet identifiant peut notamment être effectuée par un scan du tag depuis l'appareil 1 a, au moyen d'un lecteur adapté à cet effet.  An identifier stored in an NFC or RFID tag. The acquisition of this identifier may in particular be carried out by scanning the tag from the device 1a, by means of a reader adapted for this purpose.
Une empreinte digitale, d'un scan rétinien, d'une reconnaissance d'iris, ou autre. L'acquisition de cet identifiant peut notamment être effectuée par un moyen d'acquisition adapté à la nature de cet identifiant, lequel moyen équipe l'appareil 1 a.  A fingerprint, a retinal scan, an iris recognition, or other. The acquisition of this identifier may in particular be carried out by an acquisition means adapted to the nature of this identifier, which means equips the apparatus 1 a.
Détection d'une connexion entre l'appareil 1 a et un serveur proxy.  Detection of a connection between the device 1a and a proxy server.
Détection d'une connexion entre l'appareil 1 a et un serveur VPN (pour Virtual Private Network).  Detection of a connection between the device 1a and a VPN server (for Virtual Private Network).
- L'adresse IP (pour Internet Protocol) attribuée à l'appareil 1 a lors de sa connexion à un réseau de télécommunication.  - The IP address (for Internet Protocol) assigned to the device 1 when connected to a telecommunication network.
Détection d'une connexion de l'appareil 1 a à un réseau social du type Facebook®, Twitter®, Viadeo®, Instagram®, Snapchat®, Linkedln®, etc.  Detecting a connection from the device 1 to a social network such as Facebook®, Twitter®, Viadeo®, Instagram®, Snapchat®, Linkedln®, etc.
Détection d'une connexion de l'appareil 1 a à la page d'un ami spécifique ou d'une personne spécifique suivie sur un réseau social du type Facebook®, Twitter®, Viadeo®, Instagram®, Snapchat®, Linkedln®, etc.  Detecting a connection from the device 1 to the page of a specific friend or a specific person followed on a social network such as Facebook®, Twitter®, Viadeo®, Instagram®, Snapchat®, Linkedln®, etc.
L'adresse MAC (pour Media Access Control) d'une passerelle réseau. Il s'agit typiquement d'un identifiant stocké dans une carte réseau ou une interface réseau similaire. En se rapportant à la figure 6, l'interface graphique 13 de l'appareil 1 a propose à l'utilisateur de choisir les paramètres d'authentification. L'interface graphique 13 affiche da ns une fenêtre, par exemple sous la forme d'un menu 130, par exemple un menu déroulant, l'ensemble des paramètres d'authentification disponibles A, B, C, D,...., Z. Cette fenêtre peut apparaître automatiquement lors de la sélection d'une touche dédiée 131 . L'utilisateur peut alors sélectionner dans le menu 130 les paramètres d'authentification qu'il aura choisis et les définir précisément, notamment pour les données de géo-localisation et la plage horaire. The MAC (for Media Access Control) address of a network gateway. This is typically an identifier stored in a network adapter or similar network interface. Referring to Figure 6, the graphical interface 13 of the apparatus 1 has the user to choose the authentication parameters. The graphical interface 13 displays in a window, for example in the form of a menu 130, for example a drop-down menu, the set of available authentication parameters A, B, C, D, ...., Z. This window can appear automatically when selecting a dedicated key 131. The user can then select in the menu 130 the authentication parameters he has chosen and define them precisely, including geolocation data and time slot.
En pratique, l'utilisateur sélectionne au moins un paramètre d'authentification du premier groupe et au moins un paramètre d'authentification du second groupe.  In practice, the user selects at least one authentication parameter of the first group and at least one authentication parameter of the second group.
Il définit ensuite, depuis l'interface graphique 13, au moins une condition d'authentification en sélectionnant un ou plusieurs opérateurs logiques appartenant à la liste suivante : ET logique, OU logique, NON logique, et en combinant le ou les opérateurs logiques sélectionnés aux paramètres d'authentification choisis. Sur la figure 6, les opérateurs logiques sont également affichés dans le menu 130, avec les paramètres d'authentification disponibles A, B, C, D,...., Z, dans la même fenêtre. Les opérateurs logiques peuvent toutefois être affichés dans une autre fenêtre et/ou dans un autre menu.  It then defines, from the graphical interface 13, at least one authentication condition by selecting one or more logical operators belonging to the following list: logical AND, logical OR, logical NOT, and combining the selected logical operator (s) with selected authentication settings. In FIG. 6, the logical operators are also displayed in the menu 130, with the available authentication parameters A, B, C, D, ...., Z, in the same window. Logical operators can however be displayed in another window and / or in another menu.
Sur la figure 6, la condition d'authentification est la suivante : 'A' ET 'B' ('C OU 'D') ET NON Έ'. A titre d'exemple, A peut être choisi dans le premier groupe de paramètres d'authentification. B, C et D peuvent être choisis dans le second groupe de paramètres d'authentification. E peut être choisi dans le premier ou le second groupe de paramètres d'authentification.  In Figure 6, the authentication condition is: 'A' AND 'B' ('C OR' D ') AND NOT Έ'. For example, A may be chosen in the first group of authentication parameters. B, C and D may be selected from the second group of authentication parameters. E can be chosen in the first or second group of authentication parameters.
Par exemple, la condition d'authentification peut être la suivante :  For example, the authentication condition may be:
'le lundi de 8h à 10h' (A)  'Monday from 8h to 10h' (A)
ET 'connecté à Facebook®' (B)  AND 'connected to Facebook®' (B)
'Sur la page de Paul' (C)  'On Paul's page' (C)
OU  OR
'Sur la page de Pierre' (D)  'On the page of Peter' (D)
ET NON 'situé à PARIS' (E)  AND NOT 'located in PARIS' (E)
En d'autres termes, pour que la condition d'authentification soit remplie, il faut que l'appareil 1 a soit en état de fonctionnement un Lundi de 8h à 10h, que l'appareil 1 a soit connecté au site internet facebook.com et qu'il consulte la page Facebook® de Paul ou la page Facebook® de Pierre, l'appareil 1 a ne devant pas être localisé à Paris (France). Si l'un de ces paramètres n'est pas respecté, la condition d'authentification n'est pas remplie. In other words, in order for the authentication condition to be fulfilled, the device 1 must be in working order on a Monday from 8am to 10am, whether the device 1 is connected to the facebook.com website. and that he should consult Paul's Facebook® page or Pierre's Facebook® page, since the device 1 should not be located in Paris (France). Yes one of these parameters is not respected, the authentication condition is not fulfilled.
Selon un autre exemple, la condition d'authentification peut être la suivante :  In another example, the authentication condition may be as follows:
'empreinte digitale' (A)  'fingerprint' (A)
ET 'connexion à un réseau wifi' (B)  AND 'connection to a wifi network' (B)
'réseau wifi de Paul' (C)  'Paul's wifi network' (C)
OU  OR
'réseau wifi de Pierre' (D)  'Pierre's wifi network' (D)
ET NON 'le lundi de 8h à 10h' (E)  AND NOT 'Monday from 8h to 10h' (E)
Pour que cette condition d'authentification soit remplie, il faut que l'utilisateur scanne son empreinte digitale, que l'appareil 1 a soit connecté à un réseau wifi, ce réseau wifi devant être celui de Paul ou de Pierre, tous les jours de la semaine, sauf le Lundi de 8h à 10h. Si l'un de ces paramètres n'est pas respecté, la condition d'authentification n'est pas remplie.  In order for this authentication condition to be fulfilled, the user must scan his fingerprint, whether the device 1 is connected to a wireless network, this wireless network must be that of Paul or Pierre, every day of the year. the week, except Monday from 8h to 10h. If any of these parameters are violated, the authentication condition is not met.
La condition d'authentification définie par l'utilisateur est une condition statique. C'est-à-dire que la sélection d'un paramètre n'influence pas les autres paramètres sélectionnés. En particulier, la sélection d'une plage horaire de fonctionnement est sans incidence sur les autres paramètres, contrairement au processus décrit dans le document brevet US2013/0036462 (QUALCOMM) où on détermine une plage horaire pour faire varier de manière dynamique un ou plusieurs autres paramètres de la condition d'authentification.  The user-defined authentication condition is a static condition. That is, the selection of a parameter does not influence the other selected parameters. In particular, the selection of an operating time slot has no effect on the other parameters, unlike the process described in the document US2013 / 0036462 (QUALCOMM) where a time slot is determined for dynamically varying one or more other parameters of the authentication condition.
On comprend aisément que le nombre élevé de combinaisons possibles de paramètres d'authentification et d'opérateurs logiques, rend la condition d'authentification unique, conférant de fait un degré de sécurité optimal. Il est en effet peu probable qu'un utilisateur mal intentionné puisse découvrir la condition d'authentification.  It is easy to understand that the large number of possible combinations of authentication parameters and logical operators makes the authentication condition unique, thereby conferring an optimum degree of security. It is unlikely that a malicious user can discover the authentication condition.
Bien évidemment, les conditions d'authentification peuvent être plus ou moins complexes selon le type de site internet pour lequel la connexion est demandée ou le type de données chiffrées devant être consultées. Si le site internet est un réseau social ou les données chiffrées un simple texte, la condition d'authentification peut être relativement simple, et par exemple constituée de la combinaison d'un paramètre du premier groupe et d'un paramètre du second groupe avec un seul opérateur logique. La condition sera toutefois plus complexe, du type décrit précédemment en référence à la figure 6, lorsque le site internet est un compte bancaire en ligne ou que les données chiffrées sont des fichiers hautement confidentiels. Ceci étant exposé, les mises en œuvre du procédé objet de l'invention, d'une part pour autoriser l'accès à un site internet et d'autre part autoriser l'accès à des données chiffrées, vont maintenant êtres décrites plus en détails. Accès à un site internet (figures 1 , 7 et 8) Obviously, the authentication conditions can be more or less complex depending on the type of website for which the connection is requested or the type of encrypted data to be consulted. If the website is a social network or the encrypted data a simple text, the authentication condition can be relatively simple, and for example consisting of the combination of a parameter of the first group and a parameter of the second group with a only logical operator. The condition will, however, be more complex, of the type described above with reference to Figure 6, when the website is an online bank account or the encrypted data are highly confidential files. Having said this, the implementations of the method that is the subject of the invention, on the one hand to authorize access to a website and, on the other hand, to authorize access to encrypted data, will now be described in more detail. . Access to a website (Figures 1, 7 and 8)
Dans ce cas, l'objectif est de sécuriser l'accès à un site internet S', cet accès étant limité à l'utilisateur et protégé, c'est-à-dire que son accès est bloqué. Ce site internet S' peut par exemple être un compte bancaire en ligne de l'utilisateur, un réseau social, un groupe de discussion, etc.  In this case, the objective is to secure access to a website S ', this access being restricted to the user and protected, that is to say that his access is blocked. This website S 'can for example be an online bank account of the user, a social network, a discussion group, etc.
En pratique, le site internet S' est géré par un serveur informatique du type décrit précédemment en référence à la figure 5. Une application informatique est avantageusement installée dans le serveur gérant le site internet S' pour mettre en œuvre tout ou partie de l'invention depuis ledit serveur. Cette application informatique peut être préinstallée sur ce serveur ou être téléchargée ultérieurement.  In practice, the website S 'is managed by a computer server of the type described above with reference to FIG. 5. A computer application is advantageously installed in the server managing the website S' to implement all or part of the invention from said server. This computer application can be preinstalled on this server or downloaded later.
Phase préalable de paramétrage (figures 1 et 7) Prior parameterization phase (Figures 1 and 7)
Dans une étape 101 , l'appareil 1 a se connecte au site internet S'. Cette connexion est réalisée via un réseau de télécommunication R et est schématisée par une double flèche sur la figure 1 . L'utilisateur peut être amené à suivre une procédure habituelle pour s'enregistrer sur le site internet S' en question. Pour effectuer cet enregistrement, il peut notamment être demandé à l'utilisateur de s'identifier en renseignant une ou plusieurs données d'identification, par exemple : nom, prénom, âge, adresse, numéro de téléphone, adresse mail, etc.  In a step 101, the device 1 has connects to the website S '. This connection is made via a telecommunication network R and is shown schematically by a double arrow in FIG. The user may have to follow a usual procedure to register on the website S 'in question. To make this registration, the user may be asked to identify himself by filling in one or more identification data, for example: last name, first name, age, address, telephone number, email address, etc.
Dans une étape 102, le site interne S' se connecte au serveur S. Cette connexion est réalisée via un réseau de télécommunication R et est schématisée par une flèche sur la figure 1. Cette connexion est accompagnée d'une requête par laquelle le site S' demande au serveur S de générer un identifiant unique.  In a step 102, the internal site S 'connects to the server S. This connection is made via a telecommunication network R and is shown schematically by an arrow in FIG. 1. This connection is accompanied by a request by which the site S asks the server S to generate a unique identifier.
Dans une étape 103, le serveur S génère un identifiant unique ainsi qu'une paire de clés RSA. Cet identifiant est préférentiellement généré de façon aléatoire. Le chiffrement RSA est bien connu de l'homme du métier. Il utilise une paire de clés (des nombres entiers) composée d'une clé publique pour chiffrer et d'une clé privée pour déchiffrer des données confidentielles. L'homme du métier pourra se référer au document brevet US4405829 (MASSACHUSETTS INST TECHNOLOGY) en cas de besoin. In a step 103, the server S generates a unique identifier and an RSA key pair. This identifier is preferably generated randomly. RSA encryption is well known to those skilled in the art. It uses a pair of keys (integers) consisting of a public key to encrypt and a private key to decrypt confidential data. The skilled person can refer to the document US4405829 (MASSACHUSETTS INST TECHNOLOGY) if necessary.
L'identifiant unique est enregistré dans la mémoire 21 du serveur S. Dans une étape 104, le serveur S transfère l'identifiant unique au site S'. Cette transmission est réalisée via un réseau de télécommunication R. The unique identifier is stored in the memory 21 of the server S. In a step 104, the server S transfers the unique identifier to the site S '. This transmission is carried out via a telecommunications network R.
Dans une étape 105, le site S' crée un nouvel identifiant unique en associant l'identifiant renvoyé par le serveur S aux données que l'utilisateur a renseigné lors de la procédure d'enregistrement (étape 101 ). Ce nouvel identifiant unique est enregistré dans la mémoire du site S'.  In a step 105, the site S 'creates a new unique identifier by associating the identifier returned by the server S with the data that the user has entered during the registration procedure (step 101). This new unique identifier is stored in the memory of the site S '.
Dans une étape 106, le site S' transfère ce nouvel identifiant unique à l'appareil 1 a, via un réseau de télécommunication R. Cet identifiant peut s'afficher sur l'interface graphique dudit site, par exemple sous la forme d'un code QR, d'un code barres, ou sous toute autre forme convenant à l'homme du métier.  In a step 106, the site S 'transfers this new unique identifier to the apparatus 1a, via a telecommunication network R. This identifier can be displayed on the graphical interface of said site, for example in the form of a QR code, a barcode, or in any other form suitable to the skilled person.
Dans une étape 107, l'appareil 1 a acquiert ce nouvel identifiant, par exemple en scannant le code QR sur l'interface graphique du site internet S'.  In a step 107, the device 1 acquires this new identifier, for example by scanning the QR code on the graphical interface of the website S '.
Dans une étape 108, l'appareil 1 a se connecte au serveur S, via un réseau de télécommunication R. Cette connexion est accompagnée d'une requête contenant l'identifiant acquis et par laquelle l'appareil 1 a demande au serveur S de lui envoyer la clé RSA publique associée audit identifiant.  In a step 108, the device 1 a connects to the server S, via a telecommunications network R. This connection is accompanied by a request containing the acquired identifier and by which the device 1 has asked the server S of him send the public RSA key associated with said identifier.
Dans une étape 109, le serveur S transfère à l'appareil 1 a, via un réseau de télécommunication R, la clé RSA publique associée à l'identifiant.  In a step 109, the server S transfers to the device 1 a, via a telecommunications network R, the public RSA key associated with the identifier.
Dans une étape 1 10, l'utilisateur définit, depuis l'appareil 1 a, une condition d'authentification, en sélectionnant des paramètres d'authentification et en les combinant aux opérateurs logiques.  In a step 1 10, the user defines, from the device 1 a, an authentication condition, by selecting authentication parameters and combining them with the logical operators.
Dans une étape 1 1 1 , l'appareil 1 a génère une clé AES (pour Advanced Encryption Standard). Le chiffrement AES est bien connu de l'homme du métier. En cas de besoin, ce dernier pourra se référer à la publication : « Fédéral Information Processing Standards Publication 197, November 26, 2001 , Announcing the ADVANCED ENCRYPTION STANDARD (AES) ». L'appareil 1 a chiffre, avec cette clé AES, la condition d'authentification définie à l'étape 1 10.  In a step 1 1 1, the device 1 a generates an AES key (for Advanced Encryption Standard). AES encryption is well known to those skilled in the art. If necessary, the latter may refer to the publication: "Federal Information Processing Standards Publication 197, November 26, 2001, Announcing the ADVANCED ENCRYPTION STANDARD (AES)". The apparatus 1 digit, with this key AES, the authentication condition defined in step 1 10.
Dans une étape 1 12, l'appareil 1 a chiffre la clé AES avec la clé RSA publique précédemment récupérée auprès du serveur S.  In a step 1 12, the device 1 has encrypted the AES key with the public RSA key previously retrieved from the server S.
Dans une étape 1 13, l'appareil 1 a se connecte au serveur S, via un réseau de télécommunication R, pour lui transférer l'identifiant acquit à l'étape 107, la condition d'authentification chiffrée et la clé AES chiffrée.  In a step 1 13, the apparatus 1 a connects to the server S, via a telecommunications network R, to transfer to it the identifier acquired in step 107, the encrypted authentication condition and the encrypted AES key.
Dans une étape 1 14, le serveur S déchiffre la clé AES avec sa clé RSA privée. Le serveur S déchiffre alors la condition d'authentification, la vérifie et l'associe à l'identifiant. Dans une étape 1 15, le serveur se connecte au site S', via un réseau de télécommunication R, et lui notifie le bon déroulement des opérations. In a step 1 14, the server S decrypts the key AES with its private RSA key. The server S then decrypts the authentication condition, verifies it and associates it with the identifier. In a step 1 15, the server connects to the site S ', via a telecommunications network R, and notifies the smooth running of operations.
Phase ultérieure d'accès au site internet (figures 1 et 8) Later phase of access to the website (Figures 1 and 8)
Dans une étape 201 , l'appareil 1 a se connecte au site S' dont l'accès est protégé, via un réseau de télécommunication R. L'utilisateur peut être amené à suivre une procédure habituelle pour s'authentifier sur le site S', par exemple en saisissant uniquement son nom d'utilisateur ou son adresse mail. La connexion de l'appareil 1 a au site S' déclenche alors la mise en œuvre d'un processus décrit ci-après, lequel processus entraine la connexion automatique dudit appareil au serveur S.  In a step 201, the apparatus 1 a connects to the site S 'whose access is protected, via a telecommunication network R. The user may be led to follow a usual procedure to authenticate on the site S' for example by entering only his username or email address. The connection of the device 1 to the site S 'then triggers the implementation of a process described below, which process causes the automatic connection of said device to the server S.
Dans une étape 202, le site S' transfère l'identifiant créé à l'étape 105, à l'appareil In a step 202, the site S 'transfers the identifier created in step 105 to the device
1 a, via un réseau de télécommunication R. Cet identifiant s'affiche sur l'interface graphique du site internet S', par exemple sous la forme d'un code QR, d'un code barres, ou sous toute autre forme convenant à l'homme du métier. 1 a, via a telecommunications network R. This identifier is displayed on the graphical interface of the website S ', for example in the form of a QR code, a bar code, or in any other form suitable for the skilled person.
Dans une étape 203, l'appareil 1 a acquiert cet identifiant, par exemple en scannant le code QR.  In a step 203, the device 1 acquires this identifier, for example by scanning the QR code.
Dans une étape 204, l'appareil 1 a se connecte automatiquement au serveur S, via un réseau de télécommunication R. Cette connexion est accompagnée d'une requête contenant l'identifiant acquis et par laquelle l'appareil 1 a demande au serveur S de lui envoyer la clé RSA publique associée audit identifiant.  In a step 204, the device 1 a connects automatically to the server S, via a telecommunications network R. This connection is accompanied by a request containing the acquired identifier and by which the device 1 has requested the server S to send him the public RSA key associated with the identifier.
Dans une étape 205, le serveur S génère une nouvelle paire de clés RSA qu'il associe à l'identifiant.  In a step 205, the server S generates a new pair of RSA keys that it associates with the identifier.
Dans une étape 206, le serveur S transfère la clé RSA publique à l'appareil 1 a. In a step 206, the server S transfers the public RSA key to the device 1a.
Cette transmission est réalisée via un réseau de télécommunication R. This transmission is carried out via a telecommunications network R.
Dans une étape 207, l'utilisateur peut être amené à générer un paramètre d'authentification, par exemple : connexion à un réseau wifi ; connexion Bluetooth ; empreinte digitale ; scan rétinien ; reconnaissance d'iris, scan d'un tag NFC ou RFID ; etc. In a step 207, the user may be required to generate an authentication parameter, for example: connection to a wireless network; Bluetooth connection digital print ; retinal scan; iris recognition, scan of an NFC or RFID tag; etc.
Cela n'intervient que si la génération d'un des paramètres d'authentification nécessite une action volontaire de l'utilisateur sur l'appareil 1 a. Dans tous les autre cas, l'appareil 1 a détecte automatiquement tous les paramètres d'authentification déterminés à l'étape 1 10. This only occurs if the generation of one of the authentication parameters requires voluntary action by the user on the device 1 a. In all other cases, the device 1 has automatically detected all the authentication parameters determined in step 1 10.
Dans une étape 208, l'appareil 1 a génère une clé AES et chiffre, avec cette clé, les paramètres d'authentification de l'étape 207 et la clé RSA publique précédemment récupérée auprès du serveur S. Dans une étape 209, l'appareil 1 a se connecte au serveur S, via un réseau de télécommunication R, pour lui transférer l'identifiant, les paramètres d'authentification chiffrés et la clé AES chiffrée. In a step 208, the device 1a generates an AES key and encrypts, with this key, the authentication parameters of the step 207 and the public RSA key previously retrieved from the server S. In a step 209, the device 1 a connects to the server S, via a telecommunications network R, to transfer the identifier, the encrypted authentication parameters and the encrypted AES key.
Dans une étape 210, le serveur S déchiffre la clé AES avec sa clé RSA privée. Le serveur S déchiffre alors les paramètres d'authentification. Il les confronte à la condition d'authentification définie à l'étape 1 10 et reçue à l'étape 1 14.  In a step 210, the server S decrypts the AES key with its private RSA key. The server S then decrypts the authentication parameters. It confronts them with the authentication condition defined in step 1 and received in step 1 14.
Dans une étape 21 1 , le serveur S génère une instruction pour autoriser l'accès au site S'. Cette instruction d'autorisation n'est générée que si les paramètres d'authentification transmis à l'étape 209 respectent la condition d'authentification définie à l'étape 1 10.  In a step 21 1, the server S generates an instruction to authorize access to the site S '. This authorization instruction is generated only if the authentication parameters transmitted in step 209 respect the authentication condition defined in step 1 10.
Dans une étape 212, le serveur S se connecte au site S', via un réseau de télécommunication R, et lui notifie la réussite ou l'échec de la connexion. En cas de réussite, le serveur S transfert au site S' l'instruction d'autorisation, et en réponse à la réception de cette instruction, ledit site S' autorise son accès à l'appareil 1 a. En cas d'échec, le site S' refuse son accès à l'appareil 1 a et lui notifie éventuellement l'interdiction de cet accès.  In a step 212, the server S connects to the site S ', via a telecommunications network R, and notifies the success or failure of the connection. In the event of success, the server S transfers to the site S 'authorization instruction, and in response to the receipt of this instruction, said site S' authorizes access to the device 1 a. In case of failure, the site S 'denies access to the device 1a and possibly notify the prohibition of this access.
Accès à des données chiffrées (figures 2, 9 et 10) - Cas n°1 Access to figures (Figures 2, 9 and 10) - Case 1
L'objectif est ici de sécuriser l'accès à des données chiffrées, cet accès étant limité à l'utilisateur et protégé. Ces données chiffrées sont par exemple des documents ou des fichiers (contenant du texte, donnée audio, donnée vidéo, photo, ...) enregistrés dans la mémoire 1 1 de l'appareil 1 a.  The objective here is to secure access to encrypted data, this access being limited to the user and protected. This encrypted data is for example documents or files (containing text, audio data, video data, photo, ...) stored in the memory 1 1 of the device 1 a.
Phase préalable de paramétrage (figures 2 et 9) Prior parameterization phase (Figures 2 and 9)
Dans une étape 301 , l'utilisateur définit, depuis l'appareil 1 a, une condition d'authentification, en sélectionnant des paramètres d'authentification et en les combinant aux opérateurs logiques.  In a step 301, the user defines, from the apparatus 1 a, an authentication condition, by selecting authentication parameters and combining them with the logical operators.
Dans une étape 302, l'appareil 1 a génère une paire de clés RSA ainsi qu'une clé In a step 302, the apparatus 1a generates a pair of RSA keys and a key
AES. L'appareil 1 a chiffre, avec cette clé AES, la condition d'authentification définie à l'étape 301 . AES. The apparatus 1 digit, with this key AES, the authentication condition defined in step 301.
Dans une étape 303, l'appareil 1 a se connecte au serveur S, via un réseau de télécommunication R, pour lui transférer la condition d'authentification chiffrée à l'étape 302 et la clé RSA publique. Ces éléments sont enregistrés dans la mémoire 21 du serveur S. Dans une étape 304, le serveur S génère un identifiant unique et l'enregistre dans sa mémoire 21 . In a step 303, the apparatus 1 a connects to the server S, via a telecommunications network R, to transfer to it the encrypted authentication condition in step 302 and the public RSA key. These elements are stored in the memory 21 of the server S. In a step 304, the server S generates a unique identifier and saves it in its memory 21.
Dans une étape 305, le serveur S génère une paire de clés RSA ainsi qu'une clé AES. Le serveur S chiffre cette clé AES avec la clé RSA publique reçue à l'étape 303. La clé AES ainsi chiffrée et la clé RSA privée sont enregistrées dans la mémoire 21 du serveur S.  In a step 305, the server S generates a pair of RSA keys and an AES key. The server S encrypts this AES key with the public RSA key received in step 303. The encrypted AES key and the private RSA key are stored in the memory 21 of the server S.
Dans une étape 306, le serveur S transfère à l'appareil 1 a : l'identifiant unique généré à l'étape 304, la clé AES chiffrée à l'étape 305 et la clé RSA publique générée à l'étape 305. Cette transmission est réalisée via un réseau de télécommunication R.  In a step 306, the server S transfers to the apparatus 1 a: the unique identifier generated in step 304, the AES key encrypted in step 305 and the public RSA key generated in step 305. This transmission is performed via a telecommunications network R.
Dans une étape 307, l'appareil 1 a déchiffre la clé AES reçue à l'étape 306 avec sa clé RSA privée.  In a step 307, the apparatus 1 decrypts the AES key received at step 306 with its private RSA key.
Dans une étape 308, l'appareil 1 a crée et chiffre ses données dont l'accès doit être limité et protégé. Ce chiffrement des données est réalisé avec la clé AES déchiffrée à l'étape 307.  In a step 308, the device 1 has created and encrypts its data whose access must be limited and protected. This data encryption is performed with the AES key decrypted in step 307.
Dans une étape 309, l'appareil 1 a chiffre sa clé AES générée à l'étape 302, avec la clé RSA publique du serveur S reçue à l'étape 306.  In a step 309, the apparatus 1 has encrypted its AES key generated in step 302, with the public RSA key of the server S received at step 306.
Dans une étape 310, l'appareil 1 a enregistre dans ses données chiffrées à l'étape 308 : l'identifiant unique reçu à l'étape 306, sa paire de clés RSA générée à l'étape 302, la clé AES chiffrée à l'étape 309, la clé RSA publique du serveur S reçue à l'étape 306.  In a step 310, the apparatus 1 has recorded in its encrypted data in step 308: the unique identifier received in step 306, its RSA key pair generated in step 302, the AES key encrypted at step 309, the public RSA key of the server S received in step 306.
Phase ultérieure d'accès aux données chiffrées (figures 2 et 10) Subsequent phase of access to the encrypted data (Figures 2 and 10)
Dans une étape 401 , l'utilisateur peut être amené à générer un paramètre d'authentification, par exemple : connexion à un réseau wifi ; connexion Bluetooth ; empreinte digitale ; scan rétinien ; reconnaissance d'iris, scan d'un tag NFC ou RFID ; etc. Cela n'intervient que si la génération d'un des paramètres d'authentification nécessite une action volontaire de l'utilisateur. Dans tous les autre cas, l'appareil 1 a détecte automatiquement tous les paramètres d'authentification déterminés à l'étape 301 .  In a step 401, the user may be required to generate an authentication parameter, for example: connection to a wireless network; Bluetooth connection digital print ; retinal scan; iris recognition, scan of an NFC or RFID tag; etc. This only occurs if the generation of one of the authentication parameters requires voluntary action by the user. In all other cases, the device 1 has automatically detected all the authentication parameters determined in step 301.
Dans une étape 402, l'utilisateur sélectionne ses données chiffrées et l'appareil 1 a extrait de ces données chiffrées : l'identifiant unique reçu à l'étape 306, la paire de clés RSA générée à l'étape 302, la clé AES chiffrée à l'étape 309, la clé RSA publique du serveur S reçue à l'étape 306.  In a step 402, the user selects his encrypted data and the apparatus 1 extracted from these encrypted data: the unique identifier received in step 306, the RSA key pair generated in step 302, the AES key encrypted at step 309, the public server RSA key S received at step 306.
Dans une étape 403, l'appareil 1 a génère une nouvelle clé AES. L'appareil 1 a chiffre, avec cette nouvelle clé AES, les paramètres d'authentification relevés à l'étape 401 . Dans une étape 404, l'appareil 1 a chiffre la nouvelle clé AES générée à l'étape 403, avec la clé RSA publique du serveur S extraite à l'étape 402. In a step 403, the apparatus 1a generates a new AES key. The device 1 digit, with this new key AES, the authentication parameters found in step 401. In a step 404, the apparatus 1 encrypts the new AES key generated in step 403, with the public RSA key of the server S extracted in step 402.
Dans une étape 405, l'appareil 1 a se connecte au serveur S, via un réseau de télécommunication R, pour lui transférer : les paramètres d'authentification chiffrés à l'étape 403, la nouvelle clé AES chiffrée à l'étape 404, la clé AES extraite à l'étape 402, l'identifiant extrait à l'étape 402.  In a step 405, the apparatus 1 a connects to the server S, via a telecommunications network R, to transfer to it: the encrypted authentication parameters in step 403, the new AES key encrypted in step 404, the key AES extracted in step 402, the identifier extracted in step 402.
Dans une étape 406, le serveur S déchiffre les clés AES reçues à l'étape 405 avec sa clé RSA privée.  In a step 406, the server S decrypts the AES keys received in step 405 with its private RSA key.
Dans une étape 407, le serveur S déchiffre les paramètres d'authentification reçus à l'étape 405, avec la nouvelle clé AES déchiffrée à l'étape 406.  In a step 407, the server S decrypts the authentication parameters received in step 405, with the new AES key decrypted in step 406.
Dans une étape 408, le serveur S déchiffre la condition d'authentification reçue à l'étape 303, avec la clé AES extraite à l'étape 402 et déchiffrée à l'étape 406.  In a step 408, the server S decrypts the authentication condition received in step 303, with the key AES extracted in step 402 and decrypted in step 406.
Dans une étape 409, le serveur S confronte les paramètres d'authentification déchiffrés à l'étape 407 à la condition d'authentification déchiffrée à l'étape 408.  In a step 409, the server S confronts the decrypted authentication parameters in step 407 to the decrypted authentication condition in step 408.
Dans une étape 410, le serveur S génère une instruction pour autoriser l'accès aux données chiffrées. Cette instruction n'est générée que si les paramètres d'authentification déchiffrés à l'étape 407 respectent la condition d'authentification déchiffrée à l'étape 408. Cette instruction se matérialise avantageusement sous la forme de la clé AES chiffrée à l'étape 305.  In a step 410, the server S generates an instruction to allow access to the encrypted data. This instruction is generated only if the authentication parameters decrypted in step 407 respect the authentication condition decrypted in step 408. This instruction is advantageously materialized in the form of the key AES encrypted in step 305. .
Dans une étape 41 1 , le serveur S transfère à l'appareil 1 a : la clé AES chiffrée à l'étape 305. Cette transmission est réalisée via un réseau de télécommunication R.  In a step 41 1, the server S transfers to the device 1 a: the key AES encrypted in step 305. This transmission is performed via a telecommunications network R.
Dans une étape 412, l'appareil 1 a déchiffre la clé AES reçue à l'étape 41 1 , avec sa clé RSA privée générée à l'étape 302.  In a step 412, the apparatus 1 decrypts the AES key received in step 41 1, with its private RSA key generated in step 302.
Dans une étape 413, l'appareil 1 a déchiffre les données chiffrées. Ce déchiffrement est réalisé avec la clé AES déchiffrée à l'étape 412.  In a step 413, the apparatus 1 decrypts the encrypted data. This decryption is performed with the AES key decrypted in step 412.
Accès à des données chiffrées (figures 3, 11 et 12) - Cas n°2 Access to figures (Figures 3, 11 and 12) - Case 2
L'objectif est ici de sécuriser l'accès à des données chiffrées, cet accès étant limité à l'utilisateur et protégé. Ces données chiffrées sont par exemple des documents ou des fichiers (contenant du texte, donnée audio, donnée vidéo, photo, ...) enregistrés dans la mémoire d'un autre appareil électronique 1 b. A titre d'exemple, cet appareil électronique 1 b est un ordinateur portable alors que l'appareil électronique 1 a est un Smartphone.  The objective here is to secure access to encrypted data, this access being limited to the user and protected. This encrypted data is for example documents or files (containing text, audio data, video data, photo, ...) stored in the memory of another electronic device 1 b. For example, this electronic device 1b is a laptop while the electronic device 1 is a smartphone.
Phase préalable de paramétrage (figures 3 et 11) Dans une étape 501 , l'appareil 1 b génère une paire de clés RSA. Prior parameterization phase (figures 3 and 11) In a step 501, the apparatus 1b generates a pair of RSA keys.
Dans une étape 502, l'appareil 1 b se connecte au serveur S, via un réseau de télécommunication R, pour lui transférer la clé RSA publique.  In a step 502, the device 1b connects to the server S, via a telecommunications network R, to transfer the public RSA key.
Dans une étape 503, le serveur S génère un identifiant unique et l'enregistre dans sa mémoire 21 .  In a step 503, the server S generates a unique identifier and saves it in its memory 21.
Dans une étape 504, le serveur S génère une paire de clés RSA. La clé RSA privée est enregistrée dans la mémoire 21 du serveur S.  In a step 504, the server S generates an RSA key pair. The private RSA key is stored in the memory 21 of the server S.
Dans une étape 505, le serveur S génère un jeton d'authentification (token en anglais) et y associe : la clé RSA publique reçue à l'étape 502 et la clé RSA publique générée à l'étape 504 et l'identifiant unique généré à l'étape 503.  In a step 505, the server S generates an authentication token (token in English) and associates therewith: the public RSA key received in step 502 and the public RSA key generated in step 504 and the unique identifier generated at step 503.
Dans une étape 506, le serveur S se connecte à l'appareil 1 b, via un réseau de télécommunication R, pour lui transférer le jeton d'authentification de l'étape 505.  In a step 506, the server S connects to the device 1b, via a telecommunications network R, to transfer the authentication token of step 505.
Dans une étape 507, le jeton reçu à l'étape 506 s'affiche sur l'interface graphique 13 de l'appareil 1 b, par exemple sous la forme d'un code QR, d'un code barres, ou sous toute autre forme convenant à l'homme du métier.  In a step 507, the token received in step 506 is displayed on the graphical interface 13 of the apparatus 1b, for example in the form of a QR code, a bar code, or under any other form suitable for the skilled person.
Dans une étape 508, l'appareil 1 a acquiert le jeton affiché sur l'interface graphique 13 de l'appareil 1 b, par exemple en scannant le code QR.  In a step 508, the device 1 acquires the token displayed on the graphical interface 13 of the device 1b, for example by scanning the QR code.
Dans une étape 509, l'appareil 1 a se connecte au serveur S, via un réseau de télécommunication R. Cette connexion intervient automatiquement en réponse à l'acquisition de l'étape 508.  In a step 509, the apparatus 1 a connects to the server S via a telecommunication network R. This connection occurs automatically in response to the acquisition of step 508.
Dans une étape 510, le serveur S transfère à l'appareil 1 a : le jeton d'authentification de l'étape 505, la clé RSA publique générée à l'étape 504 et l'identifiant unique généré à l'étape 503.  In a step 510, the server S transfers to the apparatus 1 a: the authentication token of step 505, the public RSA key generated in step 504 and the unique identifier generated in step 503.
Dans une étape 51 1 , l'utilisateur définit, depuis l'appareil 1 a, une condition d'authentification, en sélectionnant des paramètres d'authentification et en les combinant aux opérateurs logiques.  In a step 51 1, the user defines, from the device 1 a, an authentication condition, by selecting authentication parameters and combining them with the logical operators.
Dans une étape 512, l'appareil 1 a génère une clé AES. L'appareil 1 a chiffre, avec cette clé AES, la condition d'authentification définie à l'étape 51 1 .  In a step 512, the apparatus 1a generates an AES key. The device 1 digit, with this key AES, the authentication condition defined in step 51 1.
Dans une étape 513, l'appareil 1 a chiffre sa clé AES générée à l'étape 512, avec la clé RSA publique du serveur S reçue à l'étape 510.  In a step 513, the apparatus 1 has encrypted its AES key generated in step 512, with the public RSA key of the server S received at step 510.
Dans une étape 514, l'appareil 1 a se connecte au serveur S, via un réseau de télécommunication R, pour lui transférer : la condition d'authentification chiffrée à l'étape 512, la clé AES chiffrée à l'étape 513, le jeton reçu à l'étape 510, l'identifiant reçu à l'étape 510. Dans une étape 515, le serveur enregistre dans sa mémoire 21 , la condition d'authentification chiffrée reçue à l'étape 514. In a step 514, the apparatus 1 a connects to the server S, via a telecommunication network R, to transfer it to it: the encrypted authentication condition in step 512, the encrypted AES key in step 513, the token received at step 510, the identifier received at step 510. In a step 515, the server stores in its memory 21, the encrypted authentication condition received in step 514.
Dans une étape 516, le serveur S génère une clé AES et la chiffre avec la clé RSA publique reçue à l'étape 502. Cette clé AES chiffrée est enregistrée dans la mémoire 21 du serveur S.  In a step 516, the server S generates an AES key and the digit with the public RSA key received in step 502. This encrypted AES key is stored in the memory 21 of the server S.
Dans une étape 517, le serveur S se connecte à l'appareil 1 b, via un réseau de télécommunication R, pour lui transférer : l'identifiant unique reçu à l'étape 514, la clé AES chiffrée de l'étape 513 reçue à l'étape 514, la clé AES chiffrée à l'étape 516, la clé RSA publique générée à l'étape 504.  In a step 517, the server S connects to the apparatus 1b, via a telecommunication network R, to transfer to it: the unique identifier received at step 514, the encrypted AES key of step 513 received at step 514, the AES key encrypted in step 516, the public RSA key generated in step 504.
Dans une étape 518, l'appareil 1 b déchiffre la clé AES de l'étape 516 avec sa clé In a step 518, the apparatus 1b decrypts the AES key of step 516 with its key
RSA privée. Private RSA.
Dans une étape 519, l'appareil 1 b crée et chiffre ses données dont l'accès doit être limité et protégé. Ce chiffrement des données est réalisé avec la clé AES déchiffrée à l'étape 518.  In a step 519, the device 1b creates and encrypts its data whose access must be limited and protected. This data encryption is performed with the AES key decrypted in step 518.
Dans une étape 520, l'appareil 1 b enregistre dans ses données chiffrées à l'étape In a step 520, the device 1b records in its encrypted data at the step
519 : l'identifiant unique reçu à l'étape 517, sa paire de clés RSA générée à l'étape 501 , la clé AES chiffrée de l'étape 513, la clé RSA publique du serveur S reçue à l'étape 517. 519: the unique identifier received in step 517, its RSA key pair generated in step 501, the encrypted AES key of step 513, the public RSA key of the server S received at step 517.
Phase ultérieure d'accès aux données chiffrées (figures 3 et 12) Subsequent phase of access to the figures (Figures 3 and 12)
Dans une étape 601 , l'utilisateur sélectionne ses données chiffrées et l'appareil 1 b extrait de ces données chiffrées : l'identifiant unique, la clé AES chiffrée de l'étape 513, sa paire de clés RSA générée à l'étape 501 , la clé RSA publique du serveur S reçue à l'étape 517.  In a step 601, the user selects his encrypted data and the apparatus 1 b extracted from these encrypted data: the unique identifier, the encrypted AES key of step 513, its RSA key pair generated in step 501 the public RSA key of the server S received in step 517.
Dans une étape 602, l'appareil 1 b se connecte au serveur S, via un réseau de télécommunication R, pour lui transférer : l'identifiant unique, la clé AES chiffrée de l'étape 513, la clé RSA publique du serveur S.  In a step 602, the apparatus 1b connects to the server S, via a telecommunications network R, to transfer to it: the unique identifier, the encrypted AES key of step 513, the public RSA key of the server S.
Dans une étape 603, le serveur S génère un jeton d'authentification et y associe les données reçues à l'étape 602, c'est-à-dire : l'identifiant unique, la clé AES chiffrée de l'étape 513, la clé RSA publique du serveur S.  In a step 603, the server S generates an authentication token and associates with it the data received in step 602, that is to say: the unique identifier, the encrypted AES key of step 513, the Public RSA key from the S server.
Dans une étape 604, le serveur S se connecte à l'appareil 1 b, via un réseau de télécommunication R, pour lui transférer le jeton d'authentification de l'étape 603.  In a step 604, the server S connects to the device 1b, via a telecommunications network R, to transfer the authentication token of step 603.
Dans une étape 605, le jeton reçu à l'étape 604 s'affiche sur l'interface graphique 13 de l'appareil 1 b, par exemple sous la forme d'un code QR, d'un code barres, ou sous toute autre forme convenant à l'homme du métier. Dans une étape 606, l'appareil 1 a acquiert le jeton affiché sur l'interface graphique 13 de l'appareil 1 b, par exemple en scannant le code QR. In a step 605, the token received in step 604 is displayed on the graphical interface 13 of the apparatus 1b, for example in the form of a QR code, a barcode, or under any other form suitable for the skilled person. In a step 606, the device 1 acquires the token displayed on the graphical interface 13 of the device 1b, for example by scanning the QR code.
Dans une étape 607, l'appareil 1 a se connecte au serveur S, via un réseau de télécommunication R. Cette connexion intervient automatiquement en réponse à l'acquisition de l'étape 606.  In a step 607, the device 1 a connects to the server S, via a telecommunications network R. This connection occurs automatically in response to the acquisition of step 606.
Dans une étape 608, le serveur S transfère à l'appareil 1 a : le jeton d'authentification de l'étape 603, la clé RSA publique du serveur S et l'identifiant unique reçu à l'étape 602.  In a step 608, the server S transfers to the apparatus 1 a: the authentication token of step 603, the public RSA key of the server S and the unique identifier received in step 602.
Dans une étape 609, l'utilisateur peut être amené à générer un paramètre d'authentification, par exemple : connexion à un réseau wifi ; connexion Bluetooth ; empreinte digitale ; scan rétinien ; reconnaissance d'iris, scan d'un tag NFC ou RFID ; etc. Cela n'intervient que si la génération d'un des paramètres d'authentification nécessite une action volontaire de l'utilisateur. Dans tous les autre cas, l'appareil 1 a détecte automatiquement tous les paramètres d'authentification déterminés à l'étape 51 1 .  In a step 609, the user may be required to generate an authentication parameter, for example: connection to a wireless network; Bluetooth connection digital print ; retinal scan; iris recognition, scan of an NFC or RFID tag; etc. This only occurs if the generation of one of the authentication parameters requires voluntary action by the user. In all other cases, the device 1 has automatically detected all the authentication parameters determined in step 51 1.
Dans une étape 610, l'appareil 1 a génère une nouvelle clé AES. L'appareil 1 a chiffre, avec cette nouvelle clé AES, les paramètres d'authentification relevés à l'étape 609.  In a step 610, the apparatus 1a generates a new AES key. The device 1 digit, with this new AES key, the authentication parameters found in step 609.
Dans une étape 61 1 , l'appareil 1 a chiffre la nouvelle clé AES générée à l'étape 610, avec la clé RSA publique du serveur S reçue à l'étape 608.  In a step 61 1, the apparatus 1 has encrypted the new AES key generated in step 610, with the public RSA key of the server S received in step 608.
Dans une étape 612, l'appareil 1 a se connecte au serveur S, via un réseau de télécommunication R, pour lui transférer : les paramètres d'authentification chiffrés à l'étape 610, la nouvelle clé AES de l'étape 610 chiffrée à l'étape 61 1 , la clé AES extraite à l'étape 601 , le jeton d'authentification reçu à l'étape 608, l'identifiant unique reçu à l'étape 608.  In a step 612, the apparatus 1 a connects to the server S, via a telecommunication network R, to transfer to it: the encrypted authentication parameters in step 610, the new AES key of step 610 encrypted in FIG. step 61 1, the key AES extracted in step 601, the authentication token received in step 608, the unique identifier received in step 608.
Dans une étape 613, le serveur S déchiffre les clés AES reçues à l'étape 612 avec sa clé RSA privée.  In a step 613, the server S decrypts the AES keys received in step 612 with its private RSA key.
Dans une étape 614, le serveur S déchiffre les paramètres d'authentification reçus à l'étape 612, avec la nouvelle clé AES de l'étape 610 déchiffrée à l'étape 613.  In a step 614, the server S decrypts the authentication parameters received in step 612, with the new AES key of step 610 decrypted at step 613.
Dans une étape 615, le serveur S déchiffre la condition d'authentification reçue à l'étape 514, avec la clé AES extraite à l'étape 601 et déchiffrée à l'étape 613.  In a step 615, the server S decrypts the authentication condition received in step 514, with the key AES extracted in step 601 and decrypted in step 613.
Dans une étape 616, le serveur S confronte les paramètres d'authentification déchiffrés à l'étape 614 à la condition d'authentification déchiffrée à l'étape 615.  In a step 616, the server S confronts the decrypted authentication parameters in step 614 to the decrypted authentication condition in step 615.
Dans une étape 617, le serveur S génère une instruction pour autoriser l'accès aux données chiffrées. Cette instruction n'est générée que si les paramètres d'authentification déchiffrés à l'étape 614 respectent la condition d'authentification déchiffrée à l'étape 615. Cette instruction se matérialise avantageusement sous la forme de la clé AES chiffrée à l'étape 516. In a step 617, the server S generates an instruction to allow access to the encrypted data. This statement is generated only if the parameters authentication decrypted in step 614 respect the authentication condition decrypted in step 615. This instruction materializes advantageously in the form of the key AES encrypted in step 516.
Dans une étape 618, le serveur S transfère à l'appareil 1 b : la clé AES chiffrée à l'étape 516. Cette transmission est réalisée via un réseau de télécommunication R.  In a step 618, the server S transfers to the device 1 b: the encrypted AES key in step 516. This transmission is performed via a telecommunications network R.
Dans une étape 619, l'appareil 1 b déchiffre la clé AES reçue à l'étape 618, avec sa clé RSA privée générée à l'étape 501.  In a step 619, the apparatus 1b decrypts the AES key received in step 618, with its private RSA key generated in step 501.
Dans une étape 620, l'appareil 1 b déchiffre les données chiffrées. Ce déchiffrement est réalisé avec la clé AES déchiffrée à l'étape 619.  In a step 620, the apparatus 1b decrypts the encrypted data. This decryption is performed with the AES key decrypted in step 619.
L'agencement des différents éléments et/ou moyens et/ou étapes de l'invention, dans les modes de réalisation décrits ci-dessus, ne doit pas être compris comme exigeant un tel agencement dans toutes les implémentations. Il est évident que d'autres modes de réalisation qui partent de ces détails pourraient encore être compris comme entrant dans le cadre des revendications annexées. En tout état de cause, on comprendra que diverses modifications peuvent être apportées à ces éléments et/ou moyens et/ou étapes, sans s'écarter de l'esprit et de la portée de l'invention. En particulier :  The arrangement of the various elements and / or means and / or steps of the invention, in the embodiments described above, should not be understood as requiring such an arrangement in all implementations. It is obvious that other embodiments that depart from these details could still be understood as falling within the scope of the appended claims. In any case, it will be understood that various modifications may be made to these elements and / or means and / or steps, without departing from the spirit and scope of the invention. In particular :
Les étapes de chiffrement RSA et AES ne sont pas essentielles bien qu'elles renforcent davantage la sécurité.  The RSA and AES encryption steps are not essential although they further enhance security.
Le chiffrement RSA peut être remplacé par n'importe quel autre algorithme de cryptographie asymétrique, ou symétrique.  RSA encryption can be replaced by any other asymmetric or symmetric cryptographic algorithm.
Le chiffrement AES peut être remplacé par n'importe quel autre algorithme de cryptographie symétrique, ou asymétrique.  AES encryption can be replaced by any other symmetric or asymmetric cryptographic algorithm.

Claims

Revendications claims
1. Procédé d'authentification pour autoriser l'accès à un site internet (S') depuis un appareil informatique (1 a) d'un utilisateur, An authentication method for authorizing access to a website (S ') from a computer device (1 a) of a user,
dans lequel, une phase préalable de paramétrage comprend les étapes suivantes : o créer une liste de paramètres d'authentification (A, B, C, D, Z), lesquels paramètres sont répartis :  wherein, a prior parameterization phase comprises the following steps: creating a list of authentication parameters (A, B, C, D, Z), which parameters are distributed:
■ dans un premier groupe consistant en au moins une donnée de géo-localisation de l'appareil informatique (1 a) et/ou une plage horaire de fonctionnement dudit appareil,  In a first group consisting of at least one geo-location datum of the computing device (1 a) and / or a time slot of operation of said apparatus,
■ et dans un second groupe consistant en au moins une donnée autre qu'un mot de passe, qu'un login, qu'une donnée de géo-localisation de l'appareil informatique (1 a) et qu'une plage horaire de fonctionnement dudit appareil,  And in a second group consisting of at least one data other than a password, a login, a geo-location data of the computing device (1 a) and a working time slot. said apparatus,
o sélectionner au moins un paramètre d'authentification du premier groupe et au moins un paramètre d'authentification du second groupe,  o select at least one authentication parameter of the first group and at least one authentication parameter of the second group,
o définir une condition d'authentification en sélectionnant un ou plusieurs opérateurs logiques appartenant à la liste suivante : ET logique, OU logique, o define an authentication condition by selecting one or more logical operators belonging to the following list: logical AND, logical OR,
NON logique, et combiner le ou les opérateurs logiques sélectionnés aux paramètres d'authentification choisis, NO logical, and combine the selected logical operator (s) with the selected authentication parameters,
o enregistrer, dans un serveur informatique (S) qui est distant de l'appareil informatique (1 a), cette condition d'authentification, lequel serveur informatique est adapté pour gérer la connexion au site internet (S'),  o register, in a computer server (S) which is remote from the computer apparatus (1 a), this authentication condition, which computer server is adapted to manage the connection to the website (S '),
et dans lequel, une phase ultérieure d'accès au site internet (S') comprend les étapes suivantes :  and wherein, a subsequent phase of accessing the website (S ') comprises the following steps:
o l'appareil informatique (1 a) se connecte au site internet (S') dont l'accès est protégé,  o the computer device (1 a) connects to the website (S ') whose access is protected,
o la connexion de l'appareil informatique (1 a) au site internet (S') déclenche la mise en œuvre d'un processus qui entraine la connexion automatique dudit appareil au serveur informatique (S),  o the connection of the computer device (1 a) to the website (S ') triggers the implementation of a process which causes the automatic connection of said device to the computer server (S),
o l'appareil informatique (1 a) transmet au serveur informatique (S) des paramètres d'authentification, o le serveur informatique (S) analyse les paramètres d'authentification transmis par l'appareil informatique (1 a) et les confronte à la condition d'authentification, o le serveur informatique (S) génère une instruction d'autorisation d'accès au site internet (S'), cette instruction n'étant générée que si les paramètres d'authentification transmis respectent la condition d'authentification, o le serveur informatique (S) transfert l'instruction d'autorisation au site internet (S'), o the computer device (1 a) transmits to the computer server (S) authentication parameters, o the computer server (S) analyzes the authentication parameters transmitted by the computing device (1 a) and confronts them with the authentication condition, o the computer server (S) generates an access authorization instruction website (S '), this instruction being generated only if the transmitted authentication parameters comply with the authentication condition, o the computer server (S) transfers the authorization instruction to the website (S'),
o en réponse à la réception de l'instruction d'autorisation, le site internet (S') autorise son accès à l'appareil informatique (1 a).  o in response to the receipt of the authorization instruction, the website (S ') authorizes its access to the computer device (1 a).
2. Procédé selon la revendication 1 , dans lequel, durant la phase préalable de paramétrage, les paramètres d'authentification sont sélectionnés de manière à ce que durant la phase ultérieure d'accès au site internet (S'), l'appareil informatique (1 a) puisse détecter automatiquement tous ces paramètres d'authentification sans action volontaire sur ledit appareil.  2. Method according to claim 1, wherein, during the prior parameterization phase, the authentication parameters are selected so that during the subsequent phase of accessing the website (S '), the computer device ( 1 a) can automatically detect all these authentication parameters without voluntary action on said device.
3. Procédé selon l'une des revendications précédentes, dans lequel la condition d'authentification est une condition statique, la sélection d'un paramètre n'influençant pas les autres paramètres sélectionnés.  3. Method according to one of the preceding claims, wherein the authentication condition is a static condition, the selection of a parameter does not influence the other selected parameters.
4. Procédé selon l'une des revendications précédentes, dans lequel le second groupe consiste en au moins une donnée choisie dans la liste suivante : détection d'une connexion de l'appareil informatique (1 a) à un réseau social ; détection d'une connexion de l'appareil informatique (1 a) à la page d'un ami spécifique ou d'une personne spécifique suivie sur un réseau social.  4. Method according to one of the preceding claims, wherein the second group consists of at least one data selected from the following list: detecting a connection of the computer device (1 a) to a social network; detecting a connection of the computer device (1a) to the page of a specific friend or a specific person followed on a social network.
5. Procédé selon l'une des revendications précédentes, dans lequel le second groupe consiste en au moins une donnée choisie dans la liste suivante : identifiant intégré dans une carte SIM de l'appareil informatique (1 a) ; identifiant associé à l'appareil informatique (1 a) ; SSID d'un réseau wifi ; détection d'une connexion Bluetooth entre l'appareil informatique (1 a) et un autre appareil électronique ; identifiant enregistré dans un tag NFC ou RFID ; empreinte digitale ; scan rétinien ; reconnaissance d'iris ; détection d'une connexion entre l'appareil informatique (1 a) et un serveur proxy ; détection d'une connexion entre l'appareil informatique (1 a) et un serveur VPN ; adresse IP attribuée à l'appareil informatique (1 a) lors de sa connexion à un réseau de télécommunication ; adresse MAC d'une passerelle réseau. 5. Method according to one of the preceding claims, wherein the second group consists of at least one data selected from the following list: integrated identifier in a SIM card of the computing device (1 a); identifier associated with the computer apparatus (1 a); SSID of a wifi network; detecting a Bluetooth connection between the computer apparatus (1a) and another electronic apparatus; identifier registered in an NFC or RFID tag; digital print ; retinal scan; iris recognition; detecting a connection between the computer apparatus (1a) and a proxy server; detecting a connection between the computer apparatus (1a) and a VPN server; IP address assigned to the computing device (1 a) when connected to a telecommunication network; MAC address of a network gateway.
6. Procédé selon l'une des revendications précédentes, dans lequel la donnée de géo-localisation de l'appareil informatique (1 a) est sélectionnée par l'utilisateur depuis une carte interactive affichée sur une interface graphique (13) dudit appareil. 6. Method according to one of the preceding claims, wherein the geo-location data of the computer apparatus (1 a) is selected by the user from an interactive map displayed on a graphical interface (13) of said apparatus.
7. Procédé selon l'une des revendications précédentes, dans lequel la plage horaire de fonctionnement de l'appareil informatique (1 a) consiste en un ou plusieurs jours de la semaine et un laps de temps.  7. Method according to one of the preceding claims, wherein the operating time range of the computer apparatus (1a) consists of one or more days of the week and a period of time.
8. Procédé selon l'une des revendications précédentes, dans lequel la phase préalable de paramétrage comprend en outre les étapes suivantes :  8. Method according to one of the preceding claims, wherein the prior parameterization phase further comprises the following steps:
afficher, depuis un menu (130) accessible depuis une interface graphique (13) de l'appareil informatique (1 a), l'ensemble des paramètres d'authentification (A, B, C, D,...., Z),  displaying, from a menu (130) accessible from a graphic interface (13) of the computing device (1 a), all the authentication parameters (A, B, C, D, ...., Z) ,
sélectionner, dans le menu (130), des paramètres d'authentification parmi l'ensemble des paramètres d'authentification affichés.  selecting, in the menu (130), authentication parameters from the set of authentication parameters displayed.
9. Procédé selon la revendication 8, dans lequel les opérateurs logiques sont affichés dans le menu (130) avec l'ensemble des paramètres d'authentification (A, B, C, The method according to claim 8, wherein the logical operators are displayed in the menu (130) with all the authentication parameters (A, B, C,
D...... Z). D ...... Z).
10. Procédé selon l'une des revendications précédentes, comprenant une étape consistant à chiffrer la condition d'authentification avec un algorithme de cryptographie.  10. Method according to one of the preceding claims, comprising a step of encrypting the authentication condition with a cryptographic algorithm.
1 1. Procédé selon la revendication 10, consistant à chiffrer la condition d'authentification avec une clé AES générée par l'appareil informatique (1 a).  A method according to claim 10, comprising encrypting the authentication condition with an AES key generated by the computing device (1a).
12. Procédé selon la revendication 1 1 , comprenant une étape consistant à chiffrer la clé AES avec une clé RSA publique générée par le serveur informatique (S).  12. The method of claim 1 1, comprising a step of encrypting the AES key with a public RSA key generated by the computer server (S).
13. Procédé selon la revendication 12, dans lequel la clé RSA publique est générée par le serveur informatique (S) en réponse à une requête transmise par le site internet (S').  13. The method of claim 12, wherein the public RSA key is generated by the computer server (S) in response to a request transmitted by the website (S ').
PCT/FR2017/050694 2016-03-25 2017-03-24 Authentication method for authorising access to a website WO2017162995A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1652650 2016-03-25
FR1652650A FR3051091B1 (en) 2016-03-25 2016-03-25 AUTHENTICATION PROCESS FOR AUTHORIZING ACCESS TO A WEBSITE OR ACCESS TO ENCRYPTED DATA

Publications (1)

Publication Number Publication Date
WO2017162995A1 true WO2017162995A1 (en) 2017-09-28

Family

ID=56611328

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2017/050694 WO2017162995A1 (en) 2016-03-25 2017-03-24 Authentication method for authorising access to a website

Country Status (2)

Country Link
FR (1) FR3051091B1 (en)
WO (1) WO2017162995A1 (en)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4405829A (en) 1977-12-14 1983-09-20 Massachusetts Institute Of Technology Cryptographic communications system and method
WO2012000107A1 (en) 2010-07-01 2012-01-05 Absolute Software Corporation Automatic creation and modification of dynamic geofences
US20130036462A1 (en) 2011-08-02 2013-02-07 Qualcomm Incorporated Method and apparatus for using a multi-factor password or a dynamic password for enhanced security on a device
US20130262873A1 (en) 2012-03-30 2013-10-03 Cgi Federal Inc. Method and system for authenticating remote users
US20140230022A1 (en) 2013-02-08 2014-08-14 Pfu Limited Information processing device, computer readable medium, and information processing system
EP2804136A1 (en) 2013-05-16 2014-11-19 Orange Vertical social network
US20150281279A1 (en) 2014-03-28 2015-10-01 Ned M. Smith Systems and Methods to Facilitate Multi-Factor Authentication Policy Enforcement Using One or More Policy Handlers

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4405829A (en) 1977-12-14 1983-09-20 Massachusetts Institute Of Technology Cryptographic communications system and method
WO2012000107A1 (en) 2010-07-01 2012-01-05 Absolute Software Corporation Automatic creation and modification of dynamic geofences
US20130036462A1 (en) 2011-08-02 2013-02-07 Qualcomm Incorporated Method and apparatus for using a multi-factor password or a dynamic password for enhanced security on a device
US20130262873A1 (en) 2012-03-30 2013-10-03 Cgi Federal Inc. Method and system for authenticating remote users
US20140230022A1 (en) 2013-02-08 2014-08-14 Pfu Limited Information processing device, computer readable medium, and information processing system
EP2804136A1 (en) 2013-05-16 2014-11-19 Orange Vertical social network
US20150281279A1 (en) 2014-03-28 2015-10-01 Ned M. Smith Systems and Methods to Facilitate Multi-Factor Authentication Policy Enforcement Using One or More Policy Handlers

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
FÉDÉRAL INFORMATION PROCESSING STANDARDS PUBLICATION 197, 26 November 2001 (2001-11-26)

Also Published As

Publication number Publication date
FR3051091B1 (en) 2021-10-01
FR3051091A1 (en) 2017-11-10

Similar Documents

Publication Publication Date Title
US9887995B2 (en) Locking applications and devices using secure out-of-band channels
CN106063185B (en) Method and apparatus for safely shared data
US20160173501A1 (en) Managing electronic account access control
EP3365732A1 (en) System and method for authentication using a mobile device
EP1549011A1 (en) Communication method and system between a terminal and at least a communication device
US10097666B2 (en) Accessing a service using an encrypted token
US11228913B2 (en) Proximity based user identification and authentication system and method
EP3241137B1 (en) Method carried out in an identity document and corresponding identity document
FR3006082A1 (en) METHOD FOR IMPLEMENTING A RIGHT TO CONTENT
FR2997525A1 (en) METHOD FOR PROVIDING SECURE SERVICE
KR102131976B1 (en) User terminal apparatus and method for providing personal information thereby
WO2020260136A1 (en) Method and system for generating encryption keys for transaction or connection data
FR3047583A1 (en) METHOD OF SECURELY TRANSMITTING AUTHENTICATION INFORMATION BETWEEN SOFTWARE APPLICATIONS IN A COMPUTER TERMINAL
WO2017162995A1 (en) Authentication method for authorising access to a website
EP2813962A1 (en) Method for controlling access to a specific service type and authentication device for controlling access to such a service type.
EP3667530A1 (en) Secure access to encrypted data from a user terminal
WO2024079144A1 (en) Method for managing authentication data allowing a user to access a service from a terminal
CN113439292B (en) System and method for managing trusted applications in computer chip modules
FR3050091A1 (en) METHOD OF MATCHING BETWEEN A CONNECTED DEVICE AND A COMMUNITY
FR2985829A1 (en) Method for communication between computer and smartphone for exchanging e.g. identifier, involves codifying encryption key in code by computer, and reading code by smartphone to retrieve encryption key and open secure communication channel
FR3007929A1 (en) METHOD FOR AUTHENTICATING A USER OF A MOBILE TERMINAL
EP4105798A1 (en) Authentication method, device and corresponding program
EP3926499A1 (en) Method for authenticating a user on a client device
FR3133463A1 (en) Portable and autonomous device for securing data transfer and corresponding method.
FR3090152A1 (en) Resetting an application secret using the terminal

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17719650

Country of ref document: EP

Kind code of ref document: A1

122 Ep: pct application non-entry in european phase

Ref document number: 17719650

Country of ref document: EP

Kind code of ref document: A1