CA2316818A1 - Procede et dispositif de traitement de codes confidentiels - Google Patents
Procede et dispositif de traitement de codes confidentiels Download PDFInfo
- Publication number
- CA2316818A1 CA2316818A1 CA002316818A CA2316818A CA2316818A1 CA 2316818 A1 CA2316818 A1 CA 2316818A1 CA 002316818 A CA002316818 A CA 002316818A CA 2316818 A CA2316818 A CA 2316818A CA 2316818 A1 CA2316818 A1 CA 2316818A1
- Authority
- CA
- Canada
- Prior art keywords
- code
- function
- authorization
- access
- transformation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Abandoned
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1025—Identification of user by a PIN code
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Storage Device Security (AREA)
- Compression, Expansion, Code Conversion, And Decoders (AREA)
- Communication Control (AREA)
- Record Information Processing For Printing (AREA)
Abstract
Procédé de traitement de codes confidentiels dans un système à fonctions sécurisées (180) comprenant les étapes consistant à recevoir un code; vérifier une première habilitation, conditionnée par un premier code, pour accéder à une première fonction (180); autoriser l'accès à la première fonction (180) si la première habilitation est reconnue; et si la première habilitation n'est pas reconnue, utiliser le code afin de vérifier une deuxième habilitation, conditionnée par un deuxième code distinct du premier code, pour déclencher au moins une deuxième fonction (170), en ne révélant pas le fait que le code ne permet pas d'obtenir la première habilitation. Dispositif pour la mise en oeuvre de ce procédé.
Description
Procédé et dispositif de traitement de codes confidentiels L'invention concerne le domaine des dispositifs à codes et des procédés de traitement de codes. Plus précisément, l'invention concerne le domaine des systèmes avec code d'accès confidentiel, notamment, les dispositifs et procédés permettant de sécuriser l'accès à certaines opérations telles que des transactions, en particulier monétiques.
De nombreuses fonctions de sécurité utilisent un code confidentiel.
Ce code, numérique, typiquement de 2 à 12 chiffres, associé à un profil d'identification de titulaire autorisé à détenir ce code, permet au titulaire d'utiliser certaines fonctions protégées, et seule la connaissance du code permet le déverrouillage des fonctions.
La généralisation de ce moyen d'authentification, notamment combinant code et carte à microprocesseur, entraïne le développement d'attaques lors desquelles le titulaire du code, sous la menace, est contraint de révéler son code.
Des solutions ont été cherchées pour tenter d'éviter ces attaques.
Ainsi, le document u Alert pin for personal banking terminais » (IBM
Disclosure Bulletin, vol. 36, n° 5, 1993, pages 309-312) décrit un procédé et un dispositif de traitement de codes confidentiels permettant de donner l'alerte d'une utilisation frauduleuse, sans en avertir le fraudeur, grâce à
l'utilisation d'un code de secours.
Un but de l'invention est de simplifier ce type de dispositifs et de procédés, tout en minimisant les risques encourus par le titulaire d'un code, victime de telles attaques et en conservant la protection des fonctions à
protéger.
Ainsi l'invention propose un procédé de traitement de codes confidentiels dans un système à fonctions sécurisées comprenant les étapes consistant à
- recevoir un code ;
- vérifier une première habilitation, conditionnée par un premier code,
De nombreuses fonctions de sécurité utilisent un code confidentiel.
Ce code, numérique, typiquement de 2 à 12 chiffres, associé à un profil d'identification de titulaire autorisé à détenir ce code, permet au titulaire d'utiliser certaines fonctions protégées, et seule la connaissance du code permet le déverrouillage des fonctions.
La généralisation de ce moyen d'authentification, notamment combinant code et carte à microprocesseur, entraïne le développement d'attaques lors desquelles le titulaire du code, sous la menace, est contraint de révéler son code.
Des solutions ont été cherchées pour tenter d'éviter ces attaques.
Ainsi, le document u Alert pin for personal banking terminais » (IBM
Disclosure Bulletin, vol. 36, n° 5, 1993, pages 309-312) décrit un procédé et un dispositif de traitement de codes confidentiels permettant de donner l'alerte d'une utilisation frauduleuse, sans en avertir le fraudeur, grâce à
l'utilisation d'un code de secours.
Un but de l'invention est de simplifier ce type de dispositifs et de procédés, tout en minimisant les risques encourus par le titulaire d'un code, victime de telles attaques et en conservant la protection des fonctions à
protéger.
Ainsi l'invention propose un procédé de traitement de codes confidentiels dans un système à fonctions sécurisées comprenant les étapes consistant à
- recevoir un code ;
- vérifier une première habilitation, conditionnée par un premier code,
2 pour accéder à une première fonction ;
- autoriser l'accès à la première fonction si la première habilitation est reconnue ;
- utiliser, si la première habilitation n'est pas reconnue, le code afin de vérifier une deuxième habilitation, conditionnée par un deuxième code distinct du premier code, pour déclencher au moins une deuxième fonction en ne révélant pas le faix que le code ne permet pas d'obtenir la première habilitation ;
caractérisé en ce que l'étape de vérification de la deuxième habilitation comprend les opérations consistant à obtenir un nouveau code, par une deuxième transformation inverse d'une première transformation simple permettant au titulaire du premier code d'obtenir le deuxième code à
partir du premier code, et exécuter à nouveau l'étape de vérification de la première habilitation pour tester le nouveau code.
15 Grâce à l'invention, la victime peut révéler à l'agresseur un deuxième code ; grâce au procédé selon l'invention, ce deuxième code est distingué d'un premier code, habilité pour accéder à une première fonction ;
il n'y a alors pas accès à la première fonction qui reste protégée ; mais ce deuxiëme code peut âtre habilité pour déclencher une deuxième fonction 20 qui peut servir de leurre, destiné à détourner l'agresseur du projet d'accéder à la première fonction. L'agresseur détourné de son projet ne cherchera pas à menacer davantage sa victime pour qui les risques encourus se trouvent par conséquent réduits. Néanmoins ce procédé reste simple à mettre en oeuvre, puisque l'étape de vérification de la première habilitation est 25 commune au test du code entré directement dans le système à fonctions sécurisées et au test du code obtenu après la deuxième transformation.
Avantageusement, la première fonction du procédé selon l'invention est une transaction bancaire.
Avantageusement, les étapes du procédé selon l'invention, 30 consistant à vérifier tes première et deuxième habilitations, font intervenir une carte à microprocesseur.
- autoriser l'accès à la première fonction si la première habilitation est reconnue ;
- utiliser, si la première habilitation n'est pas reconnue, le code afin de vérifier une deuxième habilitation, conditionnée par un deuxième code distinct du premier code, pour déclencher au moins une deuxième fonction en ne révélant pas le faix que le code ne permet pas d'obtenir la première habilitation ;
caractérisé en ce que l'étape de vérification de la deuxième habilitation comprend les opérations consistant à obtenir un nouveau code, par une deuxième transformation inverse d'une première transformation simple permettant au titulaire du premier code d'obtenir le deuxième code à
partir du premier code, et exécuter à nouveau l'étape de vérification de la première habilitation pour tester le nouveau code.
15 Grâce à l'invention, la victime peut révéler à l'agresseur un deuxième code ; grâce au procédé selon l'invention, ce deuxième code est distingué d'un premier code, habilité pour accéder à une première fonction ;
il n'y a alors pas accès à la première fonction qui reste protégée ; mais ce deuxiëme code peut âtre habilité pour déclencher une deuxième fonction 20 qui peut servir de leurre, destiné à détourner l'agresseur du projet d'accéder à la première fonction. L'agresseur détourné de son projet ne cherchera pas à menacer davantage sa victime pour qui les risques encourus se trouvent par conséquent réduits. Néanmoins ce procédé reste simple à mettre en oeuvre, puisque l'étape de vérification de la première habilitation est 25 commune au test du code entré directement dans le système à fonctions sécurisées et au test du code obtenu après la deuxième transformation.
Avantageusement, la première fonction du procédé selon l'invention est une transaction bancaire.
Avantageusement, les étapes du procédé selon l'invention, 30 consistant à vérifier tes première et deuxième habilitations, font intervenir une carte à microprocesseur.
3 Avantageusement, ladite première transformation simple du procédé
selon l'invention est réalisée par un décalage élémentaire d'un caractère du premier code.
Avantageusement, le procédé selon l'invention, comprend en outre une étape d'invalidation, si l'étape consistant à vérifier la première habilitation a été testée plus d'un nombre déterminé de fois sans succès.
Avantageusement, la deuxième fonction, du procédé selon l'invention, consiste à afficher un message choisi aléatoirement parmi plusieurs messages indiquant que l'accès à la première fonction n'est pas possible, sans toutefois spécifier que le code n'est pas celui permettant d'obtenir la première habilitation.
Avantageusement, la deuxième transformation simple du procédé
selon l'invention est fonction de paramètres accessibles sur fa carte à
microprocesseur.
Selon un autre aspect, l'invention est un dispositif de contrôle d'accès à des fonctions sécurisées, à code confidentiel.
Avantageusement, ce dispositif comprend - des moyens pour recevoir un code ;
- des moyens pour vérifier avec ce code une première habilitation, conditionnée par un premier code, pour accéder à une première fonction ;
- des moyens pour autoriser l'accès à la première fonction si l'habilitation est reconnue ; et - des moyens pour utiliser, si l'accès à la première fonction est refusé, le code pour vérifier une deuxième habilitation conditionnée par un deuxième code distinct du premier code pour déclencher au moins une deuxième fonction en ne révélant pas le fait que le code ne permet pas d'obtenir la première habilitation ;
et il est caractérisé en ce que les moyens pour vérifier la deuxième habilitation permettent les opérations consistant à obtenir un nouveau code, par une deuxième transformation inverse d'une première transformation simple permettant au titulaire du premier code d'obtenir le deuxième code à
selon l'invention est réalisée par un décalage élémentaire d'un caractère du premier code.
Avantageusement, le procédé selon l'invention, comprend en outre une étape d'invalidation, si l'étape consistant à vérifier la première habilitation a été testée plus d'un nombre déterminé de fois sans succès.
Avantageusement, la deuxième fonction, du procédé selon l'invention, consiste à afficher un message choisi aléatoirement parmi plusieurs messages indiquant que l'accès à la première fonction n'est pas possible, sans toutefois spécifier que le code n'est pas celui permettant d'obtenir la première habilitation.
Avantageusement, la deuxième transformation simple du procédé
selon l'invention est fonction de paramètres accessibles sur fa carte à
microprocesseur.
Selon un autre aspect, l'invention est un dispositif de contrôle d'accès à des fonctions sécurisées, à code confidentiel.
Avantageusement, ce dispositif comprend - des moyens pour recevoir un code ;
- des moyens pour vérifier avec ce code une première habilitation, conditionnée par un premier code, pour accéder à une première fonction ;
- des moyens pour autoriser l'accès à la première fonction si l'habilitation est reconnue ; et - des moyens pour utiliser, si l'accès à la première fonction est refusé, le code pour vérifier une deuxième habilitation conditionnée par un deuxième code distinct du premier code pour déclencher au moins une deuxième fonction en ne révélant pas le fait que le code ne permet pas d'obtenir la première habilitation ;
et il est caractérisé en ce que les moyens pour vérifier la deuxième habilitation permettent les opérations consistant à obtenir un nouveau code, par une deuxième transformation inverse d'une première transformation simple permettant au titulaire du premier code d'obtenir le deuxième code à
4 partir du premier code, et exécuter à nouveau l'étape de vérification de la première habilitation pour tester ie nouveau code.
Avantageusement, le dispositif selon l'invention est un terminal pour carte bancaire.
Avantageusement, le dispositif selon l'invention est utilisé pour sécuriser une transaction bancaire.
Avantageusement, les étapes consistant à vérifier les premières et deuxièmes habilitations font intervenir un profil d'utilisateur enregistré
numériquement.
Avantageusement, les moyens du dispositif selon l'invention, pour vérifier les première et deuxième habilitations, font intervenir une carte à
microprocesseur.
Avantageusement, ladite transformation simple du dispositif selon l'invention, est réalisée par un décalage élémentaire d'un caractère du premier code.
Avantageusement, le dispositif selon l'invention comprend en outre des moyens d'invalidation mis en oeuvre si la première habilitation a été
testée plus d'un nombre déterminé de fois sans succès.
Avantageusement, la deuxième fonction du dispositif selon l'invention est réalisée par des moyens qui affichent un message choisi aléatoirement parmi plusieurs messages indiquant que (accès à la première fonction n'est pas possible, sans toutefois spécifier que le code n'est pas celui permettant d'obtenir la première habilitation.
Avantageusement, la deuxième transformation simple du dispositif selon l'invention est fonction de paramètres accessibles sur la carte à
microprocesseur.
On comprendra mieux l'invention à l'aide de la description détaillée qui suit et des dessins joints sur lesquels - la figure 1 est un diagramme représentant schématiquement les principales unités composant un dispositif particulier pour la mise en oeuvre de l'invention ; et - la figure 2 est un synopsis de l'ensemble des étapes d'un exemple de mise en aeuvre du procédé selon l'invention.
Dans un mode privilégié, mais non limitatif, de réalisation du dispositif selon l'invention, celui-ci est un distributeur automatique de billets.
Avantageusement, le dispositif selon l'invention est un terminal pour carte bancaire.
Avantageusement, le dispositif selon l'invention est utilisé pour sécuriser une transaction bancaire.
Avantageusement, les étapes consistant à vérifier les premières et deuxièmes habilitations font intervenir un profil d'utilisateur enregistré
numériquement.
Avantageusement, les moyens du dispositif selon l'invention, pour vérifier les première et deuxième habilitations, font intervenir une carte à
microprocesseur.
Avantageusement, ladite transformation simple du dispositif selon l'invention, est réalisée par un décalage élémentaire d'un caractère du premier code.
Avantageusement, le dispositif selon l'invention comprend en outre des moyens d'invalidation mis en oeuvre si la première habilitation a été
testée plus d'un nombre déterminé de fois sans succès.
Avantageusement, la deuxième fonction du dispositif selon l'invention est réalisée par des moyens qui affichent un message choisi aléatoirement parmi plusieurs messages indiquant que (accès à la première fonction n'est pas possible, sans toutefois spécifier que le code n'est pas celui permettant d'obtenir la première habilitation.
Avantageusement, la deuxième transformation simple du dispositif selon l'invention est fonction de paramètres accessibles sur la carte à
microprocesseur.
On comprendra mieux l'invention à l'aide de la description détaillée qui suit et des dessins joints sur lesquels - la figure 1 est un diagramme représentant schématiquement les principales unités composant un dispositif particulier pour la mise en oeuvre de l'invention ; et - la figure 2 est un synopsis de l'ensemble des étapes d'un exemple de mise en aeuvre du procédé selon l'invention.
Dans un mode privilégié, mais non limitatif, de réalisation du dispositif selon l'invention, celui-ci est un distributeur automatique de billets.
5 Comme représenté sur la figure 1, il comprend de façon classique en soi une unité centrale 1 qui traite et échange des informations avec un lecteur 2 de cartes bancaires 10, et un clavier 3 (ou tout autre dispositif interactif de saisie), pour commander un mécanisme distributeur 4 de billets, le lecteur 2. de cartes bancaires 10 et produire des messages affichés sur un écran 5.
10 Le traitement des informations et la commande des mécanismes composant le dispositif selon l'invention par l'unité centrale 1, s'appuie sur des échanges avec une unité de mémoire 6.
Une carte 10 est munie d'un microprocesseur. Ce microprocesseur correspond à un profil de titulaire autorisé à détenir un premier code.
15 Le titulaire détient aussi un deuxième code qui sera utilisé comme code de secours de la manière qui sera exposée plus loin.
L'utilisateur détient donc deux codes. Le premier code est son code confidentiel usuel, habilité pour accéder à une première fonction, en l'occurrence, pour l'exemple décrit ici, une transaction monétique du type 20 distribution automatique de billets.
Le deuxième code est un code de secours. II peut être révélé par un utilisateur menacé par un agresseur à la place de son code confidentiel.
Ce deuxième code est facilement mémorisable et est obtenu par une première transformation arithmétique simple à partir du premier.
25 Préférentiellement, le deuxième code ne diffère du premier code que par un chiffre, lequel chiffre est avantageusement modifié seulement de plus 1 ou moins 1 par rapport au chiffre de mëme rang dans les premier et deuxième codes.
Préférentiellement, aussi, le dispositif selon l'invention est mis en 30 oeuvre suivant le procédé suivant, décrit en référence en la figure 2.
Lorsqu'un utilisateur souhaite obtenir une première fonction 180, en
10 Le traitement des informations et la commande des mécanismes composant le dispositif selon l'invention par l'unité centrale 1, s'appuie sur des échanges avec une unité de mémoire 6.
Une carte 10 est munie d'un microprocesseur. Ce microprocesseur correspond à un profil de titulaire autorisé à détenir un premier code.
15 Le titulaire détient aussi un deuxième code qui sera utilisé comme code de secours de la manière qui sera exposée plus loin.
L'utilisateur détient donc deux codes. Le premier code est son code confidentiel usuel, habilité pour accéder à une première fonction, en l'occurrence, pour l'exemple décrit ici, une transaction monétique du type 20 distribution automatique de billets.
Le deuxième code est un code de secours. II peut être révélé par un utilisateur menacé par un agresseur à la place de son code confidentiel.
Ce deuxième code est facilement mémorisable et est obtenu par une première transformation arithmétique simple à partir du premier.
25 Préférentiellement, le deuxième code ne diffère du premier code que par un chiffre, lequel chiffre est avantageusement modifié seulement de plus 1 ou moins 1 par rapport au chiffre de mëme rang dans les premier et deuxième codes.
Préférentiellement, aussi, le dispositif selon l'invention est mis en 30 oeuvre suivant le procédé suivant, décrit en référence en la figure 2.
Lorsqu'un utilisateur souhaite obtenir une première fonction 180, en
6 l'occurrence la distribution de billets de la part du dispositif selon l'invention, il introduit sa carte 10 dans le lecteur 2 et compose un code sur le clavier 3.
L'unité centrale 1 commence alors au début 100 une procédure de test, avec des étapes se succédant comme indiqué ci-dessous.
Suit une étape de lecture du profil de l'utilisateur et de réinitialisation 105 du décompte du nombre de fois où le code est composé.
Un indicateur 110 témoignant du fait que le code n'a pas encore été
transformé est généré.
Vient alors l'étape de saisie 115 du code.
Le code est testé, par un test de code 120 pour vérifier une première habilitation.
Si le test 120 donne un résultat négatif, c'est que le code fourni au dispositif selon l'invention ne correspond pas au premier code détenu par l'utilisateur, c'est à dire son code confidentiel. Un premier test d'indicateur 15 130 est alors effectué. Si l'indicateur témoigne du fait que le code n'a pas encore été transformé, l'unité centrale 1 engage un test de deuxième habilitation et procède à une dérivation 140 d'une deuxième transformation, inverse d'une première transformation simple permettant au titulaire d'un premier code d'obtenir un deuxième code (son code de secours) à partir du premier code.
Un indicateur 145 témoignant du fait que la dérivation 140 a été
effectuée, est généré.
Ce code obtenu par la dérivation 140 est utilisé pour reproduire l'étape de vérifcation de la première habilitation, au niveau du test de code 25 120. Si après la dérivation 140, le code obtenu ne correspond toujours pas au premier code (code confidentiel usuel), c'est que le code introduit au début 100 n'était pas le deuxième code (code de secours). II peut s'agir, par exemple, d'une erreur de frappe de la part de l'utilisateur. La procédure se poursuit en recommençant le premier test d'indicateur 130. Mais cette fois-30 ci, le test d'indicateur 130 détecte qu'une deuxième habilitation a déjà
été
testée (T=1 ). La procédure se poursuit donc par un traitement de code
L'unité centrale 1 commence alors au début 100 une procédure de test, avec des étapes se succédant comme indiqué ci-dessous.
Suit une étape de lecture du profil de l'utilisateur et de réinitialisation 105 du décompte du nombre de fois où le code est composé.
Un indicateur 110 témoignant du fait que le code n'a pas encore été
transformé est généré.
Vient alors l'étape de saisie 115 du code.
Le code est testé, par un test de code 120 pour vérifier une première habilitation.
Si le test 120 donne un résultat négatif, c'est que le code fourni au dispositif selon l'invention ne correspond pas au premier code détenu par l'utilisateur, c'est à dire son code confidentiel. Un premier test d'indicateur 15 130 est alors effectué. Si l'indicateur témoigne du fait que le code n'a pas encore été transformé, l'unité centrale 1 engage un test de deuxième habilitation et procède à une dérivation 140 d'une deuxième transformation, inverse d'une première transformation simple permettant au titulaire d'un premier code d'obtenir un deuxième code (son code de secours) à partir du premier code.
Un indicateur 145 témoignant du fait que la dérivation 140 a été
effectuée, est généré.
Ce code obtenu par la dérivation 140 est utilisé pour reproduire l'étape de vérifcation de la première habilitation, au niveau du test de code 25 120. Si après la dérivation 140, le code obtenu ne correspond toujours pas au premier code (code confidentiel usuel), c'est que le code introduit au début 100 n'était pas le deuxième code (code de secours). II peut s'agir, par exemple, d'une erreur de frappe de la part de l'utilisateur. La procédure se poursuit en recommençant le premier test d'indicateur 130. Mais cette fois-30 ci, le test d'indicateur 130 détecte qu'une deuxième habilitation a déjà
été
testée (T=1 ). La procédure se poursuit donc par un traitement de code
7 erroné 150 semblable à ceux connus de l'homme du métier. Plus particulièrement, un test du nombre de fois où le code a été composé 190 est effectué. Si ce nombre est égal à 3, par exemple, une étape d'invalidation 200 est effectuée pour mettre fin 210 à la procédure. Si ce 5 nombre est inférieur à 3, il est demandé à l'utilisateur s'il souhaite un abandon 220 de la procédure. Si c'est le cas, la procédure prend fin 210, sinon le code doit être ressaisi après que l'indicateur 110 ait été
réinitialisé.
Si le test de code 120 donne un résultat positif, un deuxième test 160 de l'indicateur est effectué. Si !'indicateur témoigne du fait que le code n'a 10 pas été transformé, l'utilisateur a accès à la fonction protégée 180 (par exemple la distribution de billets). Si l'indicateur témoigne du fait que le code a déjà été transformé, c'est que le code ayant passé avec succès le test de première habilitation, avait préalablement subi la dérivation 140. Le code entré au début 100 de la procédure était donc le code de secours. La 15 procédure se poursuit alors par une deuxième fonction 170, en l'occurrence, une transaction de secours 170, qui peut ëtre une fonction leurre.
La deuxième fonction 170 correspond pour l'exemple décrit ici à une transaction de secours qui peut recouvrir plusieurs solutions.
Une solution peut consister à afficher sur l'écran 3, un message 20 choisi aléatoirement parmi plusieurs messages indiquant que l'accès à la première fonction 180 n'est pas possible, sans toutefois spécifier que le code fourni au dispositif selon l'invention n'est pas celui permettant d'obtenir la première habilitation.
Par exemple, le message sera du type «transaction momentanément 25 indisponible » ou «crédit insuffisant » ou encore n'importe quel autre des messages courants utilisés pour indiquer un incident de fonctionnement d'un guichet automatique bancaire ou un dysfonctionnement du compte du titulaire.
Selon une autre solution, la procédure normale de distribution de billets 30 sera initiée, par exemple en demandant quelle somme est désirée, puis si l'utilisateur souhaite un reçu, mais une panne sera simulée et la somme
réinitialisé.
Si le test de code 120 donne un résultat positif, un deuxième test 160 de l'indicateur est effectué. Si !'indicateur témoigne du fait que le code n'a 10 pas été transformé, l'utilisateur a accès à la fonction protégée 180 (par exemple la distribution de billets). Si l'indicateur témoigne du fait que le code a déjà été transformé, c'est que le code ayant passé avec succès le test de première habilitation, avait préalablement subi la dérivation 140. Le code entré au début 100 de la procédure était donc le code de secours. La 15 procédure se poursuit alors par une deuxième fonction 170, en l'occurrence, une transaction de secours 170, qui peut ëtre une fonction leurre.
La deuxième fonction 170 correspond pour l'exemple décrit ici à une transaction de secours qui peut recouvrir plusieurs solutions.
Une solution peut consister à afficher sur l'écran 3, un message 20 choisi aléatoirement parmi plusieurs messages indiquant que l'accès à la première fonction 180 n'est pas possible, sans toutefois spécifier que le code fourni au dispositif selon l'invention n'est pas celui permettant d'obtenir la première habilitation.
Par exemple, le message sera du type «transaction momentanément 25 indisponible » ou «crédit insuffisant » ou encore n'importe quel autre des messages courants utilisés pour indiquer un incident de fonctionnement d'un guichet automatique bancaire ou un dysfonctionnement du compte du titulaire.
Selon une autre solution, la procédure normale de distribution de billets 30 sera initiée, par exemple en demandant quelle somme est désirée, puis si l'utilisateur souhaite un reçu, mais une panne sera simulée et la somme
8 demandée ne sera pas délivrée.
Selon une autre solution, il sera délivré une somme, mais limitée, par exemple, .à celle minimale pouvant être distribuée.
Par ailleurs, la deuxième transformation 140 simple permet de retrouver le premier code (code confidentiel usuel) à partir du deuxième code (code de secours). Avantageusement, cette deuxième transformation 140 simple est variable, en fonction par exemple de paramètres accessibles sur la cârte à microprocesseur. Par exemple, pour un certain organisme bancaire, la deuxième transformation 140 peut consister à incrémenter de 1 le chiffre du deuxième rang du code, alors que pour un autre organisme, la transformation consistera à retrancher une unité au chiffre du dernier rang.
La deuxième transformation 140, et notamment le sens de variation sur un chiffre, peut aussi dépendre de la nature paire ou impaire du nombre constituant le cccode de banque », le ~ccode de guichet ~, etc.
De nombreuses autres possibilités peuvent ëtre envisagées.
Un autre avantage de l'invention dans sa forme décrite ci-dessus est qu'il n'est nécessaire de tester qu'un seul code au niveau du microprocesseur de la carte 10. Les cartes 10 utilisées actuellement sont donc compatibles avec cette forme de réalisation de l'invention et il n'est aucunement nécessaire de changer les cartes 10 déjà en circulation.
On comprendra tout de même qu'il est possible d'utiliser des cartes 10 permettant de tester le premier code et le deuxième code, indépendamment l'un de l'autre, et sans effectuer la deuxième transformation 140, sans s'écarter de l'esprit de l'invention.
On comprendra aussi qu'il a été utilisé pour la description détaillée ci-dessus l'exemple des dispositifs de type distributeur de billets, mais que !'invention s'applique également aux terminaux de paiement par carte bancaire ainsi qu'à tout type de système à fonction sécurisée 180, comme certains dispositifs informatiques, certains sites militaires, industriels, etc..
Au lieu de tester le code composé en combinaison avec une carte 10 à
microprocesseur, pour accéder aux systèmes à fonction sécurisée 180, on
Selon une autre solution, il sera délivré une somme, mais limitée, par exemple, .à celle minimale pouvant être distribuée.
Par ailleurs, la deuxième transformation 140 simple permet de retrouver le premier code (code confidentiel usuel) à partir du deuxième code (code de secours). Avantageusement, cette deuxième transformation 140 simple est variable, en fonction par exemple de paramètres accessibles sur la cârte à microprocesseur. Par exemple, pour un certain organisme bancaire, la deuxième transformation 140 peut consister à incrémenter de 1 le chiffre du deuxième rang du code, alors que pour un autre organisme, la transformation consistera à retrancher une unité au chiffre du dernier rang.
La deuxième transformation 140, et notamment le sens de variation sur un chiffre, peut aussi dépendre de la nature paire ou impaire du nombre constituant le cccode de banque », le ~ccode de guichet ~, etc.
De nombreuses autres possibilités peuvent ëtre envisagées.
Un autre avantage de l'invention dans sa forme décrite ci-dessus est qu'il n'est nécessaire de tester qu'un seul code au niveau du microprocesseur de la carte 10. Les cartes 10 utilisées actuellement sont donc compatibles avec cette forme de réalisation de l'invention et il n'est aucunement nécessaire de changer les cartes 10 déjà en circulation.
On comprendra tout de même qu'il est possible d'utiliser des cartes 10 permettant de tester le premier code et le deuxième code, indépendamment l'un de l'autre, et sans effectuer la deuxième transformation 140, sans s'écarter de l'esprit de l'invention.
On comprendra aussi qu'il a été utilisé pour la description détaillée ci-dessus l'exemple des dispositifs de type distributeur de billets, mais que !'invention s'applique également aux terminaux de paiement par carte bancaire ainsi qu'à tout type de système à fonction sécurisée 180, comme certains dispositifs informatiques, certains sites militaires, industriels, etc..
Au lieu de tester le code composé en combinaison avec une carte 10 à
microprocesseur, pour accéder aux systèmes à fonction sécurisée 180, on
9 peut envisager de le tester en combinaison avec un nom d'utilisateur, ou n'importe quel autre élément de profil d'utilisateur.
La deuxième fonction 170 décrite ci-dessus est une fonction de leurre simulant un dysfonctionnement du système à protéger. II pourrait ëtre 5 envisagé dans d'autres cas, comme deuxième fonction 170, le déclenchement d'un signal d'alerte, l'émission de gaz de défense, etc.
La deuxième fonction 170 décrite ci-dessus est une fonction de leurre simulant un dysfonctionnement du système à protéger. II pourrait ëtre 5 envisagé dans d'autres cas, comme deuxième fonction 170, le déclenchement d'un signal d'alerte, l'émission de gaz de défense, etc.
Claims (16)
1. Procédé de traitement de codes confidentiels dans un système à
fonctions sécurisées (180) comprenant les étapes consistant à:
- recevoir un code ;
- vérifier une première habilitation, conditionnée par un premier code, pour accéder à une première fonction (180) ;
- autoriser l'accès à la première fonction (180) si la première habilitation est reconnue ;
- utiliser, si la première habilitation n'est pas reconnue, le code afin de vérifier une deuxième habilitation, conditionnée par un deuxième code distinct du premier code, pour déclencher au moins une deuxième fonction (170) en ne révélant pas le fait que le code ne permet pas d'obtenir la première habilitation ;
caractérisé en ce que l'étape de vérification de la deuxième habilitation comprend les opérations consistant à obtenir un nouveau code, par une deuxième transformation (140) inverse d'une première transformation simple permettant au titulaire du premier code d'obtenir le deuxième code à partir du premier code, et exécuter à nouveau l'étape de vérification de la première habilitation pour tester le nouveau code.
fonctions sécurisées (180) comprenant les étapes consistant à:
- recevoir un code ;
- vérifier une première habilitation, conditionnée par un premier code, pour accéder à une première fonction (180) ;
- autoriser l'accès à la première fonction (180) si la première habilitation est reconnue ;
- utiliser, si la première habilitation n'est pas reconnue, le code afin de vérifier une deuxième habilitation, conditionnée par un deuxième code distinct du premier code, pour déclencher au moins une deuxième fonction (170) en ne révélant pas le fait que le code ne permet pas d'obtenir la première habilitation ;
caractérisé en ce que l'étape de vérification de la deuxième habilitation comprend les opérations consistant à obtenir un nouveau code, par une deuxième transformation (140) inverse d'une première transformation simple permettant au titulaire du premier code d'obtenir le deuxième code à partir du premier code, et exécuter à nouveau l'étape de vérification de la première habilitation pour tester le nouveau code.
2. Procédé selon la revendication 1, caractérisé par le fait que ladite première transformation simple est réalisée par un décalage élémentaire d'un caractère du premier code.
3. Procédé selon l'une des revendications précédentes, caractérisé
par le fait que les étapes consistant à vérifier les première et deuxième habilitations font intervenir un profil d'utilisateur enregistré
numériquement.
par le fait que les étapes consistant à vérifier les première et deuxième habilitations font intervenir un profil d'utilisateur enregistré
numériquement.
4. Procédé selon l'une des revendications précédentes caractérisé
par le fait que la deuxième fonction (170) consiste à afficher un message choisi aléatoirement parmi plusieurs messages indiquant que l'accès à la première fonction (180) n'est pas possible, sans toutefois spécifier que le code n'est pas celui permettant d'obtenir la première habilitation.
par le fait que la deuxième fonction (170) consiste à afficher un message choisi aléatoirement parmi plusieurs messages indiquant que l'accès à la première fonction (180) n'est pas possible, sans toutefois spécifier que le code n'est pas celui permettant d'obtenir la première habilitation.
5. Procédé selon l'une des revendications précédentes, caractérisé
par le fait que la première fonction (180) est une transaction bancaire.
par le fait que la première fonction (180) est une transaction bancaire.
6. Procédé selon l'une des revendications précédentes, caractérisé
en ce qu'il comprend en outre une étape d'invalidation (200) si l'étape consistant à vérifier la première habilitation a été testée plus d'un nombre déterminé de fois sans succès.
en ce qu'il comprend en outre une étape d'invalidation (200) si l'étape consistant à vérifier la première habilitation a été testée plus d'un nombre déterminé de fois sans succès.
7. Procédé selon l'une des revendications précédentes, caractérisé
par le fait que les étapes consistant à vérifier les première et deuxième habilitations, font intervenir une carte (10) à microprocesseur.
par le fait que les étapes consistant à vérifier les première et deuxième habilitations, font intervenir une carte (10) à microprocesseur.
8. Procédé selon la revendication 7 caractérisé par le fait que la deuxième transformation (140) simple est fonction de paramètres accessibles sur la carte (10) à microprocesseur.
9. Dispositif de contrôle d'accès à des fonctions sécurisées (180), à
code, comprenant - des moyens pour recevoir un code;
- des moyens pour vérifier avec ce code une première habilitation, conditionnée par un premier code, pour accéder â une première fonction (180);
- des moyens pour autoriser l'accès à la première fonction (180) si l'habilitation est reconnue; et - des moyens pour utiliser, si l'accès à la première fonction (180) est refusé, le code pour vérifier une deuxième habilitation conditionnée par un deuxième code distinct du premier code pour déclencher au moins une deuxième fonction (170) en ne révélant pas le fait que le code ne permet pas d'obtenir la première habilitation ;
caractérisé en ce que les moyens pour vérifier la deuxième habilitation permettent les opérations consistant à obtenir un nouveau code, par une deuxième transformation (140) inverse d'une première transformation simple permettant au titulaire du premier code d'obtenir le deuxième code à partir du premier code, et exécuter à nouveau l'étape de vérification de la première habilitation pour tester le nouveau code.
code, comprenant - des moyens pour recevoir un code;
- des moyens pour vérifier avec ce code une première habilitation, conditionnée par un premier code, pour accéder â une première fonction (180);
- des moyens pour autoriser l'accès à la première fonction (180) si l'habilitation est reconnue; et - des moyens pour utiliser, si l'accès à la première fonction (180) est refusé, le code pour vérifier une deuxième habilitation conditionnée par un deuxième code distinct du premier code pour déclencher au moins une deuxième fonction (170) en ne révélant pas le fait que le code ne permet pas d'obtenir la première habilitation ;
caractérisé en ce que les moyens pour vérifier la deuxième habilitation permettent les opérations consistant à obtenir un nouveau code, par une deuxième transformation (140) inverse d'une première transformation simple permettant au titulaire du premier code d'obtenir le deuxième code à partir du premier code, et exécuter à nouveau l'étape de vérification de la première habilitation pour tester le nouveau code.
10. Dispositif selon la revendication 9 caractérisé par le fait que ladite première transformation simple est réalisée par un décalage élémentaire d'un caractère du premier code.
11. Dispositif selon l'une quelconque des revendications 9 et 10, caractérisé par le fait qu'il est utilisé pour sécuriser une transaction bancaire.
12. Dispositif selon l'une quelconque des revendications 9 à 11, caractérisé par le fait que la deuxième fonction (170) est réalisée par des moyens qui affichent un message choisi aléatoirement parmi plusieurs messages indiquant que l'accès à la première fonction (180) n'est pas possible, sans toutefois spécifier que le code n'est pas celui permettant d'obtenir la première habilitation.
13. Dispositif selon l'une des revendications 9 à 12, caractérisé en ce qu'il est un terminal pour carte bancaire.
14. Dispositif selon l'une des revendications 9 à 13, caractérisé en ce qu'il comprend en outre des moyens d'invalidation mis en oeuvre si la première habilitation a été testée plus d'un nombre déterminé de fois sans succès.
15. Dispositif selon l'une des revendications 9 à 14, caractérisé par le fait que les moyens pour vérifier les première et deuxième habilitations, font intervenir une carte (10) à microprocesseur.
16. Dispositif selon la revendication 15, caractérisé par le fait que la deuxième transformation (140) simple est fonction de paramètres accessibles sur la carte (10) à microprocesseur.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR9716786A FR2773250B1 (fr) | 1997-12-31 | 1997-12-31 | Procede et dispositif de traitement de codes confidentiels |
| FR97/16786 | 1997-12-31 | ||
| PCT/FR1998/002918 WO1999035621A1 (fr) | 1997-12-31 | 1998-12-30 | Procede et dispositif de traitement de codes confidentiels |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CA2316818A1 true CA2316818A1 (fr) | 1999-07-15 |
Family
ID=9515368
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CA002316818A Abandoned CA2316818A1 (fr) | 1997-12-31 | 1998-12-30 | Procede et dispositif de traitement de codes confidentiels |
Country Status (9)
| Country | Link |
|---|---|
| EP (1) | EP1044435B1 (fr) |
| AT (1) | ATE227454T1 (fr) |
| CA (1) | CA2316818A1 (fr) |
| DE (1) | DE69809292T2 (fr) |
| DK (1) | DK1044435T3 (fr) |
| ES (1) | ES2186249T3 (fr) |
| FR (1) | FR2773250B1 (fr) |
| PT (1) | PT1044435E (fr) |
| WO (1) | WO1999035621A1 (fr) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2874440B1 (fr) | 2004-08-17 | 2008-04-25 | Oberthur Card Syst Sa | Procede et dispositif de traitement de donnees |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3633167A (en) * | 1970-05-25 | 1972-01-04 | Phinizy R B | Security system |
| JPS59151261A (ja) * | 1983-02-18 | 1984-08-29 | Fujitsu Ltd | 取引保障方式 |
| WO1993023830A1 (fr) * | 1992-05-08 | 1993-11-25 | Wesco Software Limited | Authentification de l'identite d'une personne autorisee |
| US5354974A (en) * | 1992-11-24 | 1994-10-11 | Base 10 Systems, Inc. | Automatic teller system and method of operating same |
| NL9202113A (nl) * | 1992-12-07 | 1994-07-01 | Nederland Ptt | Werkwijze voor het beveiligen van een smart card systeem. |
-
1997
- 1997-12-31 FR FR9716786A patent/FR2773250B1/fr not_active Expired - Fee Related
-
1998
- 1998-12-30 PT PT98964554T patent/PT1044435E/pt unknown
- 1998-12-30 AT AT98964554T patent/ATE227454T1/de not_active IP Right Cessation
- 1998-12-30 EP EP98964554A patent/EP1044435B1/fr not_active Expired - Lifetime
- 1998-12-30 DE DE69809292T patent/DE69809292T2/de not_active Expired - Fee Related
- 1998-12-30 CA CA002316818A patent/CA2316818A1/fr not_active Abandoned
- 1998-12-30 WO PCT/FR1998/002918 patent/WO1999035621A1/fr active IP Right Grant
- 1998-12-30 ES ES98964554T patent/ES2186249T3/es not_active Expired - Lifetime
- 1998-12-30 DK DK98964554T patent/DK1044435T3/da active
Also Published As
| Publication number | Publication date |
|---|---|
| FR2773250A1 (fr) | 1999-07-02 |
| DK1044435T3 (da) | 2003-03-03 |
| ATE227454T1 (de) | 2002-11-15 |
| EP1044435B1 (fr) | 2002-11-06 |
| WO1999035621A1 (fr) | 1999-07-15 |
| EP1044435A1 (fr) | 2000-10-18 |
| DE69809292D1 (de) | 2002-12-12 |
| DE69809292T2 (de) | 2003-07-17 |
| PT1044435E (pt) | 2003-03-31 |
| FR2773250B1 (fr) | 2000-03-10 |
| ES2186249T3 (es) | 2003-05-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5534683A (en) | System for conducting transactions with a multifunctional card having an electronic purse | |
| EP0055986B1 (fr) | Procédé et dispositif de sécurité pour communication tripartite de données confidentielles | |
| Anderson | Liability and computer security: Nine principles | |
| CA2124891C (fr) | Procede d'authentification d'un objet portatif par un terminal hors ligne, object portatif et terminal correspondants | |
| CA1118896A (fr) | Systeme de securite pour caisse distributrice a distance | |
| CA2281816C (fr) | Procede de verification d'autorisation | |
| EP0426541B1 (fr) | Procédé de protection contre l'utilisation frauduleuse de cartes à microprocesseur, et dispositif de mise en oeuvre | |
| US20070110282A1 (en) | Protecting social security numbers from identity theft | |
| US20050086166A1 (en) | Systems and methods for fraud management in relation to stored value cards | |
| JP2010086552A (ja) | 電子取引および電子送信の承認のためのトークンレス識別システム | |
| FR2854303A1 (fr) | Procede de securisation d'un terminal mobile et applications de procede, l'execution d'applications necessitant un niveau de securite eleve | |
| HUE032360T2 (en) | Procedures and systems for secure user authentication | |
| EP1055203B1 (fr) | Protocole de controle d'acces entre une cle et une serrure electronique | |
| EP1129438A1 (fr) | Procede d'authentification entre une carte a memoire et un terminal | |
| CN111625803B (zh) | 用于电信业务防越权访问的端到端验证方法及系统 | |
| EP1460593A1 (fr) | Terminal de paiement securise | |
| EP1266364A1 (fr) | Procede cryptographique de protection contre la fraude | |
| EP1044435B1 (fr) | Procede et dispositif de traitement de codes confidentiels | |
| FR2757972A1 (fr) | Procede de securisation d'un module de securite, et module de securite associe | |
| Fairweather et al. | Technical options report | |
| CN111552985B (zh) | 一种信息核验方法和装置 | |
| EP2016700B1 (fr) | Procede d'activation d'un terminal | |
| McNulty | Encryption's importance to economic and infrastructure security | |
| KR100830969B1 (ko) | Otp를 이용한 금융거래 방법 및 시스템 | |
| Saket et al. | ATM reliability and risk assessment issues based on fraud, security and safety |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| EEER | Examination request | ||
| FZDE | Discontinued |