EP2577542A1 - Procede de securisation de donnees numeriques et d'identites notamment au sein de processus utilisant des technologies de l'information et de la communication - Google Patents

Procede de securisation de donnees numeriques et d'identites notamment au sein de processus utilisant des technologies de l'information et de la communication

Info

Publication number
EP2577542A1
EP2577542A1 EP11725626.3A EP11725626A EP2577542A1 EP 2577542 A1 EP2577542 A1 EP 2577542A1 EP 11725626 A EP11725626 A EP 11725626A EP 2577542 A1 EP2577542 A1 EP 2577542A1
Authority
EP
European Patent Office
Prior art keywords
receiver
authority
author
protocol
dogging
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP11725626.3A
Other languages
German (de)
English (en)
Inventor
Philippe Laurier
Michel Riguidel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telecom ParisTech
Institut Mines Telecom IMT
Original Assignee
Telecom ParisTech
Institut Mines Telecom IMT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telecom ParisTech, Institut Mines Telecom IMT filed Critical Telecom ParisTech
Publication of EP2577542A1 publication Critical patent/EP2577542A1/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Definitions

  • the present invention relates to a method for controlling, securing and protecting by confidentiality, data within declarative, informative, administrative or productive processes using information and communication technologies.
  • This framework defines ways to know or not know, access, hold, process or transmit these data.
  • identity attributes for example surname, first name, postal or telecommunication address, bank details, credit card number and expiry date, social security number and other references, personal codes, seals, visas or distinctive marks. Which help to identify, access by this information and snippets of identity to personal spaces or personal functions, such as activate an account banking, being able to go to the place of residence, trace or profile a person in a nominative way.
  • the invention may more generally apply to any desirable data to frame in its use or status, such as confidentiality, integrity, availability, immunity, completeness, completeness, validity, property. Data may be considered sensitive for reasons such as:
  • the importance of a given data may relate to its purpose such as the setting in operation of a fire-fighting equipment or an automated switching.
  • the word "data” here encompasses a spectrum ranging from the analog signal to the structured formatting of digital data in the form of information or instructions. This formatting as much as the content stem from the knowledge of their author and belong to his heritage, with the same needs to be secure in themselves and in their structure.
  • the information can be both digital and analog, regardless of its final expression for an observer, by numbers, letters, drawings, videos, pulses, colors or sounds. It can be in various forms such as magnetic or optical.
  • the distinctive criterion of the present invention, for its operation, is that this data is conveyed or stored in a frame, considered as the container, which takes the form of a computer protocol or communication. In the extreme, it can be a simple container, without content, where the mere fact of receiving it becomes itself informative or trigger.
  • protocols can be called “proprietary”, or “open” when the interfaces are public and can therefore syntactically dialogue with the black box. It can be static data on their support, as long as their access, their integrity or their implementation depend in advance of a protocol.
  • file a document or a computer program, an executable, a software entity, a virtual entity such as a virtual memory.
  • mail a message, a sending file or documents, a phone call, participation in a dialogue, a visit made by telecommunications, and more generally any form of flow, issue or any form of exchange by putting in relation or connection.
  • This mail can be carried out between several supports, or within the same equipment, in the case of moving data from one zone to another within, for example, a computer or a card. electronic, as far as this displacement resorts to the use of a computer protocol or communication.
  • the term mail applies to peer-to-peer, when the message is shredded as in the case of a distribution of data on disks or servers connected to the internet. Will be subsequently named "author”, the sender of this mail.
  • the author will be considered to be the label and its carrier, and not the terminal having created an electromagnetic field.
  • the term author may include, in addition to the one who designed it, the one who is at the moment concerned the holder, the custodian or the manager.
  • the material support of the mail can be a communication network, in particular telecommunications or television broadcast, as well as physical mobile means such as a USB key, a smart card or magnetic, a disk, a badge, a ticket such as metro, a pass with contact or without contact as is a transport card.
  • the receiving object can be a support or a telecommunications terminal, or television broadcasting such as a television set, a video recorder or a decoder, and more generally any computer or electronic equipment capable of participating in an information distribution.
  • a mobile mail carrier it may be a computer machine with sockets such as USB, a mobile phone, a wizard or diary, a card or disk drive, a vending machine such as banknotes, an airlock or an identification terminal, as examples.
  • the receiver can be external, for example a speaker receiving a mail or accessing a file, as well as internal, like a file or mail content, provided with technical capabilities that make some components active, autonomous and able to participate in actions such as data collection, such as "intelligent agents".
  • These autonomous entities endowed with cognition and with capacities of interaction with their environment, can put themselves in dialogue with their own protocol, and make the distinctive sign according to the invention a use identical to that of an external receiver. It may be then to use this sign, with its functional and cryptonymic properties, as well as as a sign of recognition.
  • central receiver about this mail the recipient considered by the author as the natural recipient of his mail. It may be in particular a commercial website, a biological analysis laboratory required as part of an anonymised expertise, a toll management company using tickets or cut-files such as magnetic or electronic, without wanting to reveal the true name of its owner.
  • the central recipient may be neither the original receiver of the stream nor its final recipient.
  • peripheral receivers The other receivers will then be called “peripheral receivers", and may be:
  • the invention structures and supports a game with several actors, among which are the author, the various receivers, authorities subsequently called anonymisation. There is added one or more entities named after lock, which can be considered either active or, in a more complete form, passive and responsive to the actions of other actors.
  • This game unfolds around a distinctive and characteristic sign inserted into the computer or communication protocol.
  • this marking by a characteristic sign said scratching, inserted for distinctive purposes, recognition, and transmission of instructions or information.
  • This multifunctional clawing placed at the level of computer or communication protocols, will serve, for a receiver, information in itself or means to obtain additional information from an authorized third party;
  • a first feature of the invention lies in its finding that a more secure way not to be stolen a thing is not to hold or know it from the beginning.
  • An advantage of this mechanism lies in its ability to regulate this communication, this holding or this processing of sensitive data, to remedy the weaknesses mentioned. This results in a reduction of the risk, as well during their various uses as in the possibility of their loss, theft, piracy or other form of wastage, of imperfect scrapping, of duplication, of subcontracting, of outsourcing or of legal transfer of ownership such as a subsequent purchase of business assets.
  • the present invention modifies, recomposes and expands the devices expressed in the patent application FR 2 932 043 relating to a method of traceability and resurgence of pseudonymised flows on communication networks, and an information flow transmission method capable of securing the security. data traffic and its recipients.
  • the new invention expands the digital privacy portion, and articulates it with new data security, action control, and information delivery functions.
  • This characteristic sign is called scratching, by analogy with the affixing of a claw as a signature that personalizes but also as a mark that modifies, signals and serves as an external sign of referencing.
  • This term of marking which encompasses just as much a possible encapsulation, covers a procedure consisting of an addition, an amputation or a characteristic modification, on a protocol, while respecting the standard of this protocol. As examples, it may be the labeling or tattooing of an IP packet, a steganographic marking or the use of an additional protocol.
  • a second improvement over the scratching of the protocol is to vary its effects, in several ways:
  • clawings activatable by choice or according to defined and updatable job charters. These signs will either be dissimilar in themselves, or distinguishable by another bias such as a schedule that is or not office work, so the presence or absence of the person on the spot.
  • Each of the clawings then corresponds to specific information or instructions, such as the designation of only one of the bank accounts of a person. This will allow this author, in case of purchase from a website, to choose his account to be charged.
  • This adaptive character will be found on having pre-registered several bank accounts, or several payment cards or for example several addresses and more generally any attribute that may exist in multiple copies.
  • a fourth improvement over the scratching of the protocol is that not only are communication protocols but protocols assigned to static data. Thus, it is no longer just content related to a stream, but content that can be a recipient of a stream.
  • a fifth improvement is the fact that the scratching, also a sign of recognition, is seen wearing properties including those of a passport: it allows the access or the issuance of non-functional data, as were the instructions. It exceeds this passport status, since it is in itself the equivalent of a key to access a virtual vault, in which some secure accounts are planned for his coming. These secured accounts can still be called chests.
  • the anonymization authority is coupled with a lock mechanism. These two entities can be united in one, but can advantageously be maintained in an autonomous situation, supplemented by information transfers between them.
  • lock a device acting as a cryptographic access control protocol and responding as much to a given digital than an analog signal, and whose response can be both digital and analogical.
  • lock device or the term lock.
  • the authority of anonymization serves as an interface with the author, granting him the systems of scratching, agreeing on the meaning and the equivalence of these scratches in instructions, information or values. She also agrees, with and for him, a stable pseudonym linked to the successive cryptonymes that are these clawings, and knowing it by its real identity.
  • the lock receives, at least, information of the grafts of the author. In larger configurations, it can receive the pseudonym of this author as well as its coordinates or telecommunications identity. These correspond to what appears in the complete communication protocol of one of his shipments.
  • a first mode it serves to validate the reality, authenticity and timeliness of a claw presented to it by the recipient of a shipment bearing such a mark.
  • the scratching is then akin to a physical key that one would seek to introduce into a physical lock, for the sole purpose of checking their adequacy.
  • Such verification can be conducted in two different ways:
  • the action will no longer consist only of introducing the key, but to try to turn the lock. It will be considered here that the longitudinal profile could remain hidden to the receiver, in parallel with the fact that it will not have access to the internal morphology of the barrel. By transposition, the hidden longitudinal profile of the key corresponds here to the party remained functionally prohibited access within the protocol, and the internal morphology of the barrel corresponds to the same part as known by the lock.
  • the first use will validate that a graft presented by a receiver is real, authentic and current.
  • the second use will be used to confirm with the third party verifier that the part visible or accessible for him in the protocol, is well coupled to the part that has remained invisible or inaccessible to him, for example the communication identity.
  • a lock such as actuating a mechanism or signal, allow or not access, open a safe, to be recognized. It may be here for example to provide the receiver who uses it, access or receipt of a deposit or information.
  • This function can be as much an automatism independent of the will of this user, as a configuration where he can choose what he needs in a secure account previously filled with various data by the author of the mail or file as well as possibly by the anonymizing authority.
  • This safe can be personalized and reserved for access by a single pre-designated recipient, as well as being accessible to several or all possible recipients. This chest can finally also be a furniture storage, in case the author chooses to be his own recipient. Access to the safe may be subject to any form of restraint or conditions precedent, such as opening only after a specified date.
  • the said safe of a given author can be subdivided and resemble a mural set of mailboxes of a building, where each resident, that is to say here each receiver, has the means of access the contents of his box.
  • a receiver punctually authorized to access not one but several boxes could be sent a key: - either opening one by one the boxes concerned;
  • opening for example a single front panel corresponding to these boxes, excluding other boxes, and in a cache logic that continues to hide the contents or locks of these other boxes;
  • Such a collection can also and advantageously be done by a marking system in a lock, where a cryptonyme inserted in it would come out with the additional imprint of this pseudonym.
  • a marking system in a lock where a cryptonyme inserted in it would come out with the additional imprint of this pseudonym.
  • This in the same way that a physical key uncut in its longitudinal direction can be introduced into a lock and be marked inside, by chalk or previously sprayed paint on the internal fittings, a contour drawing this profile research. Or here, by transposing into a basic form, an outline drawing the pseudonym.
  • This method is not intended to open the lock, but to learn a second information, the longitudinal profile of the key, when we know a first information, the transverse profile of the same key, which allows to introduce in the lock.
  • This mechanism is usable as much to obtain a pseudonym as to obtain knowledge for example of the part remained inaccessible communication protocol, or any instruction or information. It differs from the previous "second modes" which were the actuation of a mechanism, a signal, an access or the opening of a safe. Actually no actuation occurs, but the mere affixing of an informative imprint on, with, around or in a previous imprint acting as a key.
  • the lock stands out a so-called "trusted third party" function in that trust is not necessary but replaced by a mechanical process where access to an informative step is materially conditioned to the good control of the previous step.
  • the function usually assigned to a "trusted third party" is further subdivided between an anonymizing authority and this lock.
  • the anonymizing authority may remain unaware of what will be deposited in the safe, or who will check a scratch. Just as the lock can ignore the real identity of the owner of this sign.
  • the receiver may be constrained, to be able to check a scratch with the lock or to activate a mechanism, to make himself use of an identification system, or more frequently authentication, which signals as a known and authorized receiver.
  • a configuration could be a two-lock safe, or beyond two.
  • This second numeric key will be named later as a counter-key.
  • the person assigned to this task opens it in the company of, for example, a predefined colleague carrying a second counter-key.
  • This third party, auxiliary, witness or guarantor may be the original author of a letter, or the holder of a computer file marked at the level of his protocol, and who would like to be informed of the subsequent use made of this clawing or of this file, and be present on this occasion. It can also be the anonymizing authority.
  • the present invention differs firstly from the patent application FR 2 932 043 in that it modifies the preferred general architecture, by adopting different scission lines.
  • the invention is particularized secondly about this partitioning, in that it does not offer the same arbitration between information readable or not, in particular in the sense of accessible by a given recipient.
  • this new arbitrations is the partitioning, channeling and, if necessary later or in interval, confronting, juxtaposing or composing information present on both the protocol of a telecommunication flow such as the address of the sender, and out of this protocol even out of this mail or even out of authority anonymization or lock, such as references to a bank account.
  • a feature of the invention is, in terms of protection against the risks resulting from the possession of information, the fact that it is no longer really a detention, with the fact that it is no longer really " an information, both singular and exhaustive, in relation to a unity of place, time, and action.
  • the first of the evolutions makes that the anonymizing authority can grant the insertion of scratches in static file protocols likely to be receivers of a flow such as a request.
  • the second is the appearance of a two-headed structure, where the authority of anonymization is added an entity named lock.
  • the invention allows thirdly the existence of several anonymization entities instead of one, as well as the expression of preferences from their users.
  • a fourth point is that the border between the anonymizing authority and the peripheral receivers is adaptive and movable if necessary, allowing for example the first to hold some banking data, or conversely to a bank to know or manage various components of the identity-pseudonym link.
  • the information in the patent application FR 2 932 043, it is to transmit essentially the correspondence between a cryptonyme and a pseudonym, or possibly to mention for example whether this visitor remaining unknown was a regular or not.
  • the authority or the lock will henceforth respond by transmitting or allowing access, according to their right to know, to the equivalence between such clawing making cryptonym and for example a real identity or other attribute punctual a person such as an address, as well as any type of data stored, for example a calculation element deposited by this person, and any kind of instruction.
  • It can be a mixture of information and prescriptions: mathematical data and test to be conducted with, accounting data and breakdown to be applied to the books of account, odds and launch of a machining.
  • Information filed may also be similar to the principle of half a bank note, torn in two, and without which the second part already known or held by a receiver would remain unemployable, or incomprehensible for a less known image that 'a note.
  • the actions may be assignments of order, the supervision of tasks, visa or authorization requirements prior to an action, and more generally all activities falling within a chain of command, a supply chain or still an accounting follow-up.
  • the invention may serve as a reminder of such an intention or task.
  • the protocol with dogging will be transmitter alone, and a reminder assimilable in its purpose to the sticky paper butterflies on a wall and carrying any mention that the author intends for himself or for others.
  • the anonymizing authority is a distributor as much as a recipient of secrets. This function of public officer is reinforced by the fact that the delivery of cons-keys can be used for a third party to be present.
  • the anti-repudiation system is traceability and the duplication system adds quantitative control to this previous tracing.
  • the device according to the invention covers professions based on trust, fiduciarus, including those relating to the creation or manipulation of money.
  • a feature of the device according to the invention is that it can serve as a support for both a monetary exchange device and an electronic payment system, depending on its mode of deployment:
  • the trust is centered in the link and the vector that is to say the scratching which passes from a shipper to a receiver, it is like a token, a coupon, a bearer bond, a tax stamp, with a fiduciary dimension, like a virtual stamp.
  • a distinctive sign it is recognized a value, a magnitude or a symbolism attached to it, sendable to others, liberating as much as the latter wants to share this perception of value and believe in the robustness of the scratching and the mechanism that maintains its unique character. Clawing can be an amount visibly expressed from the outset by a number.
  • the cryptonymic properties of this scratching open a field where its correspondence to a value will refer to an arbitrary convention between at least two actors participating in the exchange, or any other interpersonal activity that may result from a valuation consensus.
  • the invention can include the promises of donations and installments, online games, online auctions or even live, calls to value property or immaterial quantities and to exchange or merge them on these respective valuation bases.
  • This generally variant cryptonyme, attached to a generally invariant pseudonym, will find here an extension of its applications through the evolution of functions and partitions, in that, while relieving the central receivership of certain knowledge, it nevertheless preserves in its favor an opportunity to gradually capitalize a detailed knowledge on the author, visitor of his website for example, via his current or past behavior, regardless of whether his prior visits were accompanied by purchase.
  • the invention creates identity management with drawers.
  • the anonymization authority is thus akin to a supplier of digital identity packages with drawers.
  • the invention therefore particularly relates to a method for securing and controlling data and identities within a communication process between an author and at least one receiver, said method comprising at least:
  • the data stream comprising at least one instruction.
  • the scratching is cryptonymic, it is for example attached to at least one pseudonym.
  • the data flow is received at the receiver or upstream of the receiver, partitioned and channeled, or for example masked, treated, cantoned or refused, by parts of instructions, said parts of the mail or file can be predetermined, and said partitioning, masking, processing, channeling, blocking or refusal is performed according to instructions received from the anonymization authority or via the lock device, by means of the dogging.
  • the data flow protocol is received at the receiver or upstream of the receiver, partitioned or masked, processed, channeled, confined or refused, by parts, said parts of the mail or file protocol being able to be predetermined, and said partitioning, masking, treatment, channeling, cantonment or refusal taking place according to instructions received from the anonymisation authority or via the lock device, by means of the dogging.
  • the clawing corresponds to different responses or different ways of responding from the anonymizing authority and the lock device, to different functionalities or modes, or to different modes. depending on the addressee, the context and the environment in which the addressee evolves, the chronology or location of the facts, the manner to act or to be of this recipient, the nature of the data or the signal corresponding to this scratching or what it will implement, these modes of operation being able to be pre-established and discriminated according to items agreed with the author, as much as case by case in one or more stages.
  • the clawing key and on the other hand the said lock are for example each in whole or in part the respondent of the other, either as a profile and counter-profile, or as an image and its negative, or as a matrix and its work, as a claw and its scar, this complementarity towards a whole or a succession generating capacities for dialogue, correspondence, reconstitution of all or filiation, for purposes of validation, identification or authentication, actuation of a signal or a mechanism, expression of a meaning or a set of instructions, or connection between them.
  • the dogging acting as key of the lock device that is to say, opening the device, it engages for example an access, an actuation of any form of lock and door to a reserved space. It can also trigger a mechanism or a recording, an action or a technical reaction, or an informative or declarative signal.
  • the lock device may exist, independently of the secure account or other subordinate device, for purposes of validating the reality, the authenticity and timeliness of a keying claw.
  • An operating instruction transmitted or accessible by means of scratching is for example an authorization, a prohibition, total or partial and discriminated, the issuing of requests or conditional clauses, the activation, the modification or the stopping of a function a receiver.
  • the communication stream or the file consists only of the protocol marked with the scratch, to the exclusion of any content.
  • the anonymization authority or the lock device holds, for example, any type of instruction, data or signal relating to the management of a stream or file with the protocol with dogging, as well as any type of instruction, given or signal connected to that clawing or to a given identity, but independent of this direct management and for their mere provision from the author to a receiver.
  • the lock device acting as a cryptographic access control protocol, is for example provided with parts not visible by a receiver, allowing the validation of a cryptonymic scratch, or data that remains unknown and corresponding to these non-visible parts. , or the link between this known cryptonyme and this unknown part, or the link between several unknown parts, the unknown part being a pseudonym, a real identity, the continuation of the computer or communication protocol, the contents of the file or mail, or any other information or instructions.
  • a lock can align a juxtaposition, a succession or a composition of said counter-profiles, so-called negative, said matrices or works or said scars, corresponding to at least one scratching as well as to other data such as a pseudonym.
  • the lock allows during its test by the dogging, the apposition or insertion of additional data in, with, around or on this dogging.
  • a functional instruction relating to the communication, the processing, the reading or the storage of data, results for example from the presence of the scratching in the protocol, the instruction concerning the content of the flow, the file or the rest of the protocol.
  • the prohibition or partial functional authorization concerns for example, a predeterminable part of the mail or the file, both in its content and in its protocol.
  • the prohibition of storing certain data in a receiver is accompanied for example by the elimination of these data.
  • the grafting is for example used by its successive receivers as a sign of recognition between them or with the author, as well as to obtain from an anonymizing authority or via a lock, the correspondence between this scratching and attributes of the identity to which the said clawing is pieced, or any other data or signal, retained by them for the purposes of that transmission.
  • the anomysation authority or the lock device is for example entitled to transfer to a receiver or an approved third party, said correspondence or said data, said receiver or third party using said correspondence or said data, to perform a task devolved on him by a previous receiver or the author of the stream or file.
  • Said task adds, for example, information received from the anomysation authority or the lock device, on a job that is partially or completely anonymous or incomplete, waiting for the identity attributes required to use it, to forward it. or finalize it.
  • Said work is for example related to an electronic transaction between the author of the mail or file and a main receiver.
  • Said work is for example relating to a physical or telecommunication routing between a main or peripheral receiver and the author.
  • Said work is for example related to a writing game, being performed between the author and a main or peripheral receiver.
  • Said work is for example related to a verification of the operation, behavior, state, integrity or authenticity of a terminal or a communication medium, and the mechanisms connected to them.
  • a peripheral receiver acts as an anonymizing authority for the correspondence between the dogging and various data or responses related thereto.
  • the anonymizing authority is, for example, notified of a receiver delegated to a task or a role, by the author or by a previous receiver.
  • the anonymizing authority transmits for example the correspondence between such cryptonym, such pseudonym, and secondly behavioral information, situational or related to the past or the profile of this author, for the purpose of characterizing it without necessarily transmitting either its true identity or another of its pseudonyms.
  • a scratch inserted in a protocol, or the pseudonyms attached to it, or autonomous sub-parts or composed of these three options, can be used to mark or tattoo objects, materials or real beings, for purposes of recognition, validation of rights or status, valuation, membership or dependence, linking, identification or authentication without revealing a true identity.
  • File or mail content equipped with technical capabilities for interacting with their environment, which makes some components of them active and autonomous, can be put into dialogue with their own protocol, and make the same use of a scratch. external receiver.
  • FIG. 1a a non-exhaustive synthesis of the device according to the invention, in its mechanism and its effects on any complex procedure, and on the entities involved in this procedure;
  • FIG. 2 the method of managing a file or letter carrying scratching issued by an author
  • FIG. 5a an example of verification of a cryptonymic scratch near a lock
  • FIG. 13 a mode of deployment of the method according to the invention making it possible to anonymize and restrict restrictively the memorization of a stream for which the author would not have a full freedom of choice of the recipient, of a full freedom of activation or not of this stream, or a full control on the system transmitting this stream;
  • FIG. 14 a particular mode of deployment of the method according to the invention in which a receiver will have access to identity or information attributes present in the computer or communication protocol, but without knowing the nature and detail of his relationship to follow with the author. He will only be informed of the existence of this link;
  • FIG. 15a a use of the device in a business-to-business or inter-site relationship, for administrative or productive purposes;
  • FIG. 15b a configuration of use as a stamp, stamp or control stick, passing between successive carriers, and transmitter of a meaning, of an agreed magnitude or value, or of a form of exclusivity;
  • FIG. 1a illustrates in a simplified and non-exhaustive manner the general principle of the method according to the invention, in its means, its actions, its points of impact and its consequences.
  • the invention uses a device 10 'essentially consisting of three central tools, which are an anonymizing authority, a means of marking the computer or communication protocols by a distinctive sign and feature called scratching, and a so-called digital lock.
  • This lock is in itself a counterpart to the previous distinctive sign since it represents, among other functionalities, a hollow imprint of it, or its original mold since the chronology of their respective births is reversible as much as simultaneous placable, just as much it may be a negative image, a counter-silhouette or a counter-profile, the scar, wake, event, possibly standardized, as here as this scratching. From this kinship can arise multiple functions of identification, authentication, validation, but also hanging on the principle of tenons and mortises. It may still be the appearance of a meaning or an action during their meeting.
  • - silos expressible in particular by dividing entities as well as actions, separating them and making them autonomous or subject to different purposes, as well as hiding, scrambling, de-marking and anonymizing.
  • a channeling mode expressible in particular by distributing them in a parallel or sequential manner, composing them, creating them links or cooperation, aggregate, unmask or re-mark these entities or actions.
  • This device 11 ' by its partitioning and channeling, affects definitively or provisionally and therefore sometimes reversible entities and actions concerned 12' under their two quantitative and qualitative properties.
  • the quantity includes, in particular, the multiplication or reduction of the number, the modification of the perimeter, while the qualitative concerns mainly the modification of their nature or their identity.
  • Figure 1b specifies the general mechanism of partitioning and channeling, illustrating the cleavage lines 180, 181 and their temporal scheduling, before or after a stream has been emitted, or retransmitted for all or part to a third party.
  • the method of the invention provides a secure account 45, safe, able to receive in deposit, from the author, instructions 182 such as later deliverable instructions or information. It can also be identity elements, for example a true identity, cryptonymic or pseudonymic, and correspondence between some of these identities.
  • the trunk 45 is provided with a lock device 50, digital or analog, activated by a multifunctional clawing key.
  • the receiver (s) presenting said key to said lock, this key carrying a secret that opens the lock 50 acting as a cryptographic access control protocol to said secure account.
  • the keying and on the other hand the said lock are each in whole or in part the respondent of the other, either as a profile and against-profile, or as an image and its negative, either as a matrix and its work, or as a claw and its scar, this complementarity towards a whole or a succession generating capacities for dialogue, correspondence, reconstitution of all or filiation, for purposes of validation, identification or authentication, activation of a signal or mechanism, expression of a meaning or an instruction such as a setpoint or a datum, or of solidarity between them.
  • This scratching is affixed by the author, by means of a marking system, at the level of the computer protocol or communication 183 of a stream or a file 1, which protocol is comparable to a container.
  • This container as much as the content 184 is subject to possible total or partial restrictions of access, processing, storage or transmission and retransmission, on the basis of the instructions obtained via scratching from the secure account 45 or the authority of anonymisation, or on the basis of prior instructions corresponding to the simple observation of the presence of scratching in a protocol by its receiver.
  • At least one operating instruction dedicated to at least one receiver is transmitted or accessible by means of the dogging. Said operating instruction is for example an authorization, a ban, total or partial and discriminated, the issuing of requests or conditional clauses, the activation, modification or termination of a function of a receiver.
  • the method elaborates a partitioning of data or instructions of a temporal order, in that:
  • a part of the split 181 can be made before it is sent (ante shipment), with the filing of instructions 182 placeable by the author in his safe 45 provided with lock 50 (secure electronic account) and managed by the authority of anonymization;
  • At least one other part 180 can be performed on receipt (post-shipment), according to instructions available from the anonymization authority or via the same lock 50, activated by the presentation of the accompanying clawing of this shipment.
  • FIG. 1c illustrates, by way of example, the various parts of a mail or file 1 that can be assigned in the event of, for example, a prohibition or order of reading, processing, recording or transmission, intended for a receiver 2:
  • this part can take the form for example of boxes or digital inserts in the mail or in the file, or segments of its content responding to a detachable coupon logic. These latter cases can lead to split mail or file.
  • Figures 2 and 3 describe this distinctive sign named scratching, its operation and its role. They make it possible to specify the difference between, on the one hand, the intrinsic functional value of this dogging, and on the other hand its passport status to obtain from third parties additional information or other instructions.
  • the dichotomy between intrinsic meaning and passport emphasizes the widening of the roles of this sign, which is both distinctive and of recognition in relation to the patent application FR 2 932 043.
  • FIG. 2 illustrates the method of management of a document 1 or of a scratch-carrying mail sent by an author 10, the mode of interpretation of the latter and the functions corresponding to his presence. It details the use of the intrinsic functional meaning of this clawing, that is to say the fact that its presence corresponds in itself to a function triggerable by a central receiver 2, a function that may be prohibition or authorization , modifying or stopping a given action such as reading, accessing, processing, recording or transmission.
  • a device 11 managed by an anonymisation authority 4 provides the author with 10 a dogging system and a convention of use which agrees on the functional significance of this dogging according to the receivers or according to other differentiating criteria.
  • the patent application FR 2 932 043 preferred the fact that the scratching inserted in the protocol is almost mono-function, centered on the principle of being able to read or not certain data. It is now allowed a variety of broader functions, processing, recording or transmission of each data. This enlargement is multiplied by the fact that the dogging does not constantly correspond to the same instruction according to its types of receivers or according to other criteria such as calendar. As a result, there is almost an infinity of variants, especially since each type of instruction can be of a total or partial level.
  • the dogging will be set to initiate actions from the information present in this mail or this file, especially in the remaining part possibly prohibited access for the only central receiver 2.
  • Either the receiver 2 or 3 has from the outset knowledge of the functional significance of the marking, or he asks the anonymizing authority 4 or the lock by presenting him with a copy of this scratch or the protocol as a whole.
  • the authority or the lock transmits the correspondence between this clawing and the instruction corresponding to such a receiver, or such type of receiver. There may therefore be several different instructions depending on the nature and the number of receivers, or even a progressive issuance of these instructions.
  • a prohibition of access, reading, processing or recording may take the form of an immediate rejection of the documents, sections or information spaces complained of, so that they do not penetrate not in the computer system for example from the central receiver.
  • the corresponding data will either be rejected and without a recipient, or automatically directed to predetermined peripheral receivers 3.
  • it may be a buffer zone or a black box, independent of the system Central Receiver 2, and placed upstream, under or out of its control.
  • the presence of the clawing will be noted further upstream, for example at the level of the telecommunications operator 5 as soon as the flow concerned is in transit.
  • the coexistence of this dogging with the indication of such pre-registered recipient will automatically direct all or a predefined part of the flow to a third entity entrusted with a delegated management, replacing the central receiver.
  • This referral is accompanied by possible tasks such as partial retention or amputation, agreed according to the general procedure of initial reception.
  • this variant would not fundamentally modify the general scheduling since the central addressee would remain central because using a simple right to the delegation, and because remaining recipient in the mind of the author as well as responsible for the successful completion of the process.
  • Figure 3 details the role of passport endorsed by the dogging, to obtain other information or instructions that those, functional, directly attachable by a receiver to the management of mail or file. It illustrates the respective game of the various receivers 2, 31, 32 and anonymization authorities or the lock, between them and vis-à-vis the data present in or out of the mail or file 1 governed by scratching.
  • the variety of responses that an anonymizing authority or the lock will be able to deliver in view of the clawing goes beyond the field in which the patent application FR 2 932 043 was placed.
  • the latter was, apart from instructions, confined to information 201, 311 , 321 often minimal, themselves essentially related to identities alone.
  • the anonymization authority 4 or the lock can currently issue any type of instruction or information, such as an identity, a pseudonym, an address, an accounting or scientific calculation element, that is to say more usually any missing element for the accomplishment of the tasks and for the understanding of the treatment to be administered to them. For example, it may be a way to decipher such content and then use it in the rules, as well as its general instructions.
  • the anonymisation authority 4 or the lock retains the information and instructions 201, 311, 321 on behalf of the author 10.
  • the information or instructions may also vary depending on the types of receivers or other criteria such as calendar.
  • both means of access to a setpoint and means for obtaining or activating other information named external information will be obtained either:
  • the peripheral receivers 31, 32, or the central receiver 2 can act in the same way with the possible part of the mail or file on which they had the right to act, mixed also with internal or external information.
  • the unknown term may be understood as inaccessible, illegible, indecipherable, incomprehensible or inexpressive, it may therefore be:
  • - linking unknown information with other unknown information for example, a distinctive sign referring to another secret or arbitrary code, in the case of a dialogue between the authority anonymisation or the lock and a credit card group knowing a customer through a personal number;
  • FIG. 4 illustrates the case of a static document 41 present for example on a computer, where a dogging 53 is inserted in its computer protocol.
  • the author, the keeper, the depositary or the manager 43 of this document 41 may firstly affix the dogging 53 in the protocol, and secondly file the meaning of this dogging with the anonymisation authority 4 or for example a digital safe 45, protected by a lock.
  • a visitor 44 wishing to access this document for purposes of knowledge, processing, transmission or recording, must, in view of the presence of the dogging 53, previously obtain its meaning either from the anonymizing authority 4 or from of the digital safe 45.
  • FIG. 5a illustrates the verification of the clawing with the lock 50.
  • the anonymisation authority 4 serves as an interface with the user of the claws, the author 51 of flow or the file holder, by granting him the control systems. scratching, by agreeing on a stable pseudonym linked to successive cryptonymes, and knowing it by its real identity.
  • the lock 50 receives, at least, information of the grafts of the author. It makes it possible to validate the reality, the authenticity and the actuality of a dogging 53 presented to it by a recipient 52 of a consignment carrying such a sign 53.
  • the dogging 53 is then similar to a physical key that we would try to introduce in a physical lock, for the sole purpose of checking their adequacy, and make sure that the transverse profile of the key, pictorially with its specific grooves, corresponds well to the cutting of the inlet port lock, and therefore check whether or not it can enter this dwelling. This without having to turn it once inside.
  • the receiver and verifier can, however, collect other information through the introduction of the key in this lock.
  • This collection is done mechanically by a marking system where a scratch inserted into a lock would come out with the additional fingerprint of a second piece of information.
  • a physical key uncut in its longitudinal direction can be introduced into a lock and be marked inside, by chalk or previously sprayed paint on the internal fittings, a contour drawing this profile research.
  • transposition of an outline drawing the pseudonym corresponding to the cryptonyme.
  • This mechanism is usable as much to know for example the remaining inaccessible portion of the computer or communication protocol, or any instructions, information, secret or signal.
  • no lock actuation occurs, but the mere affixing of an informative imprint on, with or in a previous imprint acting key. This apposition is consecutive to the adequacy check between this key and this lock, when they are put in relation.
  • Figure 5b shows a particular use of the lock, confirming with her that the scratch belongs to its author approved. It is currently not yet desired to open a safe, an access, an airlock or actuate another mechanism, and the only proper functioning of this lock will itself be relevant information.
  • the lock 50 will be aware of the co-ordinates or telecommunications identity of an author as well if necessary as of his pseudonym. These communication coordinates corresponding to what appears in the complete protocol of one of his shipments.
  • the action will consist of introducing the key and then trying to turn the lock. It will be considered here that the longitudinal profile of the key could remain hidden at the receiver 52, in parallel with the fact that it will not have access to the internal morphology of the barrel 502, with in particular the length of the pins or the position of the linings internal.
  • the hidden longitudinal profile of the key here corresponds to the portion remaining functionally prohibited access 532 within the computer or communication protocol, and the internal morphology of the cylinder corresponds to the same part as known and transmitted to the lock by the anonymisation authority 4.
  • This use serves in particular to confirm with the receiver and verifier, in case of proven correspondence between the functionally prohibited portion of access 532 and the internal morphology of the barrel 502, that the visible part 531 or accessible for him in the protocol, is well coupled to the part that has remained invisible or inaccessible to him. That is to say, for example, to confirm to this receiver that such scratching of which he has knowledge is well coupled with the identity of communication which accompanies it, such as the authority of anonymization 4 recognizes them related.
  • Figure 5c shows an assignment where the lock is used for all common uses of a lock, such as actuating a mechanism or signal, allow or not access, open an airlock or chest 59 to access its contents.
  • This function can be as much an automatism independent of the will of this user, as a configuration where he can for example choose what he needs in a vault previously filled with various data by the author as well as possibly by the anonymisation authority.
  • This box 59 can be personalized and reserved for the access of a single pre-designated recipient, as far as being accessible to several or all possible recipients.
  • This safe can also be a furniture storage, in case the author chooses to be his own recipient. Access to the safe may be subject to any form of restraint or conditions precedent, such as opening only after a specified date.
  • the contents that the receiver can collect via this lock and the opening of a digital safe 59 are not limited a priori: it can be identity attributes, the pseudonym of the author as well as any data, instructions, information signal or trigger, provided only that the filing has been made by or with the consent of either the author or the authority of anonymisation or third parties authorized by them, according to the various employment charters possible.
  • identity attributes the pseudonym of the author as well as any data, instructions, information signal or trigger, provided only that the filing has been made by or with the consent of either the author or the authority of anonymisation or third parties authorized by them, according to the various employment charters possible.
  • it is not a safe but another type of device such as an airlock or mechanism their configuration and operation will be regulated again either by the author or the authority anonymisation.
  • the function usually devolved to a trusted third party is here subdivided between an anonymization authority 4 and lock 50.
  • This lock can be a single entity and autonomous acting as a counter. It may have other configurations, until its installation with the receiver 52, in a logic for example of black box receiving priority streams. In the latter case, the updating of the data relating to variant claws or contained in the digital vault, will be through either a central point managing these decentralized digital locks, or the anonymizing authority, or a mix of both.
  • the notion of central point does not imply its immutability or uniqueness.
  • the receiver and verifier may be constrained, in order to be able to verify a cryptonyme clawing with the lock 50, to make use of an identification or authentication system which signals him as a known receiver and authorized.
  • Figure 6 illustrates an example of use of a digital key requiring that of cons-keys.
  • An author 51 has a document, or issues a mail, with a dog 53.
  • a given chest 45 is provided with a lock 50 corresponding to the dogging 53 inserted in a protocol, as well as a second lock 50 'corresponding to a mark 53' granted to a receiver 52 or to a delegated authority.
  • This receiver 52 or his delegate, to open the trunk or to operate the first lock 50, must make use of both dogging 53 discovered in the protocol, named key, and of its own brand 53 'named counter-key.
  • the number of locks is not limited and other 53 "counter-keys, corresponding to other locks 50", can be attributed to the receiver, or to a third party such as one of his colleagues 61, even the author who affixed the initial scratching.
  • the entity 4 that grants or not, issues and distributes keys and counter-keys is an anonymizing authority.
  • it may be an entity dedicated to this function. It can be a plural of entities.
  • An anonymizing authority may itself hold a counter-key for such a safe.
  • FIG. 7 shows the main possible steps of a method according to the invention, applied by way of example to a central receiver 2 having received an order 1 emanating from a customer as part of an online purchase, for example on Internet.
  • Their relationship based on a desire to protect various attributes of the client's identity will be translated to the website manager by the fact of prohibiting him functionally for example to become acquainted as well as to preserve and archive, or to process, contained data.
  • This receiver 2 will prepare the package and the invoice, but will know neither the name of the buyer, nor his bank references, nor his mailing address to send the package. His knowledge will be reduced to:
  • Copy of the scratch will be sent by him to a group of bank cards 72, accompanied by the invoice without name.
  • This sign of recognition will allow the group to determine the identity of the debtor to be added, and to proceed to the corresponding financial levy.
  • the same dogging will be sent to a postal administration 73, accompanied by the parcel without the name of the consignee. This sign will allow the postman to add the corresponding name and physical address.
  • peripheral recipients which are a group of bank cards 72 or a postal administration 73, will request or have received in parallel transmission of the equivalence between such clawing and such peripheral information left in their sole discretion.
  • This parallel or sequential provisioning can result either from a communication directly brought to their attention by the author 10, or, in a more rational organization mode, by the anonymisation authority 4 which will centralize the management of equivalences. or via the lock.
  • One or the other will cooperate with the peripheral receivers 72, 73, transmitting to them the equivalence between a grappling 71 and a real identity or other one-off attribute of a person.
  • This peripheral receiver is a peripheral receiver
  • the anonymizing authority or the lock may hold them and transmit them to him, as well as any other non-residential address left to the client's choice. 'author.
  • the latter address may be that of the person receiving a purchase of flowers or a jewel to be delivered by a third party, when it is desired that the merchant does not know the buyer or the beneficiary.
  • peripheral receivers are not limited, and the previous example can be expanded.
  • a telecommunications operator 75 is likely to be activated to route a response to the author 10, adding his Internet address on a label from the central receiver 2. This device also works if the author of the mail or the visit becomes at a later time beneficiary for example of a download or for any other reception.
  • the information and instructions that can be transmitted via the anonymisation authority 4 or the lock are not limited a priori. It may be not just a identity attribute such as a mailing address, but also details of the desired shipping terms, the type of packaging desired or any other request. In a variant, and in order to limit the autonomous power of action or decision-making left to the peripheral receivers, it may be envisaged that this peripheral information is itself incomplete or insufficient to understand or carry out the intended task, without reception in sus:
  • the peripheral receiver in charge of the financial levy on the account of the author can serve as an intermediate account when the payment to the central receiver.
  • Figure 8 presents the possible steps of an anonymized response to an anonymized application, or to a grading of an online test, since the various tasks mentioned in the latter are likely to motivate the same desire for confidentiality or of intimacy in the sense of return. This configuration can also follow chronologically that of Figure 7.
  • the central receiver 2 receives the submission 1 without being able to access the content, automatically transmitted to a peripheral receiver 73 who does not know the author.
  • the rating or response is then transmitted via the central receiver 2 if he has the right to know the author, or more advantageously to perfect the anonymization through a third party 81, to whom he addresses scratching and grading or answer.
  • This third party obtains the contact details of the author from the anonymisation authority 4 or via the lock, and sends him the answer without specifying the speaker who made it.
  • Figure 9 presents the possible steps that allow a data receiver, such as an e-commerce site 2, to continue part of its activities of good knowledge or profiling of its consumers or visitors, but via a form of anonymisation. which does not disturb it on its useful part.
  • a receiver noting the presence of a grading 71 on a mail will obtain its equivalence in the form of the pseudonym of the author, such as Harlequin.
  • the pseudonym 74 is invariant, while the clawing 71 is variant, likely to have changed since the last mail.
  • the anonymizing authority 4 or the lock is able to connect this series of clawings to their stable pseudonym.
  • the principal receiver 2 is thus able to link the present visit or request of the author to his past and previous observations.
  • it may be to measure the evolution of a health factor.
  • it may be to have listed its purchases, preferences, interests, as well as its rights or duties such as a discount for purchase fidelity.
  • This receiver 2 may also send letters to this author, without knowing his real identity, and through the receivers 73, 75 who will obtain this confidential data via the anonymization authority 4 or the lock, on presentation of the dogging.
  • the central receiver 2 can customize, for example via a webmaster 91, the page visited, configuring it based on this knowledge of the past of Harlequin.
  • Figure 10 presents a variant providing a restriction to the principle of recognizing without knowing, presented in Figure 9.
  • Possible variant when it is accepted by all the protagonists, and authorizing several pseudonyms simultaneous or successive to the same author.
  • This arbitration where one or more scratches referring to a plurality of pseudonyms would all connect to the same identity by a tree game, or form single-chain aliases, would reinforce the secrecy surrounding it, to the advantage of the author but at the informative expense of the receiver.
  • This may be part of a logic of pseudonyms à la carte, as there are à la carte identities or degrees of protection and security à la carte, and correspond to an expectation of the author bearable by the recipient.
  • the central receiver 2 will ignore the link between the various pseudonyms of the same interlocutor, but will retain the guarantee that under its multiple appearances it remains approved by the authority 4 granting the pseudonyms. Homologation likely to result from selective criteria themselves known to the receiver 2, these criteria being able to maintain an interlocutor as persona grata or enjoying benefits.
  • the receiver 2 could signal to the authority 4, that it now considers such interlocutor as persona non grata, whatever its pseudonym of the moment, and so ban it in the future in a mail or a visit from him.
  • the ban could possibly be more absolute by a mechanism to widen the scope of the sanction to other receivers 21, 22 having accepted the principle of this decision-making community of approval, grading, banishment or quarantine.
  • a bank that considers that a veto issued by a group of bank cards against a person automatically applies to it too, at least as a precautionary measure.
  • this variant may be deployed in a manner in which the author can initially but definitively choose which of his pseudonyms that it desires, to address such a receiver 2, 21, 22. Subsequently, he will keep this pseudonym during his later correspondence.
  • two different receivers could not know that Harlequin, in one, and Pierrot, in the other, correspond to the same author, knowing that their holder corresponds under these two labels to their accepted behavioral code.
  • the loyalty of a visitor to two sites could lead to discounts calculated on the addition of its consumption at each.
  • One of the interests of this formula is a limitation to cross files beyond what is sufficient for the good relationship to the consumer.
  • the anonymisation authority 4 or the lock via a deposit and registration mechanism may serve as a central hub for the ratings, assessments or quotations from the various receivers, and concerning the same author whatever the pseudonym 101 under which it is initially labeled.
  • This anonymizing authority 4 or the lock will distribute these judgments to other receivers either at their request in view of the transmitted scratch, or more automatically according to a predefinable employment charter.
  • FIG. 11 presents a configuration in which the same author can simultaneously have several different gratings A, B, which can be used according to his choice or according to predefinable procedures.
  • This adaptive character may also relate to pre-registering several bank accounts 111, 112 or several payment cards or for example several addresses and more generally all attributes. Each pre-registration gives rise to attribution not only of a scratch A, B, but of a filiation of this distinctive sign, since this one is variant.
  • This plurality of choices offering the possibility of rendering preferentially activatable one more than the other, according to predefined employment charters and updatable if necessary, a charter linking the author 10 to the anonymizing authority 4, which from then on it will transmit to a receiver 72 the corresponding information.
  • a variant consists, for example, in that a mail to a receiver 2 is coupled to a copy with a one-off instruction, to the anonymisation authority 4 or under lock.
  • This less simple formula would be conceivable mainly for cases suspended from reservations, conditional, suspensive or moratorium clauses, confirmations or validations to come, such as a final choice of debit account made after verification of the assets actually available on the various accounts of the author. This can be considered also for cases of subsequent validation of a choice on which the author is legally entitled to return, or when he expects effective delivery of a product or service to judge its real quality.
  • Figure 12 presents provisions in which pseudonyms, polynymes or cryptonymes according to the invention are likely extensions and uses in the social or economic material life.
  • the triple level consists of a real identity covered by claws functionally masking this identity, and themselves referable to one or more pseudonyms 123, are used in real life.
  • a pseudonym can thus express itself, as a substitute for the traditional real identity, on a physical physical medium, such as a kind of identity card, a smart card, a ticket, a token or a form of tattoo or custom header. This could find employment for example to come to withdraw at a counter or to justify to a controller an order previously placed and paid by telecommunications.
  • FIG. 13 shows a mode of deployment of the method according to the invention making it possible to anonymize and restrictively restrict the storage of a stream 1 for which the author 10 would not have a full freedom of choice of the addressee 2, a full freedom of activation or not of this flow, or a full control on the system transmitting this stream.
  • This situation is common, as single-use or single-manager communication media, such as public transport companies. These frequently opt for anonymisation either on a memory erasure in one or more times, so subsequent to storage, or on an anonymization prior to the manufacture and delivery of the support.
  • the present solution would be between the two options mentioned above.
  • the electronic ticket of a person would be indicated in terms of identity, near the crossing 131, only by scratching, functionally masking any other attribute of identity. This clawing would eventually be transmitted to the anonymizing authority 4 or the lock, via a central receiver 2, in case of desire to profile the behavior over time, but would be known only by the invariant pseudonym transmitted back .
  • the terminal of each subscriber intermittently sends a signal to the relay antenna network, to indicate its current geographical position in case of a call coming from 'a third.
  • many of these devices result in forms of traceability which make respect for the intimacy of a random security of the detention or erasure of the corresponding data, or an ethics difficult to verify.
  • Such a technical solution would also find application in a number of terminals or communicating media, and in dialogue with land or on-board terminals as well as positioning and geolocation satellites.
  • such a manager knows the behavior of a user only through the scratch corresponding to a pseudonym. Depending on the chosen cases, it could also continue to manage a customer in parallel by knowing this time by his identity and in particular through its successive payments. However, even in the case of such a parallel knowledge of his real identity, the manager could not establish a link with a given behavioral profile, within all his clients. This cut-off option would enable him, on the face of his name, to check unpaid bills or, among other relational possibilities, to provide him with discounts or benefits resulting from his position as a client.
  • a third example of application would concern software or electronic component manufacturers able to interact directly and on their immediate or programmed initiative, with software or equipment installed on the terminal of a user.
  • the desire to see online breakdown, behavior or general condition, would be attached only to scratching this user.
  • This procedure would be parallel and decoupled from that of managing the relationship with the customer as a known buyer and payer, according to a partitioned deployment mode: anonymization authority possibly coupled to a lock on the one hand, and peripheral receivers of somewhere else.
  • buyer broadens to forms of contractualization common in computer science, such as leasing.
  • FIG. 14 shows a method according to the invention in which a receiver 2 of mail 1 will have access to identity or information attributes present in the communication protocol, but without knowing the nature and detail of his relationship to follow with him. He will only be informed of the existence of this link.
  • the central receiver 2 could have such author as customer, as member or interlocutor, but would remain unaware of the service that will be provided.
  • the service involved invoicing or other accounting the amount concerned would, for example, be included in the bulk of the other receipts and would remain unknown in detail by the central receiver.
  • Such a case could usefully be applied when donating to a charity or for an online quest, when the authors do not want the amount paid by each to be known to the receiver or ultimate beneficiary. The latter would know who to thank, without being able to judge the respective amounts.
  • the spectrum concerned would go from kitty for a retirement, until a donation giving right to tax exemption itself managed by an ad hoc peripheral receiver.
  • the central receiver 2 retains only the protocol, but without the right to know anything other than scratching. In this way, he will be informed of the fidelity of such anonymous interlocutor, of the act of sending made by this author to his attention, and will be able to guarantee that the mail has arrived. This return in the form of an acknowledgment is effected, for lack of communication address, by a peripheral receiver such as a telecommunications operator.
  • Figure 15a shows a use of the device in a relationship such as inter-company or inter-site, where the scratching will allow the delivery of data or signals.
  • a computer file 1 whose protocol bears a scratch, and kept on the computer of an "author" company 10, receives the visit or the download request from an employee of a partner company, or another site, who wants to use the content.
  • the presence of the claw initially returns this visitor or receiver 2 to the anonymizing authority 4 or lock, which issue conditions, requests, instructions or information, prerequisites, simultaneous or consecutive to the possible authorization of access or download, authorization of functional order but which can also take physical forms such as a decryption key content.
  • Identification and authentication tools can be used on this occasion.
  • the authorization or prohibition may also concern the processing, storage or retransmission of all or part of the file and its contents.
  • a request may be to justify a prior approval granted by the holding company to this partner.
  • An instruction may be to inform a supervisor 173 or to send him a copy of any subsequent action taken with this content.
  • the supervisor may be for example a technician whose presence is deemed essential, a leader whose knowledge or countersigning is desired, an accounting or legal department responsible for postponing this job in his books, as well as an autonomous technical system such as a timer which will record for example the duration of consultation of the scratched file, in a case where a pricing will be based on a duration.
  • the employee having for example downloaded the file, can forward it to a subsequent receiver 171 for the purpose of carrying out a task.
  • the initial scratching may retain an entire role, and require successive receivers to address the anonymizing authority or the lock.
  • An electronic cabinet managing the production of a workshop, and the receiver can thus be signified a level of urgency of the manufacture, supplemented by an obligation to be aware of the tariff grid emanating from the electricity producer.
  • an arbitration can be conducted at the level of the cabinet as to the expectation or not of a low tariff range, corresponding to schedules of low collective consumption, no peak production or the risk of overloading internal or external distribution networks.
  • the numerical control machine 172 receiving in turn the scratched file may among other possibilities be notified the activation, prior to its start, a sound warning the surrounding workers or a staff d maintenance, to stand at a safe distance.
  • This security system, or alarm, 170 can also be activated directly by the anonymizing authority.
  • This device presented as inter-sites, applies equally to an entity to ensure its autonomy and self-control, such as an airframe, where various electrotechnical transmission commands must ensure their proper operation at each step, especially for all-electric aircraft.
  • FIG. 15b illustrates a configuration of use where the scratching 200 is similar to a stamp, a stamp or a control stick passing from the author 10 to successive receivers 176, 177, 178, being a carrier and transmitter of a meaning , of an agreed size or value, or a form of exclusivity.
  • stamp emphasizes the impossibility of unauthorized access to a content or a meaning
  • concept of stamp emphasizes the possibility of a face value
  • control stick expresses a divestment to the profit of a new carrier, keeping this initial value, this magnitude or this symbolism.
  • a grafting endorsing such a representativeness implies that it is not falsifiable or imitable and reproducible in series, difficult criteria to obtain in technologies to which the cloning faculty is almost inherent.
  • This fragility can be circumvented with the present device, by the fact that a global trust is not only placed in the technical graffiti, but also in the confidence that the community which practices the exchanges is carried to itself and its solidarity, as well as in the trust that it places in the body that grants them.
  • the combination of these three sub-parties of trust builds the sum, and a decline on one of them, as far as it does not reach a crippling threshold, can often be offset by an increase on one of the two other.
  • the authority of anonymisation 4 assumes a role of federator of communities.
  • communities able to good internal cohesion because knowing sharing, for example, the same ethics or the same behavioral standards incorporated in these stipulations to be and remain approved.
  • Transferring these properties of transparency and verifiability in telecommunications, while moving to a larger spatial and quantitative scale, is usually difficult since the latter, and especially the Internet, instead play on the argument of anonymity if not unlimited use of false identity.
  • the device of the invention will remedy this dilemma by being both a tool that allows to know others, while leaving it anonymous, through its pseudonym system.
  • the anonymizing authority or the lock informing the successive receivers of the meaning, the size or the value attached to the scratch itself, may indeed present the sender under his pseudonym 74 as well as by his true identity .
  • This real identity could previously remain inaccessible to these receivers by the claw functionally masking the telecommunications identity of its author.
  • the fact that the scratching expresses what it represents only via this request from the receiver 176, 177, 178 to this authority or to the lock makes it possible to trace its course, to guarantee that it does not find itself counterfeited or duplicated, at least not otherwise than according to an agreed employment charter within the community.
  • the authority of anonymity assumes a status of flux observer, and guarantees that it applies to it, in the desired proportions, the adage of nothing is created nothing is lost. She is the transmitter of the system of dogging, then observer bringing its guarantee in terms of traceability, partially assimilable in its finality to a sending with acknowledgment of receipt.
  • the authority of anonymization can thus associate or merge with another organism 175 able to give it and make recognize a given size, value or symbolism, and give it course.
  • This agency both regulator and guarantor, may be for example a railway company in the case where scratching is a momentary exclusive use of a lane, granted to such a recipient. It may be a postal service that awards a face value to a kind of digital stamp or stamp, during a secure routing on networks. It may still be an online service company, a merchant site, a private bank or even a central bank, in the case of a face value taking a monetary dimension. This last application being only the addition of a valuable stamp, and assignable as a control stick.
  • This anti-duplicate property will more correctly be qualified as a guarantee that a duplication remains within the agreed quantitative limit, since the anonymizing authority will record the number of receptions of the same scratch issued by a given author, or pictured, the number of times the mail has been opened.
  • An alternative way to reduce the danger of possible duplicates uncontrolled would be to partially lose their undifferentiated status by customizing them from their first stage, a principle that is otherwise extensible to other industrial or recreational uses. Without losing the distinctiveness and distinctiveness of the scratching, its characteristic part with functional and cryptonymic properties could be accompanied by additions or modifications indicating either the number of successive receivers, as a counter or digital notches, or more precisely their nature, their profile or their identity. Such a mechanism would be tantamount to a real endorsement, leaving here a latitude of choice between an endorsement by anonymous signature, pseudonymized or carrying a true identity.

Abstract

La présente invention concerne un procédé de contrôle, de sécurisation et de confidentialisation de données au sein de processus déclaratifs, informatifs, administratifs ou productifs utilisant les technologies de l'information et de la communication. Plus particulièrement l'invention concerne un procédé de sécurisation de données numériques placées dans un fichier informatique ou émises dans un flux de communication par un expéditeur (10) vers au moins un réceptionnaire principal (2) et éventuellement un ou plusieurs réceptionnaires périphériques (3) selon un protocole informatique ou de communication donné, caractérisé en ce qu'une consigne de fonctionnement ou une information dédiée à chaque réceptionnaire est transmise au moyen d'un griffage inséré dans le protocole informatique ou de communication. La consigne de fonctionnement peut être une autorisation, une interdiction, l'activation, la modification ou l'arrêt d'une fonction d'un réceptionnaire (2, 3) et peut être couplée à la délivrance d'information. L'invention s'applique à la gestion de données régies par des protocoles informatiques ou de communication, notamment pour les opérations de géolocalisation, de traçage, de marquage, de profilage ou d'identification, tels que lors d'activités d'achat en ligne, de valorisation, de déplacement, ou d'expression de sa pensée.

Description

PROCEDE DE SECURISATION DE DONNEES NUMERIQUES ET D'IDENTITES NOTAMMENT AU SEIN DE PROCESSUS UTILISANT DES TECHNOLOGIES DE
L'INFORMATION ET DE LA COMMUNICATION
La présente invention concerne un procédé de contrôle, de sécurisation et de protection par confidentialité, de données au sein de processus déclaratifs, informatifs, administratifs ou productifs utilisant les technologies de l'information et de la communication. Cet encadrement définit des manières de pouvoir ou non connaître ces données, y accéder, les détenir, les traiter ou les transmettre.
Elle s'applique à la gestion de données régies par des protocoles informatiques ou de communication, notamment pour les opérations de géolocalisation, de traçage, de marquage, de profilage ou d'identification, tels que lors d'activités en ligne d'achat, d'enchères, d'expression de sa pensée. Ce traçage et cette identification pouvant participer à des échanges et des transferts, tels que financiers ou postaux, ainsi qu'aux actions visant à accorder, maintenir, vérifier et garantir une signification, une grandeur ou une valeur à ces marquages. Elle s'applique également à l'activation et au contrôle d'un équipement ou d'une fonction telle que de gestion des commandes, utilisant des données régies par un de ces protocoles, en assurant en particulier un suivi de leur nature, leurs qualités, leur quantité, leur usage ou leur fonctionnement. L'invention vise aussi à un meilleur respect de la vie privée des personnes et à ce qui relève de leur « intimité numérique ».
Elle s'applique notamment à la réduction des risques résultant de la manipulation de données jugées sensibles.
II peut s'agir d'attributs d'identité : par exemple nom, prénom, adresse postale ou de télécommunication, coordonnées bancaires, numéro de carte bancaire et date de validité, numéro de sécurité sociale et autres référents, codes personnels, sceaux, visas ou marques distinctives. Lesquels aident à identifier, à accéder par ces informations et bribes d'identité à des espaces personnels ou des fonctions personnelles, tels qu'activer un compte bancaire, pouvoir se rendre au lieu du domicile, tracer ou profiler une personne d'une manière nominative.
L'invention peut plus généralement s'appliquer à toute donnée désirable d'encadrer dans son usage ou son statut, tels que de confidentialité, intégrité, disponibilité, immunité, exhaustivité, complétude, validité, propriété. Des données pourront être considérées sensibles pour des motifs tels que :
- ne se rapportant pas à une identité d'un expéditeur mais à celle du réceptionnaire.
- se rapportant à son lieu, une date ou encore un contexte, à l'image d'une fonction d'interdiction de lecture après une date limite, ou hors d'un espace de stockage donné.
Le caractère important d'une donnée peut se rapporter à sa finalité telle que la mise en fonctionnement d'un équipement anti-incendie ou d'un aiguillage automatisé.
Le mot « données » englobe ici un spectre allant du signal analogique jusqu'à la mise en forme structurée de données numériques sous forme d'informations ou de consignes. Cette mise en forme autant que le contenu découlent des connaissances de leur auteur et appartiennent à son patrimoine, avec de mêmes besoins d'être sécurisés en soi et dans leur structure. L'information pourra être autant numérique qu'analogique, indépendamment de son expression finale pour un observateur, par des chiffres, lettres, dessins, vidéos, impulsions, couleurs ou encore sons. Elle peut se trouver sous diverses formes telles que magnétique ou optique. Le critère distinctif de la présente invention, pour son fonctionnement, étant que cette donnée soit véhiculée ou conservée dans un cadre, considéré comme le contenant, qui prenne la forme d'un protocole informatique ou de communication. À l'extrême, il peut s'agir d'un simple contenant, sans contenu, où le simple fait de le recevoir devienne en soi informatif ou déclencheur.
Ces protocoles peuvent être dits « propriétaires », ou « ouverts » lorsque les interfaces sont publiques et qu'on peut donc dialoguer syntaxiquement avec la boîte noire. Il peut s'agir de données statiques sur leur support, pour autant que leur accès, leur intégrité ou leur mise en oeuvre dépendent en préalable d'un protocole.
Toute consigne, requête ou information qui lui sera envoyée devant en passer initialement par son protocole informatique, donc se trouver face à un éventuel marquage ou signe distinctif selon l'invention qui y serait présent et correspondrait à l'édiction de prescriptions incontournables. Cet assujettissement à des prescriptions pourra aboutir en particulier à des formes d'interdictions ou d'autorisation, d'activation ou d'arrêt de mécanisme, de limitations d'action, d'attitude dilatoire ou de clauses conditionnelles. Il pourra aboutir encore à une délivrance d'information additionnelle, lorsque ledit signe distinctif inséré dans le protocole, également signe de reconnaissance, fait office de passeport vers ces additifs.
Par la suite sera nommé « fichier », un document ou un programme informatique, un exécutable, une entité logicielle, une entité virtuelle telle qu'une mémoire virtuelle.
Par la suite, sera nommé « courrier », un message, un envoi de fichier ou de documents, un appel téléphonique, la participation à un dialogue, une visite faite par voie de télécommunications, et plus généralement toute forme de flux, d'émission ou toute forme d'échange par mise en relation ou connexion. Ce courrier peut s'effectuer entre plusieurs supports, ou à l'intérieur d'un même équipement, s'agissant d'un déplacement de données d'une zone vers une autre au sein par exemple d'un ordinateur ou d'une carte électronique, autant que ce déplacement recoure à l'emploi d'un protocole informatique ou de communication. Le terme courrier s'applique au pair à pair, lorsque le message est déchiqueté comme dans le cas d'une répartition des données sur les disques ou les serveurs connectés à internet. Sera par la suite nommé « auteur », l'expéditeur de ce courrier. Dans le cas d'un composant passif telle qu'une étiquette RFID, l'auteur sera considéré être l'étiquette et son porteur, et non la borne ayant créé un champ électromagnétique. Dans le cas d'un fichier informatique statique, le terme auteur pourra englober, outre celui qui l'a conçu, celui qui en est à l'instant concerné le détenteur, le dépositaire ou le gestionnaire. Le support matériel du courrier peut être un réseau de communication, notamment de télécommunications ou de télédiffusion, ainsi que des moyens physiques mobiles tels qu'une clé USB, une carte à puce ou magnétique, un disque, un badge, un ticket tel que de métro, un passe avec contact ou sans contact comme l'est une carte de transport.
L'objet réceptionnaire peut être un support ou un terminal de télécommunications, ou de télédiffusion tel qu'un téléviseur, un magnétoscope ou un décodeur, et plus généralement tout équipement informatique ou électronique apte à participer à une distribution d'information. S'agissant du réceptionnaire d'un support mobile de courrier, ce peut être une machine informatique dotée de prises telle qu'USB, un téléphone portable, un assistant ou agenda numérique, un lecteur de carte ou de disque, un distributeur automatique tel que de billets de banques, un sas d'accès ou encore une borne d'identification, à titre d'exemples.
Le réceptionnaire peut être externe, par exemple un intervenant recevant un courrier ou accédant à un fichier, autant qu'interne, à l'instar d'un contenu de fichier ou de courrier, pourvu de capacités techniques qui en rendent certaines composantes actives, autonomes et aptes à participer à des actions par exemple de recueil de données, tels que le sont des « agents intelligents ». Ces entités autonomes, dotées de cognition et avec des capacités d'interaction avec leur environnement, peuvent se mettre en dialogue avec leur propre protocole, et faire du signe distinctif selon l'invention un usage identique à celui d'un réceptionnaire extérieur. Il peut s'agir alors d'utiliser ce signe, avec ses propriétés fonctionnelles et cryptonymiques, ainsi que comme signe de reconnaissance. Par la suite, sera nommé « réceptionnaire central », à propos de ce courrier le réceptionnaire considéré par l'auteur comme le destinataire naturel de son courrier. Il peut s'agir en particulier d'un site internet commercial, un laboratoire d'analyse biologique requis dans le cadre d'une expertise anonymisée, une société gestionnaire de péage utilisant des tickets ou des coupe-files tels que magnétiques ou électroniques, sans désirer relever le nom véritable de son possesseur.
Le destinataire central peut n'être ni le réceptionnaire initial du flux ni son réceptionnaire final.
Les autres réceptionnaires seront par la suite nommés « réceptionnaires périphériques », et pourront être :
- un organisme gestionnaire de cartes bancaires ;
- une banque ;
- une administration postale ;
- une société de routage ou de transport ;
- un opérateur de télécommunications ou un fournisseur d'accès internet ;
- une administration délivrant des documents à caractère nominatif tels que des attestations, des certificats, des laissez-passer ou des visas;
- une structure gestionnaire des dossiers médicaux de patients ;
Cette liste n'étant pas limitative.
L'invention structure et supporte un jeu à plusieurs acteurs, parmi lesquels se trouvent l'auteur, les différents réceptionnaires, des autorités appelées par la suite d'anonymisation. S'y ajoutent une ou plusieurs entités nommées par la suite serrure, qui peuvent être considérées soit actives soit, sous une forme plus achevée, passives et réactives aux gestes des autres acteurs.
Ce jeu se déploie autour d'un signe distinctif et caractéristique inséré dans le protocole informatique ou de communication.
Elle prend la forme d'un triple dispositif :
- d'une part ce marquage par un signe caractéristique, dit griffage, inséré à des fins distinctives, de reconnaissance, ainsi que de transmission de consigne ou d'information. Ce griffage plurifonctionnel, placé au niveau des protocoles informatiques ou de communication, servira, pour un réceptionnaire, d'information en soi ou de moyen d'obtention d'informations complémentaires auprès d'un tiers habilité ;
- d'autre part de cloisonnement et de canalisation des données ou des acteurs, par l'entremise du griffage associé à une autorité d'anonymisation et à une serrure agissant comme protocole cryptographique de contrôle d'accès à des instructions ; - le troisième dispositif tient au fait que le griffage prend la forme d'un cryptonyme variant, lui-même raccordable à un pseudonyme invariant et stable. Une première particularité de l'invention tient à son constat qu'une manière plus sécurisée de ne pas se faire voler une chose est de ne pas la détenir ni la connaître, ce dès l'origine. Un site commercial sur internet ayant en stock les données informatiques relatives aux instruments de paiement de ses clients, ne peut offrir à ceux-ci qu'une garantie de sécurité imparfaite face à des pirates informatiques de plus en plus professionnels.
Un avantage du présent mécanisme tient en sa capacité à encadrer cette communication, cette détention ou ce traitement de données jugées sensibles, pour remédier aux faiblesses évoquées. Il en résulte une réduction du risque, tant durant leurs divers usages que dans la possibilité de leur perte, vol, piratage ou autre forme de déperdition, de mise au rebut imparfaite, de duplication, de sous-traitance, d'externalisation ou encore de transfert juridique de propriété tel qu'un rachat ultérieur de fonds de commerce.
La présente invention modifie, recompose et élargit des dispositifs exprimés dans la demande de brevet FR 2 932 043 portant sur un procédé de traçabilité et de résurgence de flux pseudonymisés sur des réseaux de communication, et procédé d'émission de flux informatif apte à sécuriser le trafic de données et ses destinataires. La nouvelle invention étoffe la partie liée à la confidentialité numérique, et l'articule avec des fonctions nouvelles de sécurisation de données, de contrôle d'action et de distribution d'information.
À cette fin, elle s'appuie en partie sur le système de marquage distinctif et caractéristique, inséré au niveau du protocole, et doté de propriétés fonctionnelles, tel que décrit dans la demande de brevet FR 2 932 043.
Ce signe caractéristique est appelé griffage, par analogie avec l'apposition d'une griffe en tant que signature qui personnalise mais aussi en tant que marque qui modifie, signale et sert de signe extérieur de référencement. Ce terme de marquage, qui englobe tout autant une possible encapsulation, recouvre un mode opératoire consistant en un ajout, une amputation ou une modification caractéristique, sur un protocole, tout en respectant le standard de ce protocole. À titre d'exemples, il peut s'agir de l'étiquetage ou du tatouage d'un paquet IP, d'un marquage stéganographique ou encore l'utilisation d'un protocole supplémentaire.
Les propriétés générales qui en découlaient pour ce système étaient :
- fonctionnelle ;
- cryptonymique, en tant que griffe d'un auteur apposée dans un protocole, qui le désigne et l'identifie, si de besoin sans le nommer autrement que par une convention arbitraire.
Obtenir connaissance des fonctions et de certains attributs d'identité concernés, nécessite de s'adresser à une autorité d'anonymisation, dont le rôle informateur rend ces deux propriétés opérantes. Le principal emploi conjoint des dispositions fonctionnelle et cryptonymique consiste en une interdiction de lecture de l'identité d'un auteur de courrier, telle qu'elle apparaît sinon dans le reste du protocole. Ce faisant, le dispositif aboutit à un griffage masquant de cette identité.
Un deuxième perfectionnement par rapport au griffage du protocole consiste à varier ses effets, de plusieurs manières :
- Il peut s'agir de disposer simultanément, pour un même auteur, de plusieurs griffages, activables par choix ou selon des chartes d'emploi définies et actualisables. Ces signes seront soit dissemblables en soi, soit distinguables par un autre biais tel par exemple qu'un horaire qui soit ou non de travail au bureau, donc de présence ou non sur place de la personne voulue. Chacun des griffages correspond alors à des informations ou consignes déterminées, telle que la désignation d'un seul des comptes en banque d'une personne. Ceci permettra à cet auteur, en cas d'achat auprès d'un site internet, de choisir son compte à faire débiter. Ce caractère adaptatif se retrouvera sur le fait d'avoir fait préenregistrer plusieurs comptes bancaires, ou plusieurs cartes de paiement ou encore par exemple plusieurs adresses et plus généralement tout attribut susceptible d'exister en plusieurs exemplaires. - Une autre voie pour varier les effets consisterait à les prédéfinir en fonction de chaque interlocuteur recensé par avance, ou de modalités- types suivies par eux pour effectuer la requête. Un troisième perfectionnement tient au fait que le nombre de griffage dans un protocole donné n'est plus envisagé comme un singulier obligatoire. Plusieurs de ces signes distinctifs seront simultanément possibles dans un courrier ou un fichier, soit pour des usages ou des usagers indépendants, soit pour créer entre ces signes des liaisons, des cautionnements respectifs, ou des filiations ponctuelles. Il devient également envisageable que leur présence autant que par exemple leur disposition spatiale respective, soient porteuses d'une signification supplémentaire, interprétable par tous les réceptionnaires ou seulement certains, assistés ou non en cette occasion par l'autorité d'anonymisation.
Un quatrième perfectionnement par rapport au griffage du protocole tient au fait que soient concernés non plus seulement des protocoles de communication, mais des protocoles affectés à des données statiques. Ainsi, il ne s'agit plus seulement de contenus liés à un flux, mais de contenus susceptibles d'être destinataires d'un flux.
Un cinquième perfectionnement tient au fait que le griffage, également signe de reconnaissance, se voit revêtu de propriétés englobant celles d'un passeport : il permet l'accès ou la délivrance de données autres que fonctionnelles, comme l'étaient les consignes. Il dépasse ce statut de passeport, puisqu'il est en lui-même l'équivalent d'une clé pour accéder à une salle des coffres virtuelle, dans laquelle certains comptes sécurisés sont prévus pour sa venue. Ces comptes sécurisés peuvent encore être appelés coffres.
L'autorité d'anonymisation est couplée avec un mécanisme qualifié de serrure. Ces deux entités peuvent se trouver réunies en une, mais pourront avantageusement être maintenues en situation autonome, complétée par des transferts d'information entre elles.
Par la suite sera nommée « serrure» un dispositif agissant comme protocole cryptographique de contrôle d'accès et répondant autant à une donnée numérique qu'à un signal analogique, et dont la réponse pourra être aussi bien numérique qu'analogique. On utilisera indifféremment le terme dispositif à serrure ou le terme serrure. L'autorité d'anonymisation sert d'interface avec l'auteur, en lui octroyant les systèmes de griffage, en convenant de la signification et de l'équivalence de ces griffages en consignes, informations ou valeurs. Elle convient aussi, avec et pour lui, d'un pseudonyme stable lié aux cryptonymes successifs que sont ces griffages, et en le connaissant par son identité réelle.
La serrure reçoit, a minima, information des griffages de l'auteur. Dans des configurations plus larges, elle peut recevoir le pseudonyme de cet auteur aussi bien que ses coordonnées ou identité de télécommunications. Celles-ci correspondant à ce qui apparaît dans le protocole de communication complet d'un de ses envois.
Le fonctionnement de cette serrure se subdivise en deux catégories d'affectations.
- Dans un mode premier, elle sert à valider la réalité, l'authenticité et l'actualité d'un griffage présenté à elle par le réceptionnaire d'un envoi portant une telle marque. Le griffage s'apparente alors à une clé physique que l'on chercherait à introduire dans une serrure physique, à seule fin de vérifier leur adéquation. Une telle vérification peut être menée de deux manières différentes :
- selon la première, on se contentera de vérifier si le profil transversal de la clé, de manière imagée, avec ses rainures spécifiques, correspond bien au découpage de l'orifice d'entrée de la serrure, et donc vérifier si elle peut ou non pénétrer dans ce logement. ;
- selon la seconde, l'action ne consistera plus seulement à introduire la clé, mais à tenter de faire tourner la serrure. Il sera ici considéré que le profil longitudinal a pu demeurer caché au réceptionnaire, parallèlement au fait qu'il n'aura pas accès à la morphologie interne du barillet. Par transposition, le profil longitudinal caché de la clé correspond ici à la partie restée fonctionnellement interdite d'accès au sein du protocole, et la morphologie interne du barillet correspond à cette même partie telle que connue par la serrure.
Le premier usage servira à valider qu'un griffage présenté par un réceptionnaire est réel, authentique et actuel.
Le deuxième usage servira à confirmer auprès du tiers vérificateur que la partie visible ou accessible pour lui dans le protocole, est bien couplée à la partie qui lui est restée invisible ou inaccessible, par exemple l'identité de communication.
Dans un deuxième mode, elle sert à tous les usages courants d'une serrure, tels qu'actionner un mécanisme ou un signal, autoriser ou non un accès, ouvrir un coffre, se faire reconnaître. Il pourra ici s'agir par exemple de procurer au réceptionnaire qui l'utilise, l'accès ou la réception d'une consigne ou d'une information. Cette fonction peut relever aussi bien d'un automatisme indépendant de la volonté de cet utilisateur, qu'à une configuration où il peut choisir ce dont il a besoin dans un compte sécurisé préalablement rempli de diverses données par l'auteur du courrier ou du fichier ainsi éventuellement que par l'autorité d'anonymisation. Ce coffre peut être personnalisé et réservé à l'accès d'un seul destinataire pré-désigné, autant qu'être accessible à plusieurs ou tous les destinataires éventuels. Ce coffre peut enfin s'apparenter aussi à un garde-meubles, dans le cas où l'auteur choisisse d'être son propre destinataire. L'accès au coffre peut être assujetti à toutes formes de contraintes ou conditions suspensives, telle qu'une ouverture seulement après une date déterminée.
Le dit coffre-fort d'un auteur donné peut être subdivisé et s'apparenter à un ensemble mural de boîtes aux lettres d'un immeuble, où chaque résidant, c'est-à-dire ici chaque réceptionnaire, possède le moyen d'accéder au contenu de sa boîte.
Dans une variante intermédiaire, un réceptionnaire ponctuellement autorisé à accéder non plus à une mais à plusieurs boîtes, pourrait se voir envoyer une clé : - soit ouvrant une à une les boîtes concernées ;
- soit ouvrant par exemple un unique panneau frontal correspondant à ces boîtes, à l'exclusion des autres boîtes, et selon une logique de cache qui continue à masquer les contenus ou les serrures de ces autres boîtes ;
- soit donner à ce réceptionnaire des accès discriminés à ces différentes boîtes, par exemple selon des règles chronologiques ou par une succession balisée et prédéterminée qui ne donne accès à telle boîte qu'après ouverture de telle autre ou après l'accomplissement de telle formalité intermédiaire.
Un tel recueil peut également et avantageusement se faire par un système de marquage dans une serrure, où un cryptonyme inséré en elle en ressortirait avec l'empreinte supplémentaire de ce pseudonyme. Ce, de la même manière qu'une clé physique non taillée dans son sens longitudinal peut être introduite dans une serrure et se voir marquée à l'intérieur, par craie ou peinture préalablement aspergée sur les garnitures internes, d'un contour dessinant ce profil recherché. Ou ici, par transposition dans une forme basique, d'un contour dessinant le pseudonyme. Ce procédé n'est pas destiné à ouvrir la serrure, mais à prendre connaissance d'une seconde information, le profil longitudinal de la clé, quand on connaît une première information, le profil transversal de cette même clé, qui permet de l'introduire dans la serrure. Ce mécanisme est utilisable autant pour obtenir un pseudonyme que pour obtenir connaissance par exemple de la partie restée inaccessible du protocole de communication, ou que toute consigne ou information. Il diffère des précédents « deuxièmes modes » qu'étaient l'actionnement d'un mécanisme, d'un signal, d'un accès ou l'ouverture d'un coffre. Présentement ne se produit en effet aucun actionnement, mais la simple apposition d'une empreinte informatrice sur, avec, autour ou dans une précédente empreinte faisant office de clé.
De la sorte, ne pas disposer d'un griffage faisant cryptonyme empêche de disposer ultérieurement du pseudonyme auquel il est lié, ou de toute autre information ou consigne jugée sensible. Ce faisant, la serrure se distingue d'une fonction dite de « tiers de confiance » en ce que la confiance n'est pas nécessaire mais remplacée par un procédé mécanique où l'accès à une étape informative est matériellement conditionnée à la bonne maîtrise de la précédente étape.
La fonction habituellement dévolue à un « tiers de confiance » est de surcroît subdivisée entre une autorité d'anonymisation et cette serrure. Ainsi, l'autorité d'anonymisation peut rester éventuellement ignorante de ce qui sera déposé au coffre, ou de qui vérifiera un griffage. Tout comme la serrure peut ignorer l'identité réelle du possesseur de ce signe.
Dans une variante, le réceptionnaire pourra se voir astreint, pour pouvoir vérifier un griffage auprès de la serrure ou pour activer un mécanisme, à faire lui-même usage d'un système d'identification, ou plus fréquemment d'authentification, qui le signale comme réceptionnaire connu et autorisé. Une configuration pourrait être un coffre à deux serrures, ou au-delà de deux. Cette seconde clé numérique sera nommée par la suite contre-clé. La personne préposée à cette tâche l'ouvre en compagnie par exemple d'un collègue prédéfini et porteur d'une deuxième contre-clé. Ce tiers, auxiliaire, témoin ou garant, peut être l'auteur initial d'un courrier, ou le détenteur d'un fichier informatique marqué au niveau de son protocole, et qui désirerait être informé de l'usage ultérieur fait de ce griffage ou de ce fichier, et être présent à cette occasion. Ce peut être également l'autorité d'anonymisation. La présente invention se différencie premièrement de la demande de brevet FR 2 932 043 par le fait qu'elle en modifie l'architecture générale favorite, par l'adoption de lignes de scission différentes.
L'invention se particularise deuxièmement à propos de ce cloisonnement, en ce qu'elle ne propose pas le même arbitrage entre informations lisibles ou non, au sens notamment d'accessibles par un réceptionnaire donné. Parmi ces nouveaux arbitrages, se trouve le fait de cloisonner, canaliser et, si de besoin par la suite ou en intervalle, confronter, juxtaposer ou composer, des informations présentes à la fois sur le protocole d'un flux de télécommunications telle que l'adresse de l'expéditeur, et hors de ce protocole voire hors de ce courrier ou même hors de l'autorité d'anonymisation ou de la serrure, tels que les références d'un compte bancaire.
Il en résulte au total des fonctionnalités nouvelles, qui permettent d'élargir le champ des informations protégeables ou contrôlables. De manière plus générale, une particularité de l'invention tient, en matière de protection contre les risques résultant de la détention d'une information, au fait que ce ne soit plus véritablement une détention, avec le fait que ce ne soit plus vraiment « une » information, tant dans son acception singulière qu'exhaustive, tant par rapport à une unité de lieu, de temps et d'action.
Au sein de ce qui était antérieurement présenté comme un triple dispositif, et relativement au troisième de ceux-ci, existe une autorité dite d'anonymisation, déjà mentionnée dans la demande de brevet FR 2 932 043. Par rapport à cette demande de brevet, la présente invention apporte plusieurs perfectionnements quant à l'anonymisation :
- La première des évolutions fait que l'autorité d'anonymisation peut accorder l'insertion de griffages dans des protocoles de fichiers statiques susceptibles d'être réceptionnaires d'un flux telle qu'une requête.
- La deuxième tient en l'apparition d'une structure de type bicéphale, où l'autorité d'anonymisation se voit adjoindre une entité nommée serrure. - L'invention permet troisièmement l'existence de plusieurs entités d'anonymisation au lieu d'une seule, ainsi que l'expression de préférences émanant de leurs usagers.
Un quatrième point tient à ce que la frontière entre l'autorité d'anonymisation et les réceptionnaires périphériques est adaptative et déplaçable si de besoin, permettant par exemple à la première de détenir quelques données à caractère bancaire, ou inversement à une banque de connaître ou gérer diverses composantes du lien identité-pseudonyme. En cinquième lieu, les réponses fournissables par cette entité se trouvent élargies. Le griffage n'est plus seulement un moyen de dialogue entre l'autorité d'anonymisation et les réceptionnaires pour permettre à ces derniers la compréhension de consignes initiales jusqu'alors d'empêchement de lecture à propos d'un courrier. Quant aux informations, dans la demande de brevet FR 2 932 043, il s'agit de transmettre pour l'essentiel la correspondance entre un cryptonyme et un pseudonyme, ou éventuellement de mentionner par exemple si ce visiteur restant inconnu était ou non un habitué.
En sus, simultanément ou par la suite, l'autorité ou la serrure répondront dorénavant en transmettant ou laissant accès, selon leur droit d'en connaître, à l'équivalence entre tel griffage faisant cryptonyme et par exemple une identité réelle ou autre attribut ponctuel d'une personne telle qu'une adresse, aussi bien que tout type de donnée mise en conservation, par exemple un élément de calcul déposé par cette personne, et toute sorte de consigne. Ce peut être un mélange d'informations et de prescriptions : données mathématiques et test à mener avec, données comptables et ventilation à appliquer sur les livres de comptes, cotes et lancement d'un usinage. Une information déposée peut aussi s'apparenter au principe d'un demi billet de banque, déchiré en deux, et sans laquelle la seconde partie déjà connue ou détenue par un réceptionnaire resterait inemployable, ou incompréhensible s'agissant d'une image moins connue qu'un billet.
En contexte professionnel, les actions pourront être des passations d'ordre, la supervision de tâches, des obligations de visa ou d'autorisation préalables à une action, et plus généralement toutes activités s'inscrivant dans une chaîne de commandement, une chaîne logistique ou encore un suivi comptable.
La sécurité des personnes, des biens et des bâtiments peut nécessiter la présence de ces marquages dont le caractère fonctionnellement incontournable pour un réceptionnaire les assimilera à une protection qui empêche son accès ou son emploi à une personne supposée maladroite. Outre la délivrance de consignes, il peut s'agir de la délivrance d'informations permettant de compléter un travail ou de le faciliter par une connexion avec des modes d'emploi, voire à rendre obligatoire le recours à ces modes d'emploi.
L'invention pourra faire office de pense-bête relatif à telle intention ou telle tâche. À l'extrême, dans le cas d'un fichier informatique ou d'un courrier sans contenu, le protocole avec griffage sera transmetteur à lui seul, et un pense-bête assimilable dans sa finalité aux papillons de papier collables sur un mur et portant une quelconque mention, que l'auteur destine à lui-même ou à autrui.
Ce précédent cas de figure couvre un champ d'application où le griffage, avec ou sans le reste du protocole, peut notamment servir de :
o système anti-oubli;
o système anti-répudiation, puisque le réceptionnaire se sera signalé auprès de l'autorité d'anonymisation pour comprendre la signification du griffage ;
o système anti-duplication, lorsque le griffage présente en soi un rôle ou une signification ne devenant opérants ou compréhensibles que par le contact obligé avec l'autorité d'anonymisation. Cette dernière étant alors à même d'identifier des doublons, et de les distinguer de transferts normaux du griffage entre acteurs participant à un processus. Cette disposition permettra un usage pour exprimer et garantir des grandeurs, des valeurs ou des symboliques : il peut s'agir d'un équivalent au système d'objet témoin, matérialisé par exemple par un drapeau unique passant de main en main entre conducteurs sur les axes ferroviaires à voie unique. Ce principe également de jeton, utilisé dans les technologies informatiques et de communication, s'articulerait ici dans une mise en situation où l'autorité d'anonymisation fait office de chef de gare superviseur de ce signe distinctif passant entre des réceptionnaires successifs. Ces cas de figure confèrent à l'autorité d'anonymisation un statut d'organisateur ou tout au moins de garant, à l'image d'un huissier, d'un notaire ou d'une chambre d'enregistrement apte à prendre acte d'une rencontre, d'un contact ou d'un dialogue. La chambre d'enregistrement pouvant accéder à des fonctions plus sophistiquées telle que de chambre de compensation.
À ces titres, l'autorité d'anonymisation est un distributeur autant qu'un réceptionnaire de secrets. Cette fonction d'officier public est confortée par le fait que la délivrance de contre-clés peut servir à ce qu'un tiers soit présent. Le système anti-répudiation relève de la traçabilité, et celui sur la duplication ajoute un contrôle quantitatif à ce précédent traçage.
Ces dispositions permettent de créer des équivalents aux envois avec accusé de réception, aux cachets postaux, aux scellés et autres sceaux exprimant une signification doublée d'une exclusivité, d'une rareté ou tout au moins d'une quantité sous contrôle. Dans le même domaine postal, il peut s'agir d'émettre des griffages revêtus de valeur faciale, à l'instar d'un timbre postal ou fiscal.
Par ces précédentes caractéristiques, le dispositif selon l'invention couvre des métiers basés sur la confiance, fiduciarus, dont ceux relatifs à la création ou la manipulation d'argent.
Concernant les porte-monnaie électroniques de type carte à puce, leur recours à des protocoles informatiques ou de communication permet d'y déployer les présents griffages.
Concernant les autres solutions, une particularité du dispositif selon l'invention est de pouvoir servir de support tant à un dispositif d'échange monétaire qu'à un système de paiement électronique, selon son mode de déploiement :
- soit que ce dispositif renforce la confiance dans le lien et le vecteur entre acteurs impliqués dans un même processus ;
- soit qu'il s'oriente autour d'acteurs qui bénéficient du plus de confiance aux yeux des autres ;
- soit enfin qu'il reporte la confiance sur lui dans son entier, alliant alors des sphères virtuelles et électroniques. Pour les deux premiers cas de figure :
- Si la confiance est centrée dans le lien et le vecteur c'est-à-dire le griffage qui passe d'un expéditeur à un réceptionnaire, il s'apparente dès lors à un jeton, un coupon, un bon au porteur, une pièce ou un timbre fiscal, en revêtant une dimension fiduciaire, à l'instar d'un timbre virtuel. En tant que signe distinctif, il se voit reconnu une valeur, une grandeur ou une symbolique attachée à lui, envoyable vers autrui, libératoire autant que ce dernier veuille partager cette perception de valeur et croire à la robustesse du griffage et du mécanisme qui maintient son caractère unique. Le griffage peut être un montant visiblement exprimé d'emblée par un nombre. Cependant, les propriétés cryptonymiques de ce griffage ouvrent un champ où sa correspondance à une valeur renverra à une convention arbitraire entre au moins deux acteurs participant à l'échange, ou à toute autre activité interpersonnelle pouvant découler d'un consensus de valorisation. Outre les mondes virtuels, massivement multi-joueurs, l'invention peut toucher notamment les promesses de don et versements, les jeux en ligne, les enchères en ligne voire en direct, les appels à valoriser des biens ou des grandeurs immatérielles ainsi qu'à les échanger ou les fusionner sur ces bases de valorisation respective.
- Si la confiance est centrée sur un ou plusieurs acteurs, vers qui pointe le cloisonnement mis en œuvre par le dispositif, ceux-ci jouent un rôle pivot lors d'une intermédiation, à l'instar d'une banque. Ici le griffage ne revêt pas, en soi, cette précédente dimension fiduciaire et cette autonomie, mais il est un signe de reconnaissance qui renvoie les parties prenantes à un même secret détenu et géré hors de lui, selon le présent dispositif de réceptionnaires centraux et périphériques, ainsi que d'autorité d'anonymisation et de serrure. Il est aussi fonctionnellement une consigne, telle que de virement. Le griffage est un passeport vers des acteurs aptes à assurer par exemple une transaction tout en apportant leur garantie aux parties prenantes quant à l'unité de compte concernée et à la passation en bonne et due forme du jeu d'écriture promis.
Ces deux options ne s'excluent pas, où le griffage serait tantôt d'ordre fiduciaire et équivalent d'un billet de banque, tantôt d'ordre scriptural et équivalent d'un ordre de virement ou d'un chèque bancaire, voire hybride si le chèque, par la pratique de l'endos, devient en soi un véhicule pour une valeur inscrite. L'autorité est nommée d'anonymisation eu égard au fait que le griffage qu'elle accorde fait fonction de cryptonyme. Ce cryptonyme généralement variant, rattaché à un pseudonyme généralement invariant, trouvera ici un élargissement de ses applications à travers l'évolution des fonctions et des cloisonnements, en ce que, tout en délestant le réceptionnaire central de certaines connaissances, il préserve néanmoins en sa faveur une possibilité de capitaliser progressivement une connaissance détaillée sur l'auteur, visiteur de son site internet par exemple, via son comportement actuel ou passé, indépendamment du fait que ses visites préalables aient ou non été accompagnées d'achat. Capitalisation rapportée au pseudonyme, rattaché au cryptonyme inséré dans le protocole du flux.
L'invention crée une gestion d'identité à tiroirs. L'autorité d'anonymisation s'apparente ainsi à un fournisseur de bouquets d'identités numériques à tiroirs.
L'invention a donc notamment pour objet un procédé de sécurisation et de contrôle de données et d'identités au sein de processus de communication entre un auteur et au moins un réceptionnaire, ledit procédé comportant au moins :
- Une étape d'insertion d'au moins un griffage dans le protocole informatique ou de communication associé au flux de données au moyen d'un système de griffage, le protocole contenant l'identité de l'auteur et par exemple d'au moins un réceptionnaire, le griffage étant signe distinctif et de reconnaissance, et moyen d'accès à un compte sécurisé, et aussi par exemple mode d'activation de mécanismes ou de signaux et correspondance d'identités. - L'auteur utilisant ledit compte sécurisé, administré par une autorité d'anonymisation (4), et ledit griffage servant à s'identifier auprès d'elle.
- Le flux de données comportant au moins une instruction.
- Au moins une instruction complémentaire ayant été enregistrée auprès de l'autorité d'anonymisation et placée dans le compte sécurisé.
- Une étape de lecture, chez au moins un réceptionnaire, dudit protocole au moyen d'un système de lecture apte à détecter la présence dudit griffage puis extraire tout ou partie de l'instruction complémentaire auprès de l'autorité d'anonymisation ou du compte sécurisé, ladite extraction s'effectuant du compte sécurisé par le moyen du griffage qui est par exemple porteur d'un secret qui ouvre un dispositif à serrure agissant comme protocole cryptographique de contrôle d'accès au dit compte.
Dans un cas où le griffage est cryptonymique, il est par exemple rattaché à au moins un pseudonyme.
Dans un mode de mise en œuvre particulier, le flux de données se trouve à réception chez le réceptionnaire ou en amont du réceptionnaire, cloisonné et canalisé, ou par exemple masqué, traité, cantonné ou refusé, par parties d'instructions, lesdites parties du courrier ou du fichier pouvant être prédéterminées, et lesdits cloisonnement, masquage, traitement, canalisation, cantonnement ou refus s'effectuant selon des instructions reçues de l'autorité d'anonymisation ou via le dispositif à serrure, par le moyen du griffage.
Le protocole du flux de données se trouve par exemple à réception chez le réceptionnaire ou en amont du réceptionnaire, cloisonné ou masqué, traité, canalisé, cantonné ou refusé, par parties, lesdites parties du protocole du courrier ou du fichier pouvant être prédéterminables, et lesdits cloisonnement, masquage, traitement, canalisation, cantonnement ou refus s'effectuant selon des instructions reçues de l'autorité d'anonymisation ou via le dispositif à serrure, par le moyen du griffage.
Dans un mode de mise en œuvre possible, le griffage correspond à des réponses différentes ou des manières différentes de répondre de la part de l'autorité d'anonymisation ainsi que du dispositif à serrure, à des fonctionnalités ou des modalités différentes, ou des modes de délivrance différents, selon son destinataire, le contexte et l'environnement dans lequel évolue ce destinataire, la chronologie ou la localisation des faits, la manière d'agir ou d'être de ce destinataire, la nature des données ou du signal correspondant à ce griffage ou à ce qu'il va mettre en œuvre, ces modes opératoires pouvant être préétablis et discriminées selon des items convenus avec l'auteur, autant que visés au cas par cas en une ou plusieurs étapes. D'une part le griffage faisant clé et d'autre part la dite serrure, sont par exemple chacune en totalité ou en partie le répondant de l'autre, soit comme profil et contre-profil, soit comme une image et son négatif, soit comme une matrice et son œuvre, soit comme une griffe et sa cicatrice, cette complémentarité vers un tout ou vers une succession générant des capacités de dialogue, de correspondance, de reconstitution du tout ou de la filiation, à des fins de validation, d'identification ou d'authentification, d'actionnement d'un signal ou d'un mécanisme, d'expression d'une signification ou d'une consigne, ou de solidarisation entre eux.
Le griffage faisant office de clé du dispositif à serrure, c'est-à-dire ouvrant ce dispositif, il enclenche par exemple un accès, un actionnement de toute forme de sas et porte donnant sur un espace réservé. Il peut aussi enclencher un mécanisme ou un enregistrement, une action ou une réaction technique, ou encore un signal informatif ou déclaratif.
Le dispositif à serrure peut exister, indépendamment du compte sécurisé ou autre dispositif subordonné, à des fins de validation de la réalité, l'authenticité et l'actualité d'un griffage faisant clé.
Une consigne de fonctionnement transmise ou accessible au moyen du griffage est par exemple une autorisation, une interdiction, totales ou partielles et discriminées, l'édiction de requêtes ou de clauses conditionnelles, l'activation, la modification ou l'arrêt d'une fonction d'un réceptionnaire.
Le flux de communication ou le fichier n'est constitué par exemple que du seul protocole marqué du griffage, à l'exclusion de tout contenu.
L'autorité d'anonymisation ou le dispositif à serrure détient par exemple tout type de consigne, donnée ou signal relatif à la gestion d'un flux ou d'un fichier muni du protocole avec griffage, aussi bien que tout type de consigne, donnée ou signal raccordés à ce griffage ou à une identité donnée, mais indépendants de cette gestion directe et pour leur simple mise à disposition depuis l'auteur envers un réceptionnaire.
Le dispositif à serrure, agissant comme protocole cryptographique de contrôle d'accès, est par exemple doté de parties non visibles par un réceptionnaire, permettant la validation d'un griffage cryptonymique, ou d'une donnée restée inconnue et correspondant à ces parties non visibles, ou du lien entre ce cryptonyme connu et cette partie inconnue, ou du lien entre plusieurs parties inconnues, la partie inconnue étant un pseudonyme, une identité réelle, la suite du protocole informatique ou de communication, le contenu du fichier ou du courrier, ou toute autre information ou consigne. Une serrure peut aligner une juxtaposition, une succession ou une composition des dits contre-profils, des dits négatifs, des dites matrices ou œuvres ou des dites cicatrices, correspondant à au moins un griffage ainsi qu'à d'autres données tel qu'un pseudonyme.
Avantageusement, la serrure permet lors de son essai par le griffage, l'apposition ou l'insertion de données supplémentaires dans, avec, autour ou sur ce griffage.
Une consigne fonctionnelle, relative à la communication, au traitement, à la lecture ou à la mémorisation de données, résulte par exemple de la présence du griffage dans le protocole, la consigne concernant le contenu du flux, du fichier ou le reste du protocole.
L'interdiction ou l'autorisation fonctionnelle partielle, concerne par exemple une partie prédéterminable du courrier ou du fichier, tant dans son contenu que dans son protocole.
L'interdiction de traitement, de lecture, de communication ou de mise en mémoire de certaines données chez un réceptionnaire s'accompagne par exemple de leur orientation vers un autre réceptionnaire périphérique prévu à cet effet.
L'interdiction de mise en mémoire de certaines données chez un réceptionnaire s'accompagne par exemple de l'élimination de ces données. Le griffage est par exemple utilisé par ses réceptionnaires successifs comme signe de reconnaissance entre eux ou avec l'auteur, ainsi que pour obtenir auprès d'une autorité d'anonymisation ou via une serrure, la correspondance entre ce griffage et des attributs de l'identité à laquelle ledit griffage se rattache, ou toute autre donnée ou signal, conservés par elles en vue de cette transmission.
L'autorité d'anomysation ou le dispositif à serrure est par exemple habilité à transférer à un réceptionnaire ou un tiers homologué, ladite correspondance ou lesdites données, ledit réceptionnaire ou tiers utilisant ladite correspondance ou lesdites données, pour accomplir une tâche dévolue à lui par un précédent réceptionnaire ou par l'auteur du flux ou du fichier.
Ladite tâche ajoute par exemple une information, reçue de l'autorité d'anomysation ou du dispositif à serrure, sur un travail resté en partie ou totalement anonyme ou incomplet, en attente des attributs d'identité requis pour l'utiliser, l'acheminer ou le finaliser.
Ledit travail est par exemple relatif à une transaction électronique entre l'auteur du courrier ou du fichier et un réceptionnaire principal.
Ledit travail est par exemple relatif à un acheminement physique ou par voie de télécommunication entre un réceptionnaire principal ou périphérique et l'auteur.
Ledit travail est par exemple relatif à un jeu d'écriture, s'effectuant entre l'auteur et un réceptionnaire principal ou périphérique.
Ledit travail est par exemple relatif à une vérification du fonctionnement, du comportement, de l'état, de l'intégrité ou de l'authenticité touchant un terminal ou un support de communication, et les mécanismes qui leur sont raccordés.
Un réceptionnaire périphérique fait par exemple office d'autorité d'anonymisation pour la correspondance entre le griffage et diverses données ou réponses s'y rattachant.
L'autorité d'anonymisation est par exemple avisée d'un réceptionnaire délégué à une tâche ou un rôle, par l'auteur ou par un réceptionnaire précédent.
L'autorité d'anonymisation, assistée ou supplée par le dispositif à serrure, transmet par exemple la correspondance entre tel cryptonyme, tel pseudonyme, et d'autre part des informations comportementales, situationnelles ou se rapportant au passé ou au profil de cet auteur, aux fins de le caractériser sans nécessairement transmettre ni son identité véritable ni un autre de ses pseudonymes. Un griffage inséré dans un protocole, ou les pseudonymes qui lui sont rattachés, ou des sous-parties autonomes ou composées de ces trois options, peuvent servir à marquer ou tatouer des objets, des matières ou des êtres réels, à des fins de reconnaissance, de validation de droit ou de statut, de valorisation, d'appartenance ou de dépendance, de liaison, d'identification ou d'authentification sans révéler une identité véritable.
Un contenu de fichier ou de courrier, doté de capacités techniques d'interaction avec leur environnement, qui en rendent certaines composantes actives et autonomes, peut se mettre en dialogue avec leur propre protocole, et faire du griffage un usage identique à celui d'un réceptionnaire extérieur.
D'autres caractéristiques et avantages de l'invention apparaîtront à l'aide de la description qui suit, faite en regard de dessins annexés qui représentent :
- la figure 1a, une synthèse non exhaustive du dispositif selon l'invention, dans son mécanisme et ses effets sur une quelconque procédure complexe, et sur les entités impliquées dans cette procédure ;
- La figure 1 b, le mécanisme de cloisonnement et de canalisation, avec les lignes de scission et leur ordonnancement temporel ;
- la figure 1 c, à titre d'exemple les diverses parties d'un document, sous forme de courrier ou de fichier ;
- la figure 2, le procédé de gestion d'un fichier ou d'un courrier porteurs de griffage émis par un auteur ;
- la figure 3, le rôle de passeport endossé par le griffage, pour obtenir d'autres informations ou consignes que celles directement rattachables par un réceptionnaire à sa présence dans un protocole ;
- la figure 4, le cas d'un document statique présent par exemple dans un ordinateur, où un griffage est inséré dans un protocole informatique ;
- la figure 5a, un exemple de vérification d'un griffage cryptonymique auprès d'une serrure ;
- la figure 5b, un mode de confirmation auprès de la serrure que le griffage cryptonymique appartient bien à son expéditeur homologué ; - la figure 5c, un mode d'ouverture de la serrure par le griffage faisant clé et l'obtention de contenus mis au coffre ou l'activation de fonctions ;
- la figure 6, un exemple d'usage d'un griffage faisant clé numérique et requérant l'usage de contre-clés ;
- la figure 7, les étapes possibles d'un procédé selon l'invention appliqué à une commande passée sur un site de commerce en ligne ;
- la figure 8, le cas d'une réponse anonymisée à une candidature elle- même anonymisée, ou une notation d'un test mené en ligne ;
- la figure 9, le maintien d'une relation au consommateur et à l'usager, et la capitalisation de connaissance via un profilage comportemental;
- la figure 10, un autre mode de déploiement du profilage, dans une option où l'accumulation d'information comportementale détaillée laisse place à des classifications plus générales ;
- la figure 11 , une configuration dans laquelle une même personne dispose simultanément de plusieurs griffages différents, utilisables selon son choix ou selon des procédures prédéfinissables ;
- la figure 12, des dispositions dans lesquelles des pseudonymes ou des cryptonymes selon l'invention trouvent prolongement et usage dans la vie sociale ou économique matérielle ;
- la figure 13, un mode de déploiement du procédé selon l'invention permettant d'anonymiser et d'encadrer restrictivement la mémorisation d'un flux pour lequel l'auteur ne disposerait pas d'une pleine liberté de choix du destinataire, d'une pleine liberté d'activation ou non de ce flux, ou encore d'un plein contrôle sur le système émetteur de ce flux ;
- la figure 14, un mode de déploiement particulier du procédé selon l'invention où un réceptionnaire aura accès à des attributs d'identité ou d'information présents dans le protocole informatique ou de communication, mais sans connaître la nature et le détail de sa relation à suivre avec l'auteur. Il ne sera de la sorte informé que de l'existence de ce lien ;
- la figure 15a, un emploi du dispositif dans une relation interentreprises ou inter-sites, à but administratif ou productif ;
- la figure 15b, une configuration d'emploi en tant que cachet, timbre ou bâton témoin, passant entre porteurs successifs, et transmetteur d'une signification, d'une grandeur ou d'une valeur convenue, ou d'une forme d'exclusivité ;
La figure 1a illustre de manière simplifiée et non exhaustive le principe général du procédé selon l'invention, dans ses moyens, ses actions, ses points d'impact et ses conséquences. L'invention utilise un dispositif 10' essentiellement constitué de trois outils centraux, que sont une autorité d'anonymisation, un moyen de marquage des protocoles informatiques ou de communication par un signe distinctif et caractéristique nommé griffage, et une serrure dite numérique. Cette serrure constitue en soi un pendant au précédent signe distinctif puisqu'elle représente, entre autres fonctionnalités, une empreinte en creux de celui-ci, ou son moule originel puisque la chronologie de leur naissance respective est renversable autant que plaçable en simultané, tout autant qu'il peut s'agir d'un négatif d'image, d'une contre- silhouette ou d'un contre-profil, de la cicatrice, sillage, d'un événement, éventuellement normé, tel ici que ce griffage. De cette parenté peuvent naître des fonctions multiples d'identification, d'authentification, de validation, mais aussi d'accroché sur le principe des tenons et mortaises. Ce peut être encore l'apparition d'une signification ou d'une action lors de leur réunion.
Ces trois outils complémentaires, qui disposent d'autres qualités décrites par la suite, concourent à élaborer un dispositif 11 ' qualifiable de spatio-temporel, au sens où il organise un espace où vont intervenir plusieurs acteurs impliqués dans une même procédure complexe tel qu'un achat sur internet ou la géolocalisation d'un objet communicant. Cette organisation de l'espace est une architecture qui s'impose à ces acteurs, à ces objets ainsi qu'à des données donc des connaissances ou des secrets, ou encore à des actions. L'architecture revêt une dimension temporelle puisqu'elle participe à la création d'enchaînements, de séquences, de priorités ou de simultanéités entre ces actions. Ainsi le dispositif spatio-temporel met en place à la fois :
- des cloisonnements : exprimables par le fait notamment de parcelliser des entités autant que des actions, de les séparer et les rendre autonomes ou assujetties à des finalités différentes, ainsi encore que masquer, brouiller, dé-marquer et rendre anonyme.
- un mode de canalisation : exprimable par le fait notamment de les distribuer de manière parallèle ou séquentielle, les composer, créer des liens ou des coopérations, agréger, démasquer ou re-marquer ces entités ou ces actions.
Ce dispositif 11 ', par son cloisonnement et sa canalisation, affecte de manière définitive ou provisoire ainsi donc que parfois réversible, les entités et les actions concernées 12' sous leurs deux propriétés quantitative et qualitative. Le quantitatif englobe en particulier le fait d'en multiplier ou réduire le nombre, d'en modifier le périmètre, tandis que le qualitatif porte surtout sur la modification de leur nature ou de leur identité. L'identité d'une personne ou d'un objet pouvant être même considérée comme la première de ses qualités constitutives.
L'ensemble de ce dispositif spatio-temporel agissant sur les facettes quantitatives ou qualitatives d'un quelconque processus complexe, s'appliquera aux trois composantes de ce processus 13', résumables par « qui fait quoi ». « Qui » désignant par exemple les sujets ou les rôles tenus par eux, le verbe faire désignant telle tâche ou telle fonction, et le « quoi » désignant l'objet ou encore les données concernées. Un cloisonnement ou une canalisation peut de la sorte affecter le qui, mais aussi le quoi ou une fonction. Modifier le nombre, le périmètre, la nature voire l'identité est applicable autant à ce qui, à ce faire et à ce quoi.
La figure 1 b précise le mécanisme général de cloisonnement et de canalisation, en illustrant les lignes de scission 180, 181 et leur ordonnancement temporel, avant ou après qu'un flux ait été émis, voire retransmis pour tout ou partie à un tiers.
Le procédé selon l'invention conçoit un compte sécurisé 45, faisant coffre, apte à recevoir en dépôt, de la part de l'auteur, des instructions 182 telles que des consignes délivrables ultérieurement ou des informations. Il peut également s'agir d'éléments d'identité, par exemple une identité véritable, cryptonymique ou pseudonymique, et de correspondance entre certaines de ces identités. Le coffre 45 est muni d'un dispositif à serrure 50, numérique ou analogique, activable par un griffage multifonctionnel faisant clé. Le ou les réceptionnaires présentant ladite clé à ladite serrure, cette clé portant un secret qui ouvre la serrure 50 agissant comme protocole cryptographique de contrôle d'accès au dit compte sécurisé.
Dans un mode de mise en œuvre particulier, d'une part le griffage faisant clé et d'autre part la dite serrure, sont chacune en totalité ou en partie le répondant de l'autre, soit comme profil et contre-profil, soit comme une image et son négatif, soit comme une matrice et son œuvre, soit comme une griffe et sa cicatrice, cette complémentarité vers un tout ou vers une succession générant des capacités de dialogue, de correspondance, de reconstitution du tout ou de la filiation, à des fins de validation, d'identification ou d'authentification, d'actionnement d'un signal ou d'un mécanisme, d'expression d'une signification ou d'une instruction telle qu'une consigne ou une donnée, ou de solidarisation entre eux.
Ce griffage est apposé par l'auteur, au moyen d'un système de marquage, au niveau du protocole informatique ou de communication 183 d'un flux ou d'un fichier 1 , lequel protocole est assimilable à un contenant. Ce contenant autant que le contenu 184 étant soumis à de possibles restrictions totales ou partielles d'accès, de traitement, de mémorisation ou de transmission et retransmission, sur la base des consignes obtenues via le griffage auprès du compte sécurisé 45 ou de l'autorité d'anonymisation, ou encore sur la base de consignes préalables correspondant au simple constat de présence du griffage dans un protocole, par son réceptionnaire. Au moins une consigne de fonctionnement dédiée à au moins un réceptionnaire est transmise ou accessible au moyen du griffage. Ladite consigne de fonctionnement est par exemple une autorisation, une interdiction, totales ou partielles et discriminées, l'édiction de requêtes ou de clauses conditionnelles, l'activation, la modification ou l'arrêt d'une fonction d'un réceptionnaire.
Le procédé élabore un cloisonnement de données ou de consignes d'ordre temporel, en ce que :
- une partie de la scission 181 peut être effectuée avant son envoi (ante expédition), avec dépôt d'instructions 182 plaçables par l'auteur dans son coffre 45 muni de serrure 50 (compte électronique sécurisé) et géré par l'autorité d'anonymisation ;
- au moins une autre partie 180 peut être effectuée à réception (post expédition), selon des consignes accessibles auprès de l'autorité d'anonymisation ou via la même serrure 50, activées par la présentation du griffage accompagnateur de cet envoi.
Outre son caractère temporel, le cloisonnement avec canalisation est de ce fait également d'ordre spatial, puisqu'il parcellise et éventuellement disperse les instructions, entre un flux ou un fichier d'une part et le coffre 45 d'autre part, voire par ailleurs entre plusieurs réceptionnaires, ou encore hors d'accès de tout réceptionnaire. La figure 1c illustre à titre d'exemple les diverses parties d'un courrier ou d'un fichier 1 pouvant être affectées en cas par exemple d'une interdiction ou d'un ordre de lecture, traitement, enregistrement ou transmission, destiné à un réceptionnaire 2 :
- une partie prédéterminable de ce protocole, telle que l'identité de télécommunication de l'auteur ;
- éventuellement une partie prédéterminable du contenu, cette partie pouvant prendre la forme par exemple d'encadrés ou d'encarts numériques dans le courrier ou dans le fichier, ou encore de segments de son contenu répondant à une logique de coupon détachable. Ces derniers cas peuvent donner lieu à scission du courrier ou du fichier.
- un autre fichier 21 attaché à un courrier ou un fichier.
Les figures 2 et 3 décrivent ce signe distinctif nommé griffage, son fonctionnement et son rôle. Elles permettent de préciser la différence entre d'une part la valeur fonctionnelle intrinsèque de ce griffage, et d'autre part son statut de passeport pour obtenir auprès de tiers des informations supplémentaires ou d'autres consignes. La dichotomie entre signification intrinsèque et passeport, souligne l'élargissement des rôles de ce signe à la fois distinctif et de reconnaissance par rapport à la demande de brevet FR 2 932 043.
La figure 2 illustre le procédé de gestion d'un document 1 ou d'un courrier porteur de griffage émis par un auteur 10, le mode d'interprétation de ce dernier et les fonctions correspondant à sa présence. Elle détaille l'usage de la signification fonctionnelle intrinsèque de ce griffage, c'est-à-dire le fait que sa présence corresponde en soi à une fonction déclenchable par un réceptionnaire central 2, fonction qui peut être d'interdiction ou d'autorisation, de modification ou d'arrêt d'une action donnée telle que de lecture, accès, traitement, enregistrement ou transmission.
Comme décrit dans la demande de brevet FR 2 932 043, un dispositif 11 géré par une autorité d'anonymisation 4 fournit à l'auteur 10 un système de griffage et une convention d'emploi qui convienne de la signification fonctionnelle de ce griffage selon les réceptionnaires ou selon d'autres critères différentiateurs. La demande de brevet FR 2 932 043 privilégiait le fait que le griffage inséré dans le protocole soit quasi mono-fonction, centré sur le principe de pouvoir lire ou non certaines données. Il est dorénavant permis une variété de fonctions plus larges, de traitement, enregistrement ou transmission de chaque donnée. Cet élargissement est démultiplié par le fait que le griffage ne corresponde pas constamment à la même consigne selon ses types de réceptionnaires ou selon d'autres critères tels que de calendrier. Il en résulte une quasi-infinité de variantes, d'autant que chaque type de consigne peut relever d'un niveau total ou partiel.
Dans la figure 2, un même griffage exprime envers le réceptionnaire central 2 une interdiction d'accès et d'enregistrement à tel contenu, puis exprime une autorisation à un réceptionnaire périphérique 3 qui le recevra à suivre.
Ainsi, pour ce réceptionnaire périphérique 3, le griffage sera consigne pour lancer des actions à partir des informations présentes dans ce courrier ou ce fichier, notamment dans la partie restée éventuellement interdite d'accès pour le seul réceptionnaire central 2.
Soit le réceptionnaire 2 ou 3 a d'emblée connaissance de la signification fonctionnelle du marquage, soit il la demande à l'autorité d'anonymisation 4 ou à la serrure en lui présentant copie de ce griffage ou du protocole dans son ensemble. L'autorité ou la serrure transmet la correspondance entre ce griffage et la consigne correspondant à tel réceptionnaire, ou tel type de réceptionnaire. Il peut donc y avoir plusieurs consignes différentes selon la nature et le nombre des réceptionnaires, voire une progressivité de délivrance de ces consignes.
Dès constat de présence et interprétation du griffage par un réceptionnaire 2 ou 3 ou tout lecteur autorisé, les fonctions correspondantes sont activables. Dans un autre mode de mise en œuvre, une interdiction d'accès, de lecture, de traitement ou d'enregistrement peut prendre la forme d'un rejet immédiat des documents, tronçons ou espaces d'information incriminés, afin qu'ils ne pénètrent pas dans le système informatique par exemple du réceptionnaire central. Les données correspondantes seront soit refusées et sans destinataire, soit automatiquement orientées vers des réceptionnaires périphériques 3 prédéterminés. Dans une option intermédiaire, il peut s'agir d'une zone tampon ou d'une boîte noire, indépendante du système informatique du réceptionnaire central 2, et placée en amont, sous ou hors de son contrôle.
Dans une autre variante, la présence du griffage sera constatée plus en amont, par exemple au niveau de l'opérateur de télécommunications 5 dès le transit du flux concerné. Par convention préétablie, la coexistence de ce griffage avec l'indication de tel destinataire préenregistré, orientera automatiquement tout ou partie prédéfinie du flux vers une tierce entité chargée d'une gestion déléguée, en substitut du réceptionnaire central. Cet aiguillage s'accompagnant de tâches éventuelles telles que de rétention partielle ou d'amputation, convenues selon le procédé général de réception initiale. Toutefois, hormis le fait d'intercaler cet opérateur, cette variante ne modifierait pas fondamentalement l'ordonnancement général puisque le destinataire central resterait central car usant d'un simple droit à la délégation, et car restant destinataire dans l'esprit de l'auteur ainsi que responsable de la bonne fin du processus.
La figure 3 détaille le rôle de passeport endossé par le griffage, pour obtenir d'autres informations ou consignes que celles, fonctionnelles, directement rattachables par un réceptionnaire à la gestion du courrier ou du fichier. Elle illustre le jeu respectif des divers réceptionnaires 2, 31 , 32 et des autorités d'anonymisation ou de la serrure, entre eux et vis-à-vis des données présentes dans ou hors du courrier ou du fichier 1 régi par le griffage.
La variété des réponses qu'une autorité d'anonymisation ou la serrure pourra délivrer au vu du griffage déborde du champ dans lequel se plaçait la demande de brevet FR 2 932 043. Cette dernière était, hors consignes, cantonnée sur des informations 201 , 311 , 321 souvent minimales, elles- mêmes reliées pour l'essentiel aux seules identités. L'autorité d'anonymisation 4 ou la serrure peut présentement délivrer tout type de consigne ou d'information, tel qu'une identité, un pseudonyme, une adresse, un élément de calcul comptable ou scientifique, c'est-à-dire plus généralement tout élément manquant pour la réalisation des tâches et pour la compréhension du traitement à leur administrer. À titre d'exemple, il peut s'agir d'une manière de déchiffrer tel contenu puis de s'en servir dans les règles, ainsi que son mode d'emploi général. L'autorité d'anonymisation 4 ou la serrure conserve les informations et consignes 201 , 311 , 321 pour le compte de l'auteur 10.
L'information ou la consigne pourra varier là aussi selon ses types de réceptionnaires ou selon d'autres critères tels que de calendrier.
À sa réception par des réceptionnaires 31 , 32, le griffage inséré dans le protocole, ainsi éventuellement que tout ou partie de ces données restées inconnues dans le courrier ou fichier, servent :
- soit de moyen d'accès à une consigne pour lancer des actions à partir des informations à la fois présentes dans ce courrier ou ce fichier, ajoutées à d'autres déjà en possession du réceptionnaire et à sa seule discrétion. Ces dernières seront nommées informations internes ;
- soit à la fois de moyen d'accès à une consigne et de moyen d'obtention ou d'activation d'autres informations nommées informations externes. Celles-ci, telle qu'une adresse postale, seront obtenues soit :
o par d'autres voies que le courrier ou fichier, et puisées à des sources externes telle que l'autorité d'anonymisation ou la serrure. Elles pourront être obtenues notamment à partir du griffage présent dans le protocole ;
o par un autre courrier parvenu directement au réceptionnaire périphérique, activé directement ou non par l'auteur. Informations internes ou externes sont nécessaires pour accomplir la tâche prévue, ou compléter l'accomplissement de cette tâche, ou nécessaires à la bonne gestion d'une relation avec l'auteur.
Les réceptionnaires périphériques 31 , 32, ou le réceptionnaire central 2 peuvent agir de même manière avec la partie éventuelle du courrier ou fichier sur laquelle ils ont eu le droit d'agir, mêlée elle aussi à des informations internes ou externes.
À un niveau plus conceptuel, et le terme inconnu pouvant s'entendre au sens d'inaccessible, illisible, indéchiffrable, incompréhensible ou inexpressif, il peut donc s'agir :
- de mise en relation d'information inconnue avec une autre information inconnue : à l'exemple d'un signe distinctif renvoyant à un autre secret ou code arbitraire, dans le cas d'un dialogue entre l'autorité d'anonymisation ou la serrure et un groupement de carte bancaire connaissant un client à travers un numéro personnel ;
- de mise en relation d'information inconnue avec une information connue, à l'exemple du griffage avec un nom patronymique ;
- l'option de mise en relation d'information connue avec une autre information connue, sans être exclue en tous points, présente des fragilités au regard de l'objectif de sécurisation du processus, qui en restreindra l'usage. Il peut s'agir de renvoyer un nom patronymique avec une adresse postale.
La figure 4 illustre le cas d'un document statique 41 présent par exemple sur un ordinateur, où un griffage 53 est inséré dans son protocole informatique. L'auteur, le détenteur, le dépositaire ou le gestionnaire 43 de ce document 41 peut d'une part apposer le griffage 53 dans le protocole, et d'autre part déposer la signification de ce griffage auprès de l'autorité d'anonymisation 4 ou par exemple d'un coffre numérique 45, protégé par une serrure.
Un visiteur 44 désireux d'accéder à ce document à des fins de connaissance, traitement, transmission ou enregistrement, doit, au vu de la présence du griffage 53, préalablement obtenir sa signification soit auprès de l'autorité d'anonymisation 4, soit auprès du coffre numérique 45.
La signification aura pu être diffusée a priori, ou correspondre à une signalétique connue et renvoyant à des consignes elles-mêmes diffusées. La signification peut être éventuellement accessible directement auprès de l'auteur qui a émis le griffage. Ceci, par son risque de dérangement répété ou par la perte d'anonymat éventuel qui peut en résulter, ne prend d'intérêt réel que dans des cas limités telles surtout que des activités intra-entreprises voire inter-entreprises où des relations directes entre collègues et sans anonymat sont habituelles. La figure 5a illustre la vérification du griffage auprès de la serrure 50. L'autorité d'anonymisation 4 sert d'interface avec l'utilisateur des griffages, l'auteur 51 de flux ou le détenteur de fichier, en lui octroyant les systèmes de griffage, en convenant d'un pseudonyme stable lié aux cryptonymes successifs, et en le connaissant par son identité réelle. La serrure 50 reçoit, a minima, information des griffages de l'auteur. Elle permet de valider la réalité, l'authenticité et l'actualité d'un griffage 53 présenté à elle par un réceptionnaire 52 d'un envoi portant un tel signe 53. Le griffage 53 s'apparente alors à une clé physique que l'on chercherait à introduire dans une serrure physique, à seule fin de vérifier leur adéquation, et s'assurer de ce que le profil transversal de la clé, de manière imagée avec ses rainures spécifiques, corresponde bien au découpage de l'orifice d'entrée de la serrure, et donc vérifier si elle peut ou non pénétrer dans ce logement. Ce sans avoir nécessité de la faire tourner une fois à l'intérieur. Le réceptionnaire et vérificateur peut toutefois recueillir d'autres informations via l'introduction de la clé dans cette serrure. Ce recueil se fait de manière mécanique par un système de marquage où un griffage inséré dans une serrure en ressortirait avec l'empreinte supplémentaire d'une seconde information. Cela, de la même manière qu'une clé physique non taillée dans son sens longitudinal peut être introduite dans une serrure et se voir marquée à l'intérieur, par craie ou peinture préalablement aspergée sur les garnitures internes, d'un contour dessinant ce profil recherché. Ou ici, par transposition, d'un contour dessinant le pseudonyme correspondant au cryptonyme. Ce mécanisme est utilisable autant pour prendre connaissance par exemple de la partie restée inaccessible du protocole informatique ou de communication, ou encore de toute consigne, information, secret ou signal. Présentement ne se produit aucun actionnement de la serrure, mais la simple apposition d'une empreinte informatrice sur, avec ou dans une précédente empreinte faisant office de clé. Cette apposition est consécutive à la vérification d'adéquation entre cette clé et cette serrure, lors de leur mise en relation.
La figure 5b présente un usage particulier de la serrure, de confirmation auprès d'elle que le griffage appartient bien à son auteur homologué. Il n'est présentement pas encore désiré ouvrir un coffre, un accès, un sas ou actionner un autre mécanisme, et le seul bon fonctionnement de cette serrure sera en soi une information pertinente.
La serrure 50 aura connaissance des coordonnées ou identité de télécommunications d'un auteur aussi bien si nécessaire que de son pseudonyme. Ces coordonnées de communication correspondant à ce qui apparaît dans le protocole complet d'un de ses envois.
L'action consistera à introduire la clé, puis à tenter de faire tourner la serrure. Il sera ici considéré que le profil longitudinal de la clé a pu demeurer caché au réceptionnaire 52, parallèlement au fait qu'il n'aura pas accès à la morphologie interne du barillet 502, avec en particulier la longueur des goupilles ou la position des garnitures internes. Par transposition, le profil longitudinal caché de la clé correspond ici à la partie restée fonctionnellement interdite d'accès 532 au sein du protocole informatique ou de communication, et la morphologie interne du barillet correspond à cette même partie telle que connue et transmise à la serrure par l'autorité d'anonymisation 4.
Cet usage sert notamment à confirmer auprès du réceptionnaire et vérificateur, en cas de correspondance avérée entre la partie fonctionnellement interdite d'accès 532 et la morphologie interne du barillet 502, que la partie visible 531 ou accessible pour lui dans le protocole, est bien couplée à la partie qui lui est restée invisible 532 ou inaccessible. C'est- à-dire par exemple confirmer à ce réceptionnaire que tel griffage dont il a connaissance est bien couplé à l'identité de communication qui l'accompagne, tels que l'autorité d'anonymisation 4 les reconnaît liés.
La figure 5c présente une affectation où la serrure sert à tous les usages courants d'une serrure, tels notamment qu'actionner un mécanisme ou un signal, autoriser ou non un accès, ouvrir un sas ou un coffre 59 pour accéder à son contenu.
Cette fonction peut relever aussi bien d'un automatisme indépendant de la volonté de cet utilisateur, qu'à une configuration où il peut par exemple choisir ce dont il a besoin dans un coffre préalablement rempli de diverses données par l'auteur ainsi éventuellement que par l'autorité d'anonymisation. Ce coffre 59 peut être personnalisé et réservé à l'accès d'un seul destinataire pré-désigné, autant qu'être accessible à plusieurs ou tous les destinataires éventuels. Ce coffre peut s'apparenter aussi à un garde-meubles, dans le cas où l'auteur choisisse d'être son propre destinataire. L'accès au coffre peut être assujetti à toutes formes de contraintes ou conditions suspensives, telle qu'une ouverture seulement après une date déterminée. Les contenus que le réceptionnaire peut recueillir via cette serrure et par l'ouverture d'un coffre numérique 59, ne sont pas limités a priori : il peut s'agir d'attributs d'identité, du pseudonyme de l'auteur aussi bien que de toute donnée, consigne, signal informatif ou déclencheur, sous la seule réserve que le dépôt y ait été fait par ou avec l'assentiment soit de l'auteur soit de l'autorité d'anonymisation soit de tiers habilités par eux, selon les diverses chartes d'emploi envisageables. Dans les cas où il ne s'agit pas d'un coffre mais d'un autre type de dispositif tel qu'un sas ou un mécanisme, leur configuration et leur fonctionnement sera réglé à nouveau soit par l'auteur soit par l'autorité d'anonymisation.
La fonction habituellement dévolue à un tiers de confiance est ici subdivisée entre une autorité d'anonymisation 4 et cette serrure 50. Cette serrure peut être une entité unique et autonome faisant office de guichet. Elle peut présenter d'autres configurations, jusqu'à son installation auprès du réceptionnaire 52, dans une logique par exemple de boîte noire recevant prioritairement les flux. Dans ce dernier cas, l'actualisation des données relatives aux griffages variants ou encore contenues dans le coffre numérique, se fera par le truchement soit d'un point central gérant ces serrures numériques décentralisées, soit de l'autorité d'anonymisation, soit d'un panachage des deux. La notion de point central n'implique pas son immuabilité ni son caractère unique.
Dans une variante, le réceptionnaire et vérificateur pourra se voir astreint, pour pouvoir vérifier un griffage faisant cryptonyme auprès de la serrure 50, à faire lui-même usage d'un système d'identification ou d'authentification qui le signale comme réceptionnaire connu et autorisé.
La figure 6 illustre un exemple d'usage d'une clé numérique requérant celui de contre-clés. Un auteur 51 dispose d'un document, ou émet un courrier, avec un griffage 53.
Un coffre donné 45 se voit muni d'une serrure 50 correspondant au griffage 53 inséré dans un protocole, ainsi que d'une seconde serrure 50' correspondant à une marque 53' accordée à un réceptionnaire 52 ou à une autorité déléguée. Ce réceptionnaire 52 ou son délégué, pour ouvrir le coffre ou pour actionner la première serrure 50, doit faire usage à la fois du griffage 53 découvert dans le protocole, nommé clé, et de sa propre marque 53' nommée contre-clé.
Le nombre de serrures n'est pas limité et d'autres contre-clés 53", correspondant à d'autres serrures 50", peuvent être attribuées au réceptionnaire, ou à un tiers tel que peut l'être un de ses collègues 61 , voire à l'auteur qui a apposé le griffage initial.
L'entité 4 qui accorde ou non, émet et distribue les clés et les contre-clés est une autorité d'anonymisation. Avantageusement, il pourra s'agir d'une entité dédiée à cette fonction. Ce peut être un pluriel d'entités. Une autorité d'anonymisation peut être elle-même détentrice d'une contre-clé pour tel coffre.
La figure 7 présente les grandes étapes possibles d'un procédé selon l'invention, appliqué à titre d'exemple à un réceptionnaire central 2 ayant reçu une commande 1 émanant d'un client dans le cadre d'un achat en ligne par exemple sur internet. Leur relation basée sur un désir de protection de divers attributs d'identité du client, se traduira auprès du gestionnaire de site internet par le fait de lui interdire fonctionnellement par exemple de prendre connaissance ainsi que de conserver et d'archiver, ou de traiter, des données contenues.
Ce réceptionnaire 2 préparera le colis et la facture, mais ne connaîtra ni le nom de l'acheteur, ni ses références bancaires, ni son adresse postale pour faire acheminer le colis. Sa connaissance se réduira à :
- l'existence d'un griffage 71 inséré dans le protocole, lui ayant par ailleurs fonctionnellement interdit d'accéder notamment aux coordonnées de télécommunication de l'auteur ;
- la nature et le détail de la commande ;
À partir de ses tarifs correspondant à cette commande, il émettra une facture mais dépourvue encore du nom du débiteur.
Copie du griffage sera adressée par lui à un groupement de cartes bancaires 72, accompagné de la facture sans nom. Ce signe de reconnaissance permettra au groupement de déterminer l'identité du débiteur à y ajouter, et de procéder au prélèvement financier correspondant. Le même griffage sera adressé à une administration postale 73, accompagné du colis sans nom de destinataire. Ce signe permettra au postier d'ajouter le nom et l'adresse physique correspondants.
Dans les deux cas, ces destinataires périphériques que sont un groupement de cartes bancaires 72 ou une administration postale 73, demanderont ou auront reçu en parallèle transmission de l'équivalence entre tel griffage et telle information périphérique laissée à leur seule discrétion. Cette mise à disposition parallèle ou séquentielle peut résulter soit d'une communication directement faite à leur attention par l'auteur 10, soit, dans un mode d'organisation plus rationnel, par l'autorité d'anonymisation 4 qui centralisera la gestion des équivalences ou via la serrure. L'une ou l'autre coopérera avec les réceptionnaires périphériques 72, 73, en leur transmettant l'équivalence entre un griffage 71 et une identité réelle ou autre attribut ponctuel d'une personne.
Ce réceptionnaire périphérique,
o dans le cas d'un groupement de cartes bancaires 72, connaîtra généralement déjà les références bancaires liées à l'identité de son client ;
o dans le cas d'une administration postale 73, généralement ignorante des références domiciliaires de la personne, l'autorité d'anonymisation ou la serrure pourra les détenir et les lui transmettre, autant que toute autre adresse non domiciliaire et laissée au choix de l'auteur. Cette dernière adresse pourra être celle de la personne bénéficiaire d'un achat de fleurs ou d'un bijou à faire livrer par un tiers, lorsqu'on désire que le commerçant ne connaisse ni l'acheteur ni la bénéficiaire.
Le nombre de réceptionnaires périphériques n'est pas limité, et l'exemple précédent peut être étoffé. Par exemple, un opérateur de télécommunications 75 est susceptible d'être activé pour acheminer une réponse à l'auteur 10, en ajoutant son adresse internet sur un libellé provenant du réceptionnaire central 2. Ce dispositif fonctionne aussi si l'auteur du courrier ou de la visite devient à un moment ultérieur bénéficiaire par exemple d'un téléchargement ou pour toute autre réception.
Les informations et consignes transmissibles via l'autorité d'anonymisation 4 ou la serrure ne sont pas limitées a priori. Il peut s'agir non seulement d'un attribut d'identité telle qu'une adresse postale, mais aussi de précisions sur les modalités d'envoi désirées, sur le type d'emballage désiré ou toute autre requête. Dans une variante, et afin de limiter le pouvoir d'action ou de décision autonome laissé aux réceptionnaires périphériques, il peut être envisagé que ces informations périphériques soient elles-mêmes incomplètes ou insuffisantes pour comprendre ou mener à bien la tâche prévue, sans réception en sus :
- soit d'une partie visible du contenant ou du contenu du courrier, transmise par le destinataire central ;
- soit d'une partie de ce courrier, invisible pour le seul destinataire central, mais transmissible par lui ;
- soit enfin d'une addition des parties visibles et invisibles, présentes au choix tant dans le contenu que le contenant.
Dans la suite du processus, et aux fins de compléter l'anonymisation, le réceptionnaire périphérique en charge du prélèvement financier sur le compte de l'auteur pourra servir de compte intermédiaire lors du versement au réceptionnaire central.
De même qu'une administration postale pourra remplir les mêmes bons offices d'intermédiation pour un accusé de réception.
La figure 8 présente les étapes possibles d'une réponse anonymisée à une candidature elle-même anonymisée, ou à une notation d'un test mené en ligne, puisque les diverses tâches citées dans cette dernière sont susceptibles de motiver de mêmes désirs de confidentialité ou d'intimité en sens retour. Cette configuration peut également suivre chronologiquement celle de la figure 7.
Le réceptionnaire central 2 reçoit la soumission 1 sans pouvoir accéder au contenu, automatiquement transmis à un réceptionnaire périphérique 73 qui en ignore l'auteur. La notation ou réponse est ensuite transmise par l'intermédiaire soit du réceptionnaire central 2 s'il a le droit de connaître l'auteur, soit plus avantageusement pour parfaire l'anonymisation par l'intermédiaire d'un tiers 81 , à qui il adresse le griffage ainsi que la notation ou réponse. Ce tiers obtient les coordonnées de l'auteur auprès de l'autorité d'anonymisation 4 ou via la serrure, et lui adresse la réponse sans précision sur l'intervenant qui l'a formulée. La figure 9 présente les étapes possibles qui permettent à un réceptionnaire de données, tel qu'un site de commerce électronique 2 de poursuivre une partie de ses activités de bonne connaissance ou de profilage de ses consommateurs ou visiteurs, mais via une forme d'anonymisation qui ne la perturbe pas sur sa partie utile. Ne se trouve abolie que la partie intrusive envers l'intimité des personnes, qui consiste à les connaître cette fois nominativement. Laquelle partie intrusive présente le défaut d'être souvent dissuasive, pour certains achats ou certaines visites. Le fait dorénavant de connaître et reconnaître un habitué sous le pseudonyme dédié d'Arlequin 74, par exemple, ne sera dans la quasi-totalité des cas pas moins efficace que sous son vrai nom, pour lui proposer des prestations ou des avantages calqués sur son comportement ou sa situation passés. Le procédé selon l'invention ajoute par ailleurs à cet anonymat garanti au visiteur, une même impossibilité à raccorder son comportement à la facturation pour l'acheteur, via les réceptionnaires périphériques bancaires.
Un réceptionnaire constatant la présence d'un griffage 71 sur un courrier, obtiendra son équivalence sous forme du pseudonyme de l'auteur, tel qu'Arlequin. Le pseudonyme 74 est invariant, tandis que le griffage 71 est variant, susceptible d'avoir changé depuis le dernier courrier. L'autorité d'anonymisation 4 ou la serrure est à même de raccorder cette suite de griffages à leur pseudonyme stable.
Le réceptionnaire principal 2 est ainsi à même de relier la présente visite ou demande de l'auteur, à son passé et aux observations faites antérieurement. Dans le cas d'un laboratoire d'analyse par exemple, il peut s'agir de mesurer l'évolution d'un facteur de santé. Dans le cas d'un site internet, il peut s'agir d'avoir répertorié ses achats, préférences, centres d'intérêt, ainsi que ses droits ou devoirs tels qu'une remise pour fidélité d'achat. Ce réceptionnaire 2 pourra également envoyer des courriers à cet auteur, sans connaître son identité réelle, et en passant par des réceptionnaires périphériques 73, 75 qui obtiendront ces données confidentielles via l'autorité d'anonymisation 4 ou la serrure, sur présentation du griffage. De même, le réceptionnaire central 2 pourra personnaliser, par exemple via un webmestre 91 , la page visitée, en la configurant en fonction de cette connaissance du passé d'Arlequin. La figure 10 présente une variante apportant une restriction au principe de reconnaître sans connaître, présenté par la figure 9. Variante possible lorsqu'elle est acceptée par tous les protagonistes, et autorisant plusieurs pseudonymes simultanés ou successifs à un même auteur. Cet arbitrage où un ou plusieurs griffages renvoyant à une pluralité de pseudonymes se raccorderaient tous à la même identité par un jeu d'arborescence, ou formeraient des alias en chaîne unique, renforcerait le secret qui l'entourerait, à l'avantage de l'auteur mais au détriment informatif du réceptionnaire. Ceci peut s'inscrire dans une logique de pseudonymes à la carte, comme il existe des identités à la carte ou des degrés de protection et de sécurité à la carte, et correspondre à une attente de l'auteur supportable par le destinataire.
Dans cette configuration, le réceptionnaire central 2 ignorera le lien existant entre les divers pseudonymes d'un même interlocuteur, mais conservera la garantie que sous ses multiples apparences il reste homologué par l'autorité 4 accordant les pseudonymes. Homologation susceptible de découler de critères sélectifs eux-mêmes connus du réceptionnaire 2, ces critères étant capables de maintenir un interlocuteur comme persona grata ou bénéficiant d'avantages.
En prolongement, le réceptionnaire 2 pourrait signaler auprès de l'autorité 4, qu'elle considère désormais tel interlocuteur comme persona non grata, quel que soit son pseudonyme du moment, et ainsi le proscrire à l'avenir lors d'un courrier ou d'une visite de sa part. L'interdiction pourrait éventuellement être plus absolue par un mécanisme d'élargissement du périmètre de la sanction auprès d'autres réceptionnaires 21 , 22 ayant accepté le principe de cette communauté décisionnaire d'agrément, de notation, de bannissement ou de quarantaine. Par exemple, une banque qui considérerait qu'un veto émis par un groupement de cartes bancaires à rencontre d'une personne, s'applique automatiquement à elle aussi, au moins à titre conservatoire.
De manière préférable, cette variante pourra être déployée selon un mode où l'auteur 10 peut choisir initialement mais définitivement celui de ses pseudonymes qu'il désire, pour s'adresser à tel réceptionnaire 2, 21 , 22. Par la suite, il conservera ce pseudonyme durant ses courriers ultérieurs. De la sorte, deux réceptionnaires différents ne pourraient pas savoir qu'Arlequin, chez l'un, et Pierrot, chez l'autre, correspondent au même auteur, tout en sachant que leur détenteur correspond sous ces deux étiquettes à leurs code comportemental admis. De même, par un effet de partenariat par exemple entre sites de commerce électronique, la fidélité d'un visiteur à deux sites pourrait déboucher sur des remises calculées sur l'addition de ses consommations chez chacun. L'un des intérêts de cette formule est une limitation au croisement des fichiers au-delà de ce qui suffit pour la bonne relation au consommateur.
L'option où l'auteur peut choisir des pseudonymes différents pour s'adresser à un même interlocuteur pourra faire l'objet d'un refus venant de partenaires commerciaux.
Elle est cependant envisageable dans le cas où l'échange relève par exemple d'une expression de sa pensée, tel qu'un visiteur régulier de forum de discussion politique, qui ponctuellement souhaite déroger à son pseudonyme habituel sous lequel ses interlocuteurs le connaissent, pour exprimer un point de vue ponctuel moins orthodoxe.
Avantageusement, et afin de limiter des échanges d'information intempestifs, l'autorité d'anonymisation 4, ou la serrure via un mécanisme de dépôt et d'enregistrement, pourra servir de pôle centralisateur des notations, appréciations ou cotations venant des divers réceptionnaires, et concernant un même auteur quel que soit le pseudonyme 101 sous lequel il est initialement étiqueté. Cette autorité d'anonymisation 4 ou la serrure distribuera ces jugements aux autres réceptionnaires soit à leur demande au vu du griffage transmis, soit de manière plus automatisée selon une charte d'emploi prédéfinissable. La figure 1 1 présente une configuration dans laquelle un même auteur 10 peut disposer simultanément de plusieurs griffages différents A, B, utilisables selon son choix ou selon des procédures prédéfinissables.
Ce caractère adaptatif pourra porter aussi sur le fait de faire pré-enregistrer plusieurs comptes bancaires 111 , 112 ou plusieurs cartes de paiement ou encore par exemple plusieurs adresses et plus généralement tous attributs. Chaque pré-enregistrement donnant lieu à attribution non seulement d'un griffage A, B, mais d'une filiation de ce signe distinctif, puisque celui-ci est variant.
Cette pluralité de choix offrant la possibilité de rendre préférentiellement activable l'un plus que l'autre, selon des chartes d'emploi prédéfinies et actualisables si de besoin, une charte liant l'auteur 10 à l'autorité d'anonymisation 4, qui dès lors transmettra à un réceptionnaire 72 l'information correspondante.
Une variante consiste par exemple à ce qu'un courrier vers un réceptionnaire 2 soit couplé à une copie avec consigne ponctuelle, vers l'autorité d'anonymisation 4 ou sous serrure. Cette formule moins simple serait envisageable principalement pour des cas de figure suspendus à des réserves, des clauses conditionnelles, suspensives ou moratoires, des confirmations ou validations à venir, tels qu'un choix final de compte à débiter fait après vérification des avoirs réellement disponibles sur les divers comptes de l'auteur. Ce peut être envisagé aussi pour les cas de validation ultérieure d'un choix sur lequel l'auteur a légalement le droit de revenir, ou lorsqu'il attend livraison effective d'un produit ou d'un service pour juger de sa qualité réelle.
La figure 12 présente des dispositions dans lesquelles des pseudonymes, des polynymes ou des cryptonymes selon l'invention sont susceptibles de prolongements et d'usages dans la vie sociale ou économique matérielle. Le triple niveau constitué d'une identité réelle couverte par des griffages fonctionnellement masquant de cette identité, et eux-mêmes rattachables à un ou plusieurs pseudonymes 123, sont utilisables dans la vie réelle. Un pseudonyme pourra de la sorte s'exprimer, en substitut de la traditionnelle identité réelle, sur un support physique matériel, telles qu'une sorte de carte d'identité, une carte à puce, un ticket, un jeton ou encore une forme de tatouage ou d'en-tête personnalisés. Ceci pourrait trouver emploi par exemple pour venir retirer à un guichet ou pour justifier auprès d'un contrôleur une commande préalablement passée et payée par télécommunications.
L'auteur par exemple d'une commande sur internet ou via son téléphone mobile pourra d'une part être débité selon les modalités déjà exprimées dans la figure 7, mais de plus passer prendre l'objet ou le service acheté auprès d'un guichet 121. Il se présentera alors muni d'un support physique 122 tel qu'un badge, marqué de son pseudonyme, Arlequin par exemple, et délivré par l'autorité d'anomysation 4. Le guichet aura reçu l'équivalence entre le griffage présent dans le courrier de la commande 1 , et ce pseudonyme. Des mesures de sécurisation du badge sont envisageables, soit internes au support, soit par des recoupements complémentaires entre certains codes ou marques distinctives présents sur ce support et référencés par l'autorité d'anonymisation ou la serrure.
La figure 13 présente un mode de déploiement du procédé selon l'invention permettant d'anonymiser et d'encadrer restrictivement la mémorisation d'un flux 1 pour lequel l'auteur 10 ne disposerait pas d'une pleine liberté de choix du destinataire 2, d'une pleine liberté d'activation ou non de ce flux, ou encore d'un plein contrôle sur le système émetteur de ce flux. Ce cas de figure est fréquent, s'agissant de supports de communication à usage unique ou à gestionnaire unique, telles que des sociétés de transports en commun. Celles-ci optent fréquemment en matière d'anonymisation soit sur un effacement de mémoire en une ou plusieurs fois, donc postérieur à la mémorisation, soit sur une anonymisation antérieure à la fabrication et la délivrance du support. La présente solution s'intercalerait entre les deux options précitées.
Le titre de transport électronique d'une personne ne se signalerait en termes d'identité, auprès des bornes de passage 131 , que par le griffage, masquant fonctionnellement tout autre attribut d'identité. Ce griffage serait par la suite éventuellement transmis à l'autorité d'anonymisation 4 ou la serrure, via un réceptionnaire central 2, en cas de désir de profilage du comportement dans la durée, mais ne serait connu que par le pseudonyme invariant transmis en retour.
II peut s'agir à titre de second exemple d'un opérateur de télécommunications mobiles, dont le terminal de chaque abonné adresse par intermittence un signal au réseau d'antennes relais, pour lui signaler sa position géographique actuelle en cas d'appel venant d'un tiers. Faute d'anonymisation selon la présente invention, beaucoup de ces dispositifs aboutissent à des formes de traçabilité qui font dépendre le respect de l'intimité d'une sécurisation aléatoire de la détention ou de l'effacement des données correspondantes, ou d'une déontologie difficile à vérifier. Pareille solution technique trouverait également application dans nombre de terminaux ou supports communicants, et en dialogue tant avec des bornes terrestres ou embarquées qu'avec des satellites de positionnement et de géolocalisation.
Cette voie serait d'autant plus désirable que de tels dialogues, lorsqu'ils se font avec un gestionnaire unique, relèvent généralement du seul vouloir de ce dernier.
Par le procédé selon l'invention, un tel gestionnaire ne connaît le comportement d'un usager qu'à travers le griffage correspondant à un pseudonyme. Selon les cas de figure choisis, il pourrait par ailleurs continuer ou non à gérer parallèlement un client en le connaissant cette fois par son identité puis notamment à travers ses paiements successifs. Toutefois, même en cas d'une pareille connaissance parallèle de son identité réelle, le gestionnaire ne pourrait établir de lien avec un profil comportemental donné, au sein de tous ses clients. Cette option en découpage lui permettrait sur la facette nominative de vérifier des impayés ou, parmi d'autres possibilités relationnelles, de lui assurer des remises ou avantages découlant de sa position de client.
Un troisième exemple d'application concernerait les éditeurs de logiciels ou fabricants de composants électroniques aptes à dialoguer directement et sur leur initiative immédiate ou programmée, avec un logiciel ou équipement installé sur le terminal d'un usager. Le fait de désirer constater en ligne une panne, un comportement ou un état général, ne serait rattaché qu'au seul griffage de cet usager. Cette procédure serait parallèle et découplée de celle de gestion de la relation au client en tant qu'acheteur et payeur connu, selon un mode de déploiement cloisonné : autorité d'anonymisation éventuellement couplée à une serrure d'une part, et réceptionnaires périphériques d'autre part. Le terme acheteur s'élargit aux formes de contractualisation courantes en informatique, telle que la location.
La figure 14 présente un procédé selon l'invention où un réceptionnaire 2 de courrier 1 aura accès à des attributs d'identité ou d'information présents dans le protocole de communication, mais sans connaître la nature et le détail de sa relation à suivre avec lui. Il ne sera de la sorte informé que de l'existence de ce lien.
Ce mode de déploiement particulier du procédé selon l'invention s'écarterait des fonctions basiques dérivées de la présence de ce griffage. Ces fonctions optionnelles de base étant, pour rappel :
- interdiction de prise de connaissance de tout le contenu du courrier ;
- interdiction de prise de connaissance d'une partie du contenu du courrier, précédemment évoquée par les exemples d'encarts, encadrés ou autres coupons détachables ;
- interdiction de prise de connaissance de documents attachés ;
La fonction dominante et constante ci-dessus restant celle d'interdiction de prise de connaissance de tout ou partie du reste du protocole.
Dans une inversion, il serait possible que, en cas de présence d'un griffage dans ce protocole, le réceptionnaire central 2 ait droit de lire ce protocole et lui seul, d'en connaître donc l'auteur 10 au moins par ses coordonnées de télécommunications, mais sans pouvoir accéder à tout ou partie du contenu. Ce contenu resté inconnu de lui serait transféré à des réceptionnaires périphériques, édulcoré par amputation de son protocole initial. Cette transmission concernera pour tout ou partie par exemple le contenu du courrier et d'éventuels documents attachés. Les réceptionnaires périphériques 72, et indirectement 141 et 142, obtiendront via la serrure ou auprès de l'autorité d'anonymisation 4, contre présentation du griffage, les informations et consignes nécessaires à la bonne réalisation de leur tâche, tel que le compte bancaire à débiter.
De la sorte, le réceptionnaire central 2 saurait avoir tel auteur comme client, comme adhérent ou interlocuteur, mais resterait ignorant de la prestation qui va lui être fournie. Dans pareil cas, si la prestation donnait lieu à une facturation ou autre comptabilité, le montant concerné serait au final par exemple noyable dans la masse des autres encaissements et resterait inconnu dans le détail par le réceptionnaire central. Un tel cas de figure pourrait utilement trouver application lors de dons versés à un organisme caritatif ou pour une quête en ligne, lorsque les auteurs ne sont pas désireux que le montant versé par chacun soit connu du réceptionnaire ou du bénéficiaire ultime. Ce dernier saurait qui remercier, sans pouvoir porter de jugement quant aux montants respectifs. Le spectre concerné irait d'une cagnotte pour un départ en retraite, jusqu'à une donation ouvrant droit à défiscalisation elle-même gérée par un réceptionnaire périphérique ad hoc. Une option voisine serait que le réceptionnaire central 2 ne conserve à nouveau que le protocole, mais sans avoir le droit d'y connaître autre chose que le griffage. De la sorte, il sera informé de la fidélité de tel interlocuteur anonyme, de l'acte d'envoi fait par cet auteur à son attention, et sera apte à lui garantir que le courrier est bien parvenu. Ce retour sous forme d'accusé de réception s'effectuant, faute d'adresse de communication, par un réceptionnaire périphérique tel qu'un opérateur de télécommunications.
La figure 15a présente un emploi du dispositif dans une relation telle qu'inter- entreprises ou inter-sites, où le griffage permettra la délivrance de données ou de signaux. Un fichier informatique 1 dont le protocole porte un griffage, et conservé sur l'ordinateur d'une société « auteur » 10, reçoit la visite ou encore la demande de téléchargement d'un employé d'une entreprise partenaire, ou d'un autre site, qui souhaite en utiliser le contenu. La présence du griffage renvoie initialement ce visiteur ou réceptionnaire 2 vers l'autorité d'anonymisation 4 ou la serrure, qui lui délivrent des conditions, requêtes, consignes ou informations, préalables, simultanées ou consécutives à l'éventuelle autorisation d'accès ou de téléchargement, autorisation d'ordre fonctionnel mais qui peut aussi prendre des formes matérielles telle qu'une clé de déchiffrage du contenu. Des outils d'identification et d'authentification peuvent être employés à cette occasion. L'autorisation ou interdiction peut aussi concerner le traitement, la mémorisation ou la retransmission de tout ou partie du fichier et de son contenu.
Dans le présent cas, une requête pourra être de justifier d'un agrément préalable décerné par l'entreprise détentrice à ce partenaire. Une consigne pourra être de prévenir un superviseur 173 ou de lui adresser copie de toute action ultérieure menée avec ce contenu. Le superviseur pouvant être par exemple un technicien dont la présence est jugée indispensable, un chef dont la mise en connaissance ou le contreseing est désiré, un service comptable ou juridique chargé de reporter cet emploi dans ses livres, aussi bien qu'un système technique autonome tel qu'un minuteur qui enregistrera par exemple la durée de consultation du fichier griffé, dans un cas où une tarification sera basée sur une durée. L'employé ayant par exemple téléchargé le fichier, pourra le faire suivre à un réceptionnaire ultérieur 171 à des fins de réalisation d'une tâche. Dans l'exemple où le contenu du fichier corresponde aux cotes d'une pièce à usiner, le griffage initial pourra conserver un rôle entier, et obliger les réceptionnaires successifs à s'adresser à l'autorité d'anonymisation ou à la serrure. Une armoire électronique gérant la production d'un atelier, et le recevant, pourra de la sorte se voir signifier un niveau d'urgence de la fabrication, complété par une obligation de prendre connaissance de la grille tarifaire émanant du producteur d'électricité attitré. En fonction du degré d'urgence, confronté à la consigne d'optimiser les coûts de fabrication, un arbitrage pourra être mené au niveau de l'armoire quant à l'attente ou non d'une plage tarifaire basse, correspondant à des horaires de consommation collective faible, sans pic de production ni risque de surcharger les réseaux de distribution internes ou externes. Lors du moment idoine, la machine à commande numérique 172 recevant à son tour le fichier griffé, pourra entre autres possibilités se voir intimer l'activation, préalablement à sa mise en route, d'un signal sonore prévenant les ouvriers alentours ou un personnel d'entretien, de se tenir à distance de sécurité. Ce système de sécurité, ou alarme, 170 pouvant être aussi activé directement par l'autorité d'anonymisation.
Ce dispositif, présenté comme inter-sites, s'applique autant à une entité devant assurer son autonomie et son autocontrôle, telle qu'une cellule d'avion, où divers équipements électrotechniques de transmission des commandes doivent garantir leur bon fonctionnement à chaque étape, notamment pour les avions à commande tout électrique.
La figure 15b illustre une configuration d'emploi où le griffage 200 s'apparente à un cachet, un timbre ou un bâton témoin passant de l'auteur 10 chez des réceptionnaires successifs 176, 177, 178, étant porteur et transmetteur d'une signification, d'une grandeur ou d'une valeur convenue, ou encore d'une forme d'exclusivité.
La notion de cachet souligne l'impossibilité d'accéder sans autorisation à un contenu ou à une signification, la notion de timbre souligne la possibilité d'une valeur faciale, et le bâton témoin exprime un dessaisissement au profit d'un nouveau porteur, en conservant cette valeur initiale, cette grandeur ou cette symbolique.
Un griffage endossant une pareille représentativité, donc se voulant paré de confiance, implique qu'il ne soit pas falsifiable ni imitable et reproductible en série, critères ardus à obtenir au sein de technologies auxquelles la faculté de clonage est quasi inhérente. Cette fragilité est toutefois contournable avec le présent dispositif, par le fait qu'une confiance globale n'est pas seulement placée dans le griffage technique, mais aussi dans la confiance que la communauté qui pratique les échanges se porte à elle-même et à sa solidarité, ainsi que dans la confiance qu'elle accorde à l'organisme qui les accorde. La conjonction de ces trois sous-parties de la confiance en bâtit la somme, et une baisse sur l'une d'elles, autant qu'elle n'atteigne pas un seuil rédhibitoire, peut souvent être compensée par une hausse sur une des deux autres.
Par ses fonctions d'homologation, radiation ou suspension des auteurs et réceptionnaires, via sa latitude à accorder ou retirer un système de griffage ou des contre-clés, l'autorité d'anonymisation 4 assume un rôle de fédérateur de communautés. Communautés aptes à une bonne cohésion interne car se sachant en partage, par exemple, d'une même éthique ou de mêmes normes comportementales intégrées dans ces stipulations pour être et rester homologué. Transférer ces propriétés de transparence et de vérifiabilité dans les télécommunications, tout en passant à une échelle spatiale et quantitative plus large, est habituellement difficile puisque ces dernières, et surtout internet, jouent au contraire sur l'argument de l'anonymat sinon de l'emploi à volonté de fausse identité. À nouveau, le dispositif selon l'invention remédiera à ce dilemme en étant à la fois un outil qui permet de connaître autrui, tout en le laissant anonyme, ce par le truchement de son système de pseudonyme. L'autorité d'anonymisation ou la serrure, informant les réceptionnaires successifs de la signification, de la grandeur ou de la valeur attachée au griffage en soi, peut en effet en présenter l'auteur expéditeur sous son pseudonyme 74 autant que par sa véritable identité. Cette identité réelle ayant pu jusqu'alors rester inaccessible à ces réceptionnaires de par le griffage fonctionnellement masquant de l'identité de télécommunications de son auteur. De plus, le fait que le griffage n'exprime ce qu'il représente que via cette requête du réceptionnaire 176, 177, 178 vers cette autorité ou vers la serrure, permet de tracer son parcours, de garantir qu'il ne se retrouve pas contrefait ou dupliqué, tout au moins pas autrement que selon une charte d'emploi convenue au sein de la communauté. Ce faisant, l'autorité d'anonymisation revêt un statut d'observateur de flux, et de garant que s'y applique, dans les proportions désirées, l'adage du rien ne se crée rien ne se perd. Elle est émettrice du système de griffage, puis observatrice apportant sa caution en termes de traçabilité, en partie assimilable dans sa finalité à un envoi avec accusé de réception.
La confiance peut donc être capitalisée dans et autour de l'autorité d'anonymisation :
- en l'autorité elle-même, de par son statut indépendant, d'arbitre, de mémoire et de réfèrent ;
- dans le griffage, de par les capacités techniques de l'autorité d'anonymisation à le rendre robuste ;
- dans la confiance que la communauté a en elle-même, et qui découle de la bonne application par l'autorité d'anonymisation de ses pouvoirs régulateurs. Point accru par la visibilité non intrusive qu'apporte le système de pseudonymes.
Étant organisme émetteur du système de griffage, l'autorité d'anonymisation peut par ce fait s'associer ou fusionner avec un autre organisme 175 apte à lui conférer et faire reconnaître une grandeur, une valeur ou une symbolique donnée, et lui donner cours. Cet organisme, à la fois régulateur et garant, peut être par exemple une société ferroviaire dans le cas où le griffage tienne lieu d'exclusivité momentanée d'usage d'une voie, accordée à tel réceptionnaire. Il pourra s'agir d'une régie postale qui décerne une valeur faciale à une sorte de timbre numérique ou de cachet, lors d'un acheminement sécurisé sur des réseaux. Ce peut être encore une société de services en ligne, un site marchand, une banque privée voire une banque centrale, dans le cas d'une valeur faciale prenant une dimension monétaire. Cette dernière application n'étant que l'addition d'un timbre ayant valeur, et cessible comme un bâton témoin.
Toutefois, le principe de cloisonnement qui sous-tend la présente invention, prédispose à scinder les rôles pour maintenir la philosophie de protection de l'intimité numérique des utilisateurs. L'articulation entre cette autorité d'anonymisation « émetteur de griffage » et un prestataire de service ou un régulateur 175, « émetteur de valeur », exprimerait le dispositif dans sa variante la plus avantageuse. Une option médiane serait que l'autorité d'anonymisation délègue un tiers à cette tâche de fixation de valeur, de grandeur ou de symbolique. Dans ces deux derniers cas de figure, l'émetteur de base reste cependant, dans les faits, l'autorité d'anonymisation, puisque c'est sur lui que vient se superposer une signification convenue. La scission ne fait que conférer le titre d'organisme émetteur de valeur ou de symbolique, mais non sa matérialité, à l'acteur qui, ferroviairement ou postalement, régule des trafics. Ou qui, bancairement, régule des transferts, gère la comptabilité et la conversion de ces monnaies, accorde d'éventuels prêts, ouvre et ferme des comptes. Ces divers tiers informent l'autorité d'anonymisation de la signification d'un futur griffage concernant tel auteur avec lequel ils viennent de contracter.
Le risque de duplication du griffage par un intervenant, puis l'envoi des clones à plusieurs interlocuteurs, reste circonscrit par le fait que la réception donc son « endossement » par un réceptionnaire, sera enregistrée par l'autorité d'anonymisation 4 lorsque ce réceptionnaire le lui présentera pour en connaître le sens. Tout doublon intempestif sera de ce fait identifié par elle, et d'autant plus si le dispositif retient l'option supplémentaire d'une mise en copie 179 par l'auteur expéditeur, destinée à l'autorité d'anonymisation, et qui lui signale cette forme d'acceptation de dépossession virtuelle.
Cette propriété anti-doublon sera à plus juste titre qualifiée de garant qu'une duplication demeure dans la limite quantitative convenue, puisque l'autorité d'anonymisation recensera le nombre de réceptions d'un même griffage émis par un auteur donné, ou de manière imagée, le nombre de fois où le courrier aura été décacheté.
Une manière alternative de réduire la dangerosité d'éventuels doublons incontrôlés serait de leur faire perdre partiellement ce statut indifférencié en les personnalisant dès leur première étape, principe par ailleurs extensible à d'autres usages industriels ou ludiques. Sans faire perdre au griffage son caractère distinctif et particularisant, sa partie caractéristique et dotée de propriétés fonctionnelles et cryptonymiques pourrait se voir assortie d'ajouts ou de modifications signalant soit son nombre de réceptionnaires successifs, à l'instar d'un compteur ou d'encoches numériques, soit plus précisément leur nature, leur profil voire leur identité. Un pareil mécanisme serait assimilable à un réel endossement, laissant ici une latitude de choix entre un endos par signature anonymée, pseudonymisée ou porteuse d'une identité véritable.
Une telle conservation de la trace de ses réceptionnaires successifs, selon une forme d'endossement matérialisée par exemple dans ou autour du griffage initial, trouverait un pendant dans le fait qu'un griffage puisse exprimer, dans son apparence formelle, une filiation relative cette fois aux griffages successifs de l'auteur. Ces diverses filiations pourraient s'exprimer par exemple de manière pleinement visible, filigranée, cachée ou codée. Une autre variante d'application de ce principe se matérialiserait par plusieurs griffages dotés de parentés formelles détectables et interprétables au moins par certains réceptionnaires ou certains observateurs. Ces dernières possibilités s'apparenteraient à un dispositif de type chéquier, où chaque chèque se rattache par des référents à une même souche, tout en étant complété d'autres référents qui le particularisent d'un coup ou progressivement.
À nouveau, une telle configuration n'offrirait qu'une variante d'une mission que l'autorité d'anonymisation est apte à remplir, via le type d'informations qu'elle délivre à chaque nouveau réceptionnaire. De même qu'elle peut remplacer un griffage qu'elle considère caduc ou obsolète, par un autre qui en garde l'empreinte.

Claims

REVENDICATIONS
1. Procédé de sécurisation et de contrôle de données et d'identités au sein de processus de communication entre un auteur (10, 51 ) et au moins un réceptionnaire (2), caractérisé en ce que ledit procédé comporte au moins :
- Une étape d'insertion d'au moins un griffage (53, 71 , 153, 200) dans le protocole informatique ou de communication ( 83) associé au flux de données au moyen d'un système de griffage, le protocole contenant l'identité de l'auteur, ledit griffage étant signe distinctif et de reconnaissance et moyen d'accès à un compte sécurisé (45, 59) ;
- l'auteur utilisant ledit compte sécurisé (45, 59), administré par une autorité d'anonymisation (4), et ledit griffage servant à s'identifier auprès d'elle ;
- le flux de données comportant au moins une instruction ;
- au moins une instruction complémentaire (182) ayant été enregistrée auprès de l'autorité d'anonymisation (4) et placée dans le compte sécurisé (45) ;
- Une étape de lecture, chez au moins un réceptionnaire, dudit protocole (183) au moyen d'un système de lecture apte à détecter la présence dudit griffage (53, 71 , 153, 200) puis à extraire tout ou partie de l'instruction complémentaire auprès de l'autorité d'anonymisation ou du compte sécurisé, ladite extraction s'effectuant du compte sécurisé par le moyen dudit griffage.
2. Procédé selon la revendication 1 , caractérisé en ce que l'accès au compte sécurisé (45) se fait au moyen du griffage qui est porteur d'un secret ouvrant un dispositif à serrure (50) agissant comme protocole cryptographique de contrôle d'accès audit compte.
3. Procédé selon la revendication 2, caractérisé en ce que le flux de données (1 ) se trouve à réception chez le réceptionnaire ou en amont du réceptionnaire, cloisonné (180, 181 ) et canalisé par parties d'instructions, lesdites parties pouvant être prédéterminées, et lesdits cloisonnement et canalisation s'effectuant selon des instructions reçues de l'autorité d'anonymisation ou via le dispositif à serrure, par le moyen du griffage.
4. Procédé selon l'une quelconque des revendications 1 ou 2, caractérisé en ce que le protocole du flux de données se trouve à réception chez le réceptionnaire ou en amont du réceptionnaire, cloisonné et canalisé par parties, lesdites parties du protocole du courrier ou du fichier pouvant être prédéterminées, et lesdits cloisonnement et canalisation s'effectuant selon des instructions reçues de l'autorité d'anonymisation ou via le dispositif à serrure, par le moyen du griffage.
5. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'un griffage (53, 71 , 153, 200) correspond à des réponses différentes ou des manières différentes de répondre de la part de l'autorité d'anonymisation (4) ainsi que du dispositif à serrure (50), à des fonctionnalités ou des modalités différentes, ou des modes de délivrance différents, selon son destinataire, le contexte et l'environnement dans lequel évolue ce destinataire, la chronologie ou la localisation des faits, la manière d'agir ou d'être de ce destinataire, la nature des données ou du signal correspondant à ce griffage ou à ce qu'il va mettre en œuvre, ces modes opératoires pouvant être préétablis et discriminées selon des items convenus avec l'auteur, autant que visés au cas par cas en une ou plusieurs étapes.
6. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que d'une part le griffage (53) faisant clé et d'autre part la dite serrure (50), sont chacune en totalité ou en partie le répondant de l'autre, soit comme profil et contre- profil, soit comme une image et son négatif, soit comme une matrice et son œuvre, soit comme une griffe et sa cicatrice, cette complémentarité vers un tout ou vers une succession générant des capacités de dialogue, de correspondance, de reconstitution du tout ou de la filiation, à des fins de validation, d'identification ou d'authentification, d'actionnement d'un signal ou d'un mécanisme, d'expression d'une signification ou d'une consigne, ou de solidarisation entre eux.
7. Procédé selon l'une quelconque des revendications 2 à 6, caractérisé en ce que le griffage ouvrant le dispositif à serrure (50) enclenche un accès, un actionnement de toute forme de sas et porte donnant sur un espace réservé , un mécanisme ou un enregistrement, une action ou une réaction technique, ou encore un signal informatif ou déclaratif.
8. Procédé selon l'une quelconque des revendications 2 à 7, caractérisé en ce que le dispositif à serrure (50) existe, indépendamment du compte sécurisé (45, 59) ou autre dispositif subordonné, à des fins de validation de la réalité, l'authenticité et l'actualité d'un griffage faisant clé.
9. Procédé selon l'une quelconque des revendications 2 à 8, caractérisé en ce que le dispositif à serrure (50), agissant comme protocole cryptographique de contrôle d'accès, est doté de parties non visibles par un réceptionnaire, permettant la validation d'un griffage cryptonymique, ou d'une donnée restée inconnue pour ledit réceptionnaire et correspondant à ces parties non visibles, ou du lien entre ce cryptonyme connu et cette partie inconnue, ou du lien entre plusieurs parties inconnues, ladite partie inconnue étant un pseudonyme, une identité réelle, la suite dudit protocole informatique ou de communication, le contenu du fichier ou du courrier.
10. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que le dispositif à serrure (50) procède, lors de son essai par le griffage, à l'apposition ou l'insertion de données supplémentaires dans, avec, autour ou sur ce griffage.
1 1. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'une consigne de fonctionnement transmise ou accessible au moyen du griffage est une autorisation, une interdiction, totales ou partielles et discriminées, l'édiction de requêtes ou de clauses conditionnelles, l'activation, la modification ou l'arrêt d'une fonction d'un réceptionnaire (2, 3, 31 , 32).
12. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que le flux de communication ou le fichier n'est constitué que du seul protocole marqué du griffage, à l'exclusion de tout contenu.
13. Procédé selon l'une quelconque des revendications 1 1 ou 12, caractérisé en ce qu'une consigne fonctionnelle relative à l'interdiction de traitement, de lecture, de communication ou de mise en mémoire de certaines données chez un réceptionnaire (2) s'accompagne de leur orientation vers un autre réceptionnaire périphérique (3, 31 , 32) prévu à cet effet, la consigne concernant le contenu du flux, du fichier ou le reste du protocole.
14. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que le griffage est utilisé par ses réceptionnaires successifs comme signe caractéristique ou de reconnaissance entre eux ou avec l'auteur, ainsi que pour obtenir auprès d'une autorité d'anonymisation (4) ou via une serrure (50), la correspondance entre ce griffage et des attributs de l'identité à laquelle ledit griffage se rattache, ou toute autre donnée ou signal, conservés par elles en vue de cette transmission.
15. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que l'autorité d'anonymisation ou le dispositif à serrure détient tout type de consigne, donnée ou signal relatif à la gestion d'un flux ou d'un fichier muni du protocole avec griffage, aussi bien que tout type de consigne, donnée ou signal raccordés à ce griffage ou à une identité donnée, mais indépendants de cette gestion directe et pour leur simple mise à disposition depuis l'auteur envers un réceptionnaire, ledit réceptionnaire ou un tiers homologué utilisant ladite correspondance ou lesdites données pour accomplir une tâche dévolue à lui par un précédent réceptionnaire ou par l'auteur (10) du flux ou du fichier.
16. Procédé selon la revendication 15, caractérisé en ce que ladite tâche ajoute une information, reçue de l'autorité d'anonymisation ou du dispositif à serrure, sur un travail resté en partie ou totalement anonyme ou incomplet, ou en attente des attributs d'identité requis pour l'utiliser, l'acheminer ou le finaliser, ledit travail étant relatif à une transaction électronique entre l'auteur (10) du courrier ou du fichier et un réceptionnaire principal (2).
17. Procédé selon la revendication 15, caractérisé en ce que ladite tâche ajoute une information, reçue de l'autorité d'anonymisation ou du dispositif à serrure, sur un travail resté en partie ou totalement anonyme ou incomplet, ou en attente des attributs d'identité requis pour l'utiliser, l'acheminer ou le finaliser, ledit travail étant relatif à un acheminement physique ou par voie de télécommunication entre un réceptionnaire principal ou périphérique et l'auteur (10).
18. Procédé selon la revendication 15, caractérisé en ce que ladite tâche ajoute une information, reçue de l'autorité d'anonymisation ou du dispositif à serrure, sur un travail resté en partie ou totalement anonyme ou incomplet, ou en attente des attributs d'identité requis pour l'utiliser, l'acheminer ou le finaliser, ledit travail étant relatif à un jeu d'écriture, s'effectuant entre l'auteur (10) et un réceptionnaire principal (2) ou périphérique.
19. Procédé selon la revendication 15, caractérisé en ce que ladite tâche ajoute une information, reçue de l'autorité d'anomysation ou du dispositif à serrure, sur un travail resté en partie ou totalement anonyme ou incomplet, ou en attente des attributs d'identité requis pour l'utiliser, l'acheminer ou le finaliser, ledit travail étant relatif à une vérification du fonctionnement, du comportement, de l'état, de l'intégrité ou de l'authenticité touchant un terminal ou un support de communication, et les mécanismes qui leur sont raccordés.
20. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que l'autorité d'anonymisation (4) est avisée d'un réceptionnaire délégué à une tâche ou un rôle, par l'auteur ou par un réceptionnaire précédent.
21. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'un contenu de fichier ou de courrier, doté de capacités techniques d'interaction avec leur environnement, qui en rendent certaines composantes actives et autonomes, se met en dialogue avec son propre protocole, et fait du griffage un usage identique à celui d'un réceptionnaire extérieur.
22. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que le griffage étant cryptonymique, il est rattaché à au moins un pseudonyme (74, 101 , 123) de l'auteur.
EP11725626.3A 2010-06-01 2011-06-01 Procede de securisation de donnees numeriques et d'identites notamment au sein de processus utilisant des technologies de l'information et de la communication Withdrawn EP2577542A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1054272A FR2960671B1 (fr) 2010-06-01 2010-06-01 Procede de securisation de donnees numeriques et d'identites notamment au sein de processus utilisant des technologies de l'information et de la communication
PCT/EP2011/002712 WO2011151066A1 (fr) 2010-06-01 2011-06-01 Procede de securisation de donnees numeriques et d'identites notamment au sein de processus utilisant des technologies de l'information et de la communication

Publications (1)

Publication Number Publication Date
EP2577542A1 true EP2577542A1 (fr) 2013-04-10

Family

ID=43558373

Family Applications (2)

Application Number Title Priority Date Filing Date
EP11723446.8A Withdrawn EP2577909A1 (fr) 2010-06-01 2011-06-01 Procede de controle et de protection de donnees et d'identite notamment au sein de processus utilisant des technologies de l'information et de la communication
EP11725626.3A Withdrawn EP2577542A1 (fr) 2010-06-01 2011-06-01 Procede de securisation de donnees numeriques et d'identites notamment au sein de processus utilisant des technologies de l'information et de la communication

Family Applications Before (1)

Application Number Title Priority Date Filing Date
EP11723446.8A Withdrawn EP2577909A1 (fr) 2010-06-01 2011-06-01 Procede de controle et de protection de donnees et d'identite notamment au sein de processus utilisant des technologies de l'information et de la communication

Country Status (6)

Country Link
US (2) US9003178B2 (fr)
EP (2) EP2577909A1 (fr)
JP (2) JP2013535045A (fr)
CN (2) CN103124974A (fr)
FR (1) FR2960671B1 (fr)
WO (2) WO2011151388A1 (fr)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8924545B2 (en) * 2012-01-13 2014-12-30 Microsoft Corporation Cross-property identity management
US9202086B1 (en) * 2012-03-30 2015-12-01 Protegrity Corporation Tokenization in a centralized tokenization environment
US20150127593A1 (en) * 2013-11-06 2015-05-07 Forever Identity, Inc. Platform to Acquire and Represent Human Behavior and Physical Traits to Achieve Digital Eternity
WO2016082032A1 (fr) 2014-11-25 2016-06-02 Arhin Linda Système et procédé pour faciliter une communication anonyme entre un message publicitaire et des utilisateurs sociaux
KR20180115282A (ko) * 2016-02-23 2018-10-22 엔체인 홀딩스 리미티드 블록체인을 이용하는 피어 - 투 - 피어 분산 장부에서 개체들의 효율적인 전송을 위한 방법 및 시스템
CN107707507A (zh) * 2016-08-08 2018-02-16 深圳中电长城信息安全系统有限公司 基于安全池网络数据传输的控制方法和系统
CN108537538A (zh) * 2018-03-07 2018-09-14 胡金钱 电子发票的开具方法及系统、计算机存储介质
KR102211360B1 (ko) * 2020-09-24 2021-02-03 주식회사 화난사람들 디지털 문서 내 위치 정보를 이용한 디지털 문서 인증 방법
CN114531302A (zh) * 2021-12-28 2022-05-24 中国电信股份有限公司 数据加密方法、装置及存储介质

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3589881B2 (ja) * 1998-12-10 2004-11-17 シャープ株式会社 電子メールサーバシステム
WO2001063452A2 (fr) * 2000-02-23 2001-08-30 Capital One Financial Corporation Systemes et procedes permettant d'effectuer des transactions financieres anonymes
AU2001270169A1 (en) * 2000-06-30 2002-01-14 Plurimus Corporation Method and system for monitoring online computer network behavior and creating online behavior profiles
US7472423B2 (en) * 2002-03-27 2008-12-30 Tvworks, Llc Method and apparatus for anonymously tracking TV and internet usage
JP2003316742A (ja) * 2002-04-24 2003-11-07 Nippon Telegr & Teleph Corp <Ntt> シングルサインオン機能を有する匿名通信方法および装置
US7480935B2 (en) * 2002-10-10 2009-01-20 International Business Machines Corporation Method for protecting subscriber identification between service and content providers
FR2847401A1 (fr) * 2002-11-14 2004-05-21 France Telecom Procede d'acces a un service avec authentification rapide et anonymat revocable et systeme d'ouverture et de maintien de session
JP2004178486A (ja) * 2002-11-29 2004-06-24 Toshiba Corp 監視サーバおよび監視方法
US20060155993A1 (en) * 2003-02-21 2006-07-13 Axel Busboon Service provider anonymization in a single sign-on system
CN1761926B (zh) * 2003-03-21 2010-09-01 皇家飞利浦电子股份有限公司 对关于用户和数据之间的关联的信息给出用户访问的方法和设备
US7814119B2 (en) * 2004-03-19 2010-10-12 Hitachi, Ltd. Control of data linkability
US20060098900A1 (en) * 2004-09-27 2006-05-11 King Martin T Secure data gathering from rendered documents
US7472277B2 (en) * 2004-06-17 2008-12-30 International Business Machines Corporation User controlled anonymity when evaluating into a role
US7614546B2 (en) * 2005-02-03 2009-11-10 Yottamark, Inc. Method and system for deterring product counterfeiting, diversion and piracy
US8468351B2 (en) * 2006-12-15 2013-06-18 Codesealer Aps Digital data authentication
US8862747B2 (en) 2007-03-10 2014-10-14 Bridge And Post, Inc. Method and apparatus for tagging network traffic using extensible fields in message headers
US8281145B2 (en) * 2007-12-14 2012-10-02 Mehran Randall Rasti Doing business without SSN, EIN, and charge card numbers
CN101521569B (zh) * 2008-02-28 2013-04-24 华为技术有限公司 实现服务访问的方法、设备及系统
US20090228582A1 (en) * 2008-03-06 2009-09-10 At&T Knowledge Ventures, L.P. System and method in a communication system with concealed sources
FR2932043B1 (fr) * 2008-06-03 2010-07-30 Groupe Ecoles Telecomm Procede de tracabilite et de resurgence de flux pseudonymises sur des reseaux de communication, et procede d'emission de flux informatif apte a securiser le trafic de donnees et ses destinataires
ES2365887B1 (es) * 2009-05-05 2012-09-03 Scytl Secure Electronic Voting S.A. Metodo de verificacion de procesos de descifrado

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2011151066A1 *

Also Published As

Publication number Publication date
US8959592B2 (en) 2015-02-17
WO2011151388A1 (fr) 2011-12-08
WO2011151066A1 (fr) 2011-12-08
JP2013534654A (ja) 2013-09-05
US20130205371A1 (en) 2013-08-08
CN103124974A (zh) 2013-05-29
FR2960671A1 (fr) 2011-12-02
CN103229476A (zh) 2013-07-31
US9003178B2 (en) 2015-04-07
US20130212375A1 (en) 2013-08-15
FR2960671B1 (fr) 2020-01-10
EP2577909A1 (fr) 2013-04-10
JP2013535045A (ja) 2013-09-09

Similar Documents

Publication Publication Date Title
WO2011151066A1 (fr) Procede de securisation de donnees numeriques et d&#39;identites notamment au sein de processus utilisant des technologies de l&#39;information et de la communication
JP2021519488A (ja) ブロックチェーン内でコード及びイメージを用いるためのシステム及び方法
CN107637015A (zh) 数字身份系统
US20070106892A1 (en) Method and system for establishing a communication using privacy enhancing techniques
CN103745345A (zh) 应用于交易平台实现金融信息分级安全处理的系统及方法
US10445730B2 (en) Digital transactional procedures and implements
Tejomurti et al. Legal Protection for Urban Online-Transportation-Users’ Personal Data Disclosure in the Age of Digital Technology
KR20220113307A (ko) 블록체인과 정품인증 태그 기술을 사용한 제품 진위성 검증 및 소유권 변경이력관리 시스템
Hahn et al. The benefits and costs of online privacy legislation
Birch Digital identity management: perspectives on the technological, business and social implications
Feulner et al. Exploring the use of self-sovereign identity for event ticketing systems
DE102017217342B4 (de) Verfahren zum Verwalten eines elektronischen Transaktionsdokuments
P Martin et al. Cloud computing and electronic discovery
Thomas Is Malaysia's MyKad the'One Card to Rule Them All'? The Urgent Need to Develop a Proper Legal Framework for the Protection of Personal Information in Malaysia
Jalil et al. Developments in electronic contract laws: A Malaysian perspective
Yadav et al. Management Cases Studies and Technical Use Cases on Web 3
Kosta et al. Collection and storage of personal data: A critical view on current practices in the transportation sector
Buta Privacy Panic
WO2019180327A1 (fr) Procede de securisation de transfert et gestion de donnees, sur reseau internet ou analogue, a travers un portail ou plateforme d&#39;echange de donnees.
Leahey Tax, Technology and Privacy: The Coming Collision
Reddy et al. Consumer perceptions on security, privacy, and trust on e-portals
WO2023200860A1 (fr) Système de distribution de données sécurisé
Lang et al. Technology Threats: Personal Data and User Behaviour
Lang et al. Information and Communications Technology Threats: Personal Data and User Behaviour
Yeoul et al. Smart Card System Architecture for enhancing the security and the applications of Local e-Government

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20121207

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20170103