DESCRIPTION
PROCEDE ET DISPOSITIF D'AUTHENTIFICATION D'UN UTILISATEUR UTILISANT LA CONDUCTIVITÉ DU CORPS
HUMAIN
1. Domaine de l'invention
L'invention concerne l'authentification d'un utilisateur, via des communications initiées sur un canal sans fil à courte portée. Plus précisément, l'invention porte sur un procédé pour authentifier un utilisateur auprès d'une application ou d'un dispositif, par l'intermédiaire d'un terminal portatif de l'utilisateur apte à établir une communication utilisant la capacité de conductivité du corps humain pour transmettre les ondes électromagnétiques porteuses de telles communications sans fils.
2. Art Antérieur
Il existe des mécanismes d'authentification d'un utilisateur pour lui permettre d'accéder à un service, une application ou réaliser une transaction de paiement par exemple.
Par exemple, lors d'une transaction de paiement, un utilisateur insère sa carte de paiement dans un terminal de paiement électronique (TPE) et compose un code confidentiel sur le clavier du TPE, en général un code à 4 chiffres. La transaction de paiement est autorisée lorsqu'il est vérifié que l'utilisateur a composé le bon code confidentiel. Toutefois, rien n'empêche qu'une personne mal intentionnée espionne l'utilisateur lorsqu'il compose son code confidentiel, et lui dérobe sa carte bancaire.
Selon un autre exemple, un mécanisme similaire existe pour déverrouiller une carte SIM (pour Subscriber Identity Module en anglais) ou l'écran d'un smartphone (pour téléphone intelligent en français). Selon cet exemple, l'utilisateur compose un code confidentiel pour déverrouiller la carte SIM ou bien compose un schéma confidentiel sur l'écran tactile du smartphone pour déverrouiller l'écran du smartphone. Selon cet exemple, rien n'empêche un utilisateur mal intentionné d'espionner l'utilisateur avec son smartphone et de lui dérober son smartphone.
Il existe donc un besoin d'améliorer l'état de la technique.
3. Exposé de l'invention
L'invention vient améliorer l'état de la technique. Elle concerne à cet effet un procédé de contrôle d'une authentification d'un utilisateur auprès d'un dispositif d'authentification, mis en oeuvre par un processeur. L'authentification de l'utilisateur auprès dudit dispositif d'authentification est mise en oeuvre au moins par une vérification par le dispositif d'authentification qu'un code composé par l'utilisateur sur une interface d'interaction du
dispositif d'authentification correspond à un code prédéterminé associé à l'utilisateur. Le procédé de contrôle de l'authentification comprend:
- la réception d'un signal représentatif d'au moins un signal radio caractéristique d'au moins une interaction de l'utilisateur sur l'interface d'interaction du dispositif d'authentification, ledit signal radio étant émis par une antenne du dispositif d'authentification, à destination d'un terminal, via un canal utilisant des capacités de conduction d'onde électromagnétique du corps de l'utilisateur lorsque ledit utilisateur compose ledit code,
- la vérification que ledit au moins un signal radio correspond à un signal de référence préalablement mémorisé,
- dans le cas d'une vérification positive, la transmission audit dispositif d'authentification d'une donnée représentative de l'identité de l'utilisateur.
Avantageusement, lorsque l'utilisateur interagit sur le dispositif d'authentification pour s'authentifier auprès de celui-ci, par exemple lorsqu'il compose un code confidentiel sur un TPE, une onde porteuse radio, ou signal électromagnétique, est transmise par le dispositif d'authentification à travers le corps de l'utilisateur vers un terminal, par exemple un un terminal de l'utilisateur tel qu'un téléphone mobile, adapté à recevoir un tel signal.
Un tel signal est caractéristique de l'interaction faite par l'utilisateur sur l'interface d'interaction du dispositif d'authentification. En effet, lorsque l'utilisateur interagit sur l'interface, par exemple un clavier numérique et compose un code, son ou ses doigts entrent en contact avec l'interface du dispositif d'authentification et se déplacent en différent points de l'interface lorsque la composition du code nécessite plusieurs points de contacts de l'utilisateur sur l'interface (plusieurs appuis de touches dans le cas d'un code à plusieurs chiffres). Ceci crée des variations du champ électromagnétique capté par le terminal.
L'amplitude du signal reçu par le terminal est ainsi modifiée en fonction de la manière dont l'utilisateur interagit sur le dispositif d'authentification. Le signal radio reçu est ainsi représentatif de l'interaction de l'utilisateur sur le dispositif d'authentification lorsqu'il compose son code.
De plus, la forme du signal transmis via le corps de l’utilisateur et capté par le terminal dépend également d’un certain nombre de caractéristiques propres au porteur (corpulence, âge, sexe, humidité des tissus, etc.), ainsi que des moyens de réception du terminal (caractéristiques et position de l’antenne, etc.). L’analyse d’un tel signal (forme, puissance, etc.) permet donc d’en dégager des caractéristiques propres à l’utilisateur et aux interactions de l'utilisateur sur le dispositif d'authentification et donc de le reconnaître par comparaison avec un signal similaire connu.
Le signal de référence peut par exemple correspondre à un signal représentatif d'un ensemble d'interactions réalisées par l'utilisateur sur le dispositif d'authentification ou sur un
dispositif similaire lors d'une phase d'initialisation. Un tel signal de référence peut ainsi être interprété comme une signature biométrique de l'utilisateur.
Si un autre utilisateur s’approprie le terminal, il ne dispose pas des mêmes caractéristiques biométriques, et les interactions réalisées par cet autre utilisateur sur l'interface du dispositif d'authentification généreront un signal différent. Ainsi, quand bien même l'autre utilisateur aurait connaissance du code à composer pour s'authentifier auprès du dispositif à la place du premier utilisateur, cet autre utilisateur devrait en plus imiter la manière dont le premier utilisateur compose son code sur l'interface.
De plus, même si cet autre utilisateur connaît le code confidentiel et imite la manière dont le premier utilisateur le compose, cet autre utilisateur sera trahi par sa composante intrinsèque.
Le procédé décrit ci-dessus permet ainsi de fournir une authentification plus sécurisée de l'utilisateur en renforçant une authentification par composition d'un code par une signature biométrique associée à la composition du code. Cette deuxième vérification de l'identité de l'utilisateur est totalement transparente pour l'utilisateur puisqu'elle ne nécessite pas d'interactions de l'utilisateur autres que celles nécessaires à la composition de son code.
Le code composé par l'utilisateur et à vérifier par le dispositif d'authentification peut correspondre à tout code apte à être composé sur une interface adaptée du dispositif d'authentification. Par exemple, il peut s'agir d'un code à chiffres à composer sur un pavé numérique d'un TPE, ou d'un distributeur automatique, ou bien un code alphanumérique à composer sur un clavier, ou une interface tactile, ou encore un code visuel à reproduire (par exemple un schéma de déverrouillage) par des interactions utilisateurs définissant un ou plusieurs points de contact à un ou plusieurs endroits déterminés de l'interface et selon un ordre prédéterminé.
Selon un mode particulier de réalisation de l'invention, le signal de référence est représenté par un quadruplet de signaux de référence préalablement mémorisés, la vérification que ledit au moins un signal radio correspond à un signal de référence préalablement mémorisé comprend:
- l'obtention d'un signal de dérivée dudit au moins un signal radio,
- la vérification que ledit au moins un signal radio est compris dans un premier intervalle de référence déterminé à partir de deux signaux de référence dudit quadruplet de signaux de référence, et que ledit signal de dérivée est compris dans un deuxième intervalle de référence déterminé à partir des deux autres signaux de référence dudit quadruplet de signaux de référence.
Selon un autre mode particulier de réalisation de l'invention, la vérification que ledit au moins un signal radio est compris dans un premier intervalle de référence déterminé à partir de deux signaux de référence dudit quadruplet de signaux de référence, et que ledit signal de dérivée est compris dans un deuxième intervalle de référence déterminé à partir des deux autres signaux de référence dudit quadruplet de signaux de référence, comprenant:
- la détermination, pour chaque signal à vérifier, d'un indicateur indiquant si ledit signal est compris dans le premier intervalle référence ou dans le deuxième intervalle de référence, l'indicateur prenant la valeur 0 lorsque ledit signal est compris dans le premier intervalle de référence ou dans le deuxième intervalle de référence et l'indicateur prenant la valeur 1 lorsque ledit signal n'est pas compris dans le premier intervalle de référence ou dans le deuxième intervalle de référence,
- le calcul d'une somme desdits indicateurs,
- la comparaison de ladite somme à un seuil de référence, la vérification étant positive lorsque ladite somme est inférieure audit seuil de référence.
En variante, le seuil de référence est fonction d'un critère de sévérité de l'authentification.
Selon un autre mode particulier de réalisation de l'invention, l'intervalle de signaux de référence est obtenu à partir d'une moyenne et d'un écart-type de signaux radio caractéristiques d'interactions de l'utilisateur sur une interface d'interaction d'un dispositif réalisées lors d'une phase d'initialisation.
Selon ce mode particulier de réalisation de l'invention, la référence biométrique de l'utilisateur prend en compte la variabilité de l'utilisateur lorsqu'il compose son code, notamment la variabilité donnée par les différents appuis de l'utilisateur sur l'interface du dispositif.
Selon un autre mode particulier de réalisation de l'invention, le dispositif d'authentification correspond au terminal de l'utilisateur.
Selon ce mode particulier de réalisation de l'invention, le procédé de contrôle de l'authentification permet de renforcer l'accès de l'utilisateur à son terminal mobile. Par exemple, lorsque l'utilisateur compose son code sur le terminal, celui-ci vérifie que le code composé est le bon et vérifie également que l'utilisateur qui a composé le code est bien celui pour lequel le signal de référence a été mémorisé.
Ce mode particulier de réalisation de l'invention peut être utilisé pour renforcer la sécurité du déverrouillage du terminal, ou encore la sécurité des transactions de paiement réalisées directement au moyen d'un terminal mobile.
Selon un autre mode particulier de réalisation de l'invention, le dispositif d'authentification correspond à un terminal de paiement.
Selon un autre mode particulier de réalisation de l'invention, le signal de référence est associé à un identifiant de l'utilisateur.
Ce mode particulier de réalisation de l'invention permet de prendre en compte le cas où le code à composer pour l'authentification peut être utilisé par plusieurs utilisateurs, par exemple dans le cas d'une carte bancaire partagée par une famille.
L'invention concerne également un procédé d'authentification d'un utilisateur, mis en oeuvre par un dispositif d'authentification, comprenant:
- la vérification qu'un code composé par l'utilisateur sur une interface d'interaction du dispositif d'authentification correspond à un code prédéterminé associé à l'utilisateur,
- l'émission d'un signal représentatif d'au moins un signal radio caractéristique d'au moins une interaction de l'utilisateur sur l'interface d'interaction du dispositif d'authentification, ledit signal radio étant émis par une antenne du dispositif d'authentification, à destination d'un terminal de l'utilisateur, via un canal utilisant des capacités de conduction d'onde électromagnétique du corps de l'utilisateur lorsque ledit utilisateur compose ledit code,
- la réception d'une donnée représentative de l'identité de l'utilisateur en provenance du terminal de l'utilisateur,
- la vérification que l'identité de l'utilisateur correspond à une identité associée au code prédéterminé associé à l'utilisateur.
Le procédé d'authentification permet ainsi de sécuriser les authentifications des utilisateurs par composition de code confidentiel en assurant une double vérification. Il est ainsi vérifier que le code composé par l'utilisateur est correct et que l'identité de l'utilisateur qui a composé le code correspond bien à une identité associée au code.
Selon un mode particulier de réalisation de l'invention, la vérification que l'identité de l'utilisateur correspond à une identité associée au code prédéterminé associé à l'utilisateur comprend:
- la transmission à un dispositif de contrôle de la donnée représentative de l'identité de l'utilisateur reçue et d'une deuxième donnée représentative de l'identité de l'utilisateur, ladite deuxième donnée étant associée au code prédéterminé,
- la réception d'un signal de validation de l'identité de l'utilisateur.
Selon ce mode particulier de réalisation, la vérification de l'identité de l'utilisateur est mise en oeuvre par un dispositif de contrôle, par exemple un serveur bancaire, auquel les données représentatives de l'identité de l'utilisateur sont envoyées. Par exemple, la donnée représentative de l'identité de l'utilisateur reçue en provenance du terminal de l'utilisateur peut correspondre à un numéro de mobile du terminal de l'utilisateur et la deuxième donnée représentative de l'identité de l'utilisateur peut correspondre à un nom associé au code prédéterminé. Par exemple, le code prédéterminé, ainsi que la deuxième donnée représentative de l'identité de l'utilisateur sont stockés sur un moyen physique, tel qu'une carte bancaire, ou autre. Ce moyen physique étant lu par le dispositif d'authentification pour vérifier le code composé par l'utilisateur.
L'invention concerne également un dispositif de contrôle d'une authentification d'un utilisateur auprès d'un dispositif d'authentification, l'authentification de l'utilisateur auprès dudit dispositif d'authentification étant mise en oeuvre au moins par une vérification par le dispositif d'authentification qu'un code composé par l'utilisateur sur une interface d'interaction du dispositif d'authentification correspond à un code prédéterminé associé à l'utilisateur.
Le dispositif de contrôle de l'authentification comprend au moins une mémoire et un processeur configurés pour:
- recevoir un signal représentatif d'au moins un signal radio caractéristique d'au moins une interaction de l'utilisateur sur l'interface d'interaction du dispositif d'authentification, ledit signal radio étant émis par une antenne du dispositif d'authentification, à destination dispositif de contrôle de l'authentification, via un canal utilisant des capacités de conduction d'onde électromagnétique du corps de l'utilisateur lorsque ledit utilisateur compose ledit code,
- vérifier que ledit au moins un signal radio correspond à un signal de référence préalablement mémorisé,
- dans le cas d'une vérification positive, transmettre audit dispositif d'authentification une donnée représentative de l'identité de l'utilisateur.
L'invention concerne également un dispositif d'authentification comprenant une mémoire et un processeur configurés pour:
- vérifier qu'un code composé par l'utilisateur sur une interface d'interaction du dispositif d'authentification correspond à un code prédéterminé associé à l'utilisateur,
- émettre un signal représentatif d'au moins un signal radio caractéristique d'au moins une interaction de l'utilisateur sur l'interface d'interaction du dispositif d'authentification, ledit signal radio étant émis par une antenne du dispositif d'authentification, à destination d'un
terminal de l'utilisateur, via un canal utilisant des capacités de conduction d'onde électromagnétique du corps de l'utilisateur lorsque ledit utilisateur compose ledit code,
- recevoir une donnée représentative de l'identité de l'utilisateur en provenance du terminal de l'utilisateur,
- vérifier que l'identité de l'utilisateur correspond à une identité associée au code prédéterminé associé à l'utilisateur.
Selon un mode particulier de réalisation de l'invention, le dispositif d'authentification décrit précédemment est compris dans un terminal de paiement.
Selon un autre mode particulier de réalisation de l'invention, le dispositif d'authentification décrit précédemment est compris dans un terminal, par exemple un terminal mobile, ou tablette.
Selon un autre mode particulier de réalisation de l'invention, le dispositif d'authentification décrit précédemment et le dispositif de contrôle décrit précédemment sont compris dans un terminal.
L'invention concerne également un programme d'ordinateur comportant des instructions pour la mise en oeuvre du procédé de contrôle et/ou du procédé d'authentification décrits ci- dessus selon l'un quelconque des modes particuliers de réalisation décrits précédemment, lorsque ledit programme est exécuté par un processeur. Les procédés peuvent être mis en oeuvre de diverses manières, notamment sous forme câblée ou sous forme logicielle.
Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable.
L'invention vise aussi un support d'enregistrement ou support d'informations lisible par un ordinateur, et comportant des instructions d'un programme d'ordinateur tel que mentionné ci- dessus. Les supports d'enregistrement mentionnés ci-avant peuvent être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple un disque dur, une clé USB. D'autre part, les supports d'enregistrement peuvent correspondre à un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Les
programmes selon l'invention peuvent être en particulier téléchargés sur un réseau de type Internet.
Alternativement, les supports d'enregistrement peuvent correspondre à un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.
4. Liste des figures
D’autres caractéristiques et avantages de l’invention apparaîtront plus clairement à la lecture de la description suivante de modes de réalisation particuliers, donnés à titre de simples exemples illustratifs et non limitatifs, et des dessins annexés, parmi lesquels :
[FIG. 1 A] La figure 1 A illustre un exemple d'environnement de mise en oeuvre de l'invention selon un mode particulier de réalisation de l'invention.
[FIG. 1 B] La figure 1 B illustre un exemple d'environnement de mise en oeuvre de l'invention selon un autre mode particulier de réalisation de l'invention.
[FIG. 1 C] La figure 1 C illustre un exemple d'environnement de mise en oeuvre de l'invention selon un autre mode particulier de réalisation de l'invention.
[FIG. 2] La figure 2 représente un terminal selon un mode de réalisation de l’invention.
[FIG. 3] La figure 3 représente un dispositif d'authentification selon un mode de réalisation de l’invention.
[FIG. 4] La figure 4 représente des étapes d’un procédé d’apprentissage d'un signal de référence d'un utilisateur selon un mode de réalisation de l’invention.
[FIG. 5A] La figure 5A représente les étapes d’un procédé de contrôle d’une authentification selon un mode de réalisation de l’invention.
[FIG. 5B] La figure 5B illustre des étapes de l'étape de vérification que le signal radio correspond à un signal de référence, selon un mode particulier de réalisation de l'invention. [FIG. 6] La figure 6 représente les étapes d’un procédé de contrôle d’une authentification selon un autre mode de réalisation de l’invention.
5. Description d'un mode de réalisation de l'invention
5.1 Principe général de l'invention
Le principe général de l'invention est d'utiliser les nouvelles techniques de communication sans fils utilisant pour canal le corps humain pour générer un signal représentatif d'une interaction d'un utilisateur, par exemple la composition d'un code confidentiel, sur une surface d'un dispositif d'authentification et reçu par un terminal de l'utilisateur. A l'aide de ce signal généré et d'un signal de référence préalablement appris pour l'utilisateur, il est possible de vérifier si le signal reçu par le terminal est bien caractéristique de l'utilisateur. Il est ainsi possible de déterminer si l'utilisateur ayant interagit sur la surface du dispositif
d'authentification est bien l'utilisateur du terminal. L'invention permet ainsi par exemple de définir un nouveau type de signature biométrique.
5.2 Modes particuliers de réalisation de l'invention.
Au cours des décennies passées sont apparues de nouvelles techniques de communication sans fils utilisant pour canal le corps humain. Dans ces technologies que l’on regroupe sous le terme générique d’IBC (de l’anglais : Intra-Body Communication) ou encore BCC (pour Body Channel Communication) ou CBB (pour Communication By Body en anglais), le corps humain agit comme un conducteur pour transmettre des informations d’un point à un autre. On s’intéresse ici plus particulièrement aux méthodes basées sur un couplage par induction, aussi appelées fréquemment « méthodes par champ proche » ou NF (de l’anglais Near Field), adaptées à une communication de proximité. Les communications en champ proche sont usuellement connues sous le sigle « NFC » (pour « Near Field Communication »), basées principalement sur la norme ISO (International Standard Organisation) 14443, utilisent des technologies sans fils pour permettre un échange d'informations entre deux périphériques éloignés d’une courte distance.
Les figures 1A, 1 B, et 1 C représentent un système de communication sans fils selon différents modes de réalisation de l’invention lorsqu’un utilisateur (2) porteur d’un dispositif portatif (1 ), appelé dans la suite terminal, équipé d’un module NFCtel que défini auparavant, compose un code sur une interface d'interaction d'un dispositif d'authentification (3), pour s'authentifier auprès de ce dispositif ou d'un service.
Par service, on entend tout type de service, par exemple une transaction monétaire, une validation de ticket, l'accès à un lieu sécurisé, le déverrouillage d'un terminal, etc.
Le dispositif d'authentification (3) peut être par exemple un objet connecté (en anglais, IOT pour Internet Of Things), un TPE (pour Terminal Electronique de Paiement), une borne de contrôle d'accès, un ordinateur personnel, une souris d’ordinateur, une passerelle domestique, le terminal de l'utilisateur, etc. Il est apte à émettre des signaux radioélectriques de type NFC, à travers le corps de l’utilisateur, via une antenne NFC/CBB (non représentée). Dans cet exemple de réalisation, le dispositif d'authentification (3) comprend une surface constituée par l’antenne éventuellement protégée et adaptée pour réagir lorsque l’utilisateur l’effleure ou entre en proximité avec elle, par exemple en approchant la main. Le terme « surface » n’est nullement limitatif et donné à titre illustratif, l’antenne étant le seul moyen indispensable au fonctionnement du dispositif. L’ensemble constitué de l’antenne, de la surface et plus généralement de tous les composants nécessaires à la mise en oeuvre d’une communication IBC est appelé dans la suite « Module IBC émetteur», noté MIBCM. On notera que ce module correspond au module NFC standard
d’une borne de type NFC paramétrée pour une communication CBB par le chargement d’un programme (logiciel) spécifique, sans modification du hardware.
Dans les exemples illustrés en figure 1A et 1 B, le dispositif d'authentification (3) est un TPE comprenant par exemple une interface utilisateur, encore appelée IHM (pour Interface Homme Machine), comprenant par exemple un écran destiné à afficher des messages à l’attention de l’utilisateur et un clavier numérique sur lequel l'utilisateur peut composer un code.
Le terminal (1 ) selon l’invention est un dispositif portatif naturellement apte à recevoir des ondes porteuses radio, via une antenne, à travers le corps de l’utilisateur (2). A cette fin, le terminal (1 ) est situé à proximité immédiate de l’utilisateur (2), sans nécessairement être en contact direct avec celui-ci. Par exemple, le terminal (1 ) est placé à l’intérieur d’une poche ou d’un sac porté contre l’utilisateur. Dans ces configurations, on estime que le terminal (1 ) n’est pas éloigné de plus de quelques centimètres du corps de l’utilisateur (2). La distance est par exemple inférieure à 5 cm. Le terminal (1 ) est équipé d’une batterie ou de piles, pour un fonctionnement autonome. Il s’agit selon cet exemple d’un terminal mobile équipé d’une antenne NFC (non représentée) adaptée en mode CBB pour recevoir les signaux électriques modulés sous forme d’une onde électromagnétique à travers le corps de l’utilisateur lorsque celui-ci se trouve à proximité immédiate du dispositif émetteur.
Dans l'exemple illustré en figure 1 C, le dispositif d'authentification est compris dans le terminal (1 ) de l'utilisateur.
Selon les exemples de réalisation illustrés en figures 1 A, 1 B, le terminal (1 ) comporte par ailleurs des moyens pour communiquer sur un second canal (4), par exemple Bluetooth ou Wi-Fi. L’utilisation d’un tel canal (4) permet des débits et vitesses de transmission plus élevées que le CBB. Ceci permet au terminal (1 ) de l'utilisateur de communiquer avec le dispositif d'authentification (3), par exemple pour transmettre au dispositif d'authentification une donnée représentative de l'identité de l'utilisateur lorsqu'il est vérifié par le terminal que le signal radio reçu du dispositif d'authentification via le corps de l'utilisateur correspond à un signal de référence préalablement mémorisé par le terminal (1 ).
Selon le mode de réalisation décrit en figure 1 A, lorsque l'utilisateur compose un code sur l'interface d'interaction du dispositif d'authentification (3), par exemple un code confidentiel pour valider une transaction de paiement, un signal radio caractéristique de l'interaction de l'utilisateur est transmis au terminal (1 ) via le corps de l'utilisateur (2). Le terminal (1 ) vérifie si le signal radio reçu correspond à un signal de référence préalablement mémorisé par le terminal (1 ). Dans le cas d'une vérification positive, le terminal (1 ) transmet au dispositif d'authentification (3) via le canal (4) une donnée représentative de l'identité de
l'utilisateur. Le dispositif d'authentification peut alors vérifier d'une part que le code composé par l'utilisateur correspond à un code prédéterminé, par exemple un code confidentiel mémorisé sur un support sécurisé inséré dans le dispositif d'authentification, par exemple une carte à puce, et d'autre part si l'identité de l'utilisateur transmise par le terminal correspond à l'identité de l'utilisateur associé au code prédéterminé, par exemple une telle identité est également mémorisée sur le support sécurisé.
La figure 1 B illustre une variante du mode de réalisation illustré en figure 1 A. Selon cette variante, le dispositif d'authentification (3) comporte par ailleurs des moyens pour communiquer sur un autre canal (4'), par exemple Bluetooth ou Wi-Fi, ou via un réseau de données mobile ou fixe. Ceci permet au dispositif d'authentification (3) de communiquer avec un dispositif de contrôle (1 1 ), e.g. un serveur bancaire. Un tel canal (4') permet par exemple au dispositif d'authentification (3) de transmettre la donnée représentative de l'identité de l'utilisateur reçue du terminal (1 ) au dispositif de contrôle (1 1 ), ainsi qu'une deuxième donnée d'identité de l'utilisateur associé au code prédéterminé. Selon cette variante, l'identité de l'utilisateur est vérifiée par le dispositif de contrôle.
La figure 1 C illustre un autre mode particulier de réalisation de l'invention, dans lequel, le dispositif d'authentification est compris dans le terminal (1 ). Par exemple, ce mode particulier de réalisation de l'invention permet de vérifier l'identité de l'utilisateur (2) lorsque celui-ci compose un code sur son terminal (1 ), par exemple un code de déverrouillage de sa carte SIM ou de son écran ou encore pour valider une transaction bancaire sur son terminal.
Selon une autre variante du mode particulier de réalisation de l'invention illustré en figure 1 C, le terminal (1 ) est un TPE. Selon cette variante, l'utilisateur compose son code confidentiel sur le TPE qu’elle tient dans la main et le TPE vérifie que le (les) signal(aux) intracorporel(s) émis par le TPE, transmis par le corps de l'utilisateur et reçu(s) par le TPE correspond bien à l'utilisateur ayant composé le code. Pour cela, par exemple, la donnée représentative de l’identité de l'utilisateur et sa référence biométrique (signal de référence associé à l'utilisateur) sont stockées sur une carte à puce et sont lues par le TPE au moment de la transaction. Le TPE vérifie ensuite que le signal(aux) intracorporel(s) reçu(s) correspond(ent) à la référence de l'utilisateur stockée sur la carte à puce et que le code composé est le code associé à l'identité de l'utilisateur stockée sur la carte à puce.
Selon l'un quelconque des exemples décrits précédemment une phase d'apprentissage d'un signal de référence associé à l'utilisateur est nécessaire. Une telle phase d'apprentissage est décrite plus loin en relation avec la figure 4.
Un dispositif terminal (1 ) selon l’invention va maintenant être décrit en relation avec la figure 2. Le terminal (1 ) est par exemple un terminal mobile de type smartphone adapté pour mettre en oeuvre l’invention. Selon une autre variante, le terminal (1 ) est un TPE modifié et apte à recevoir un signal intracorporel. Selon un autre exemple, le terminal est une simple carte électronique équipée des modules suivants :
- une unité de traitement, ou « CPU » (pour « Central Processing Unit »), destinée à charger des instructions en mémoire, à les exécuter, à effectuer des opérations ;
- un ensemble M de mémoires, dont une mémoire volatile, ou "RAM" (pour "Random Access Memory") utilisée pour exécuter des instructions de code, stocker des variables, etc. et une mémoire non volatile de type « ROM » (de l’anglais « Read Only Memory »), ou « EEPROM » (pour « Electronically Erasable Programmable Read Only Memory ») destinée à contenir des informations persistantes, notamment des données d’identification de l’utilisateur, par exemple un numéro de mobile, un identifiant, un code confidentiel, etc... . Selon un mode de réalisation de l’invention, la mémoire M contient une zone mémoire (5), de préférence sécurisée, contenant des données d'authentification d’un utilisateur du terminal au moins.
- un module dit « Module IBC utilisateur », MIBCU, incluant :
• une antenne CBB (ANT) adaptée pour recevoir des signaux sur la voie radio et via le corps humain, de manière à ce qu’un signal électrique modulé transporté par le corps de l’utilisateur soit apte à être reçu par l’antenne, qui se trouve dans le terminal, en proximité avec le corps humain ;
• un démodulateur (DEMOD), destiné à recevoir via l’antenne un signal électrique modulé et à le transformer en un signal numérique destiné à être transmis à l’unité de traitement ;
• les composantes logicielles ( firmware , etc.) nécessaires à la mise en oeuvre des communications CBB;
- un module radio (BT) de type Bluetooth ou WiFi destiné à transmettre notamment des données en retour depuis le terminal vers un dispositif d'authentification.
- de préférence, et notamment si ces modules ne sont pas mis en oeuvre sur un autre dispositif :
• un module de vérification DGV pour analyser un signal reçu par le module CBB et déterminer si le signal reçu correspond à un signal de référence préalablement mémorisé,
• un module applicatif APPV pour valider ou non l’authentification de l’utilisateur selon que le signal reçu correspond au signal de référence ou non,
- de préférence, et notamment si ce module n’est pas mis en oeuvre sur un autre dispositif , une application (APPA) destinée à la mise en oeuvre d’un procédé d’apprentissage selon des modes de réalisation de l’invention, notamment :
• l’apprentissage d'au moins une donnée d'authentification de l'utilisateur ;
• un accès à une base de données d'authentification (5) contenant les signaux de référence d’un ou plusieurs utilisateurs potentiels du terminal.
On notera que ce module d’apprentissage et cette base de données ne sont pas nécessairement situés sur le terminal : ils peuvent être sur un serveur dans un réseau de données, etc.
Un dispositif d'authentification (3) selon l’invention va maintenant être décrit en relation avec la figure 3.
Le dispositif d'authentification comprend plusieurs modules qui sont similaires à ceux du terminal 1 décrit en relation avec la figure 2 :
- une unité de traitement ou « CPU », destinée à charger des instructions en mémoire, à les exécuter, à effectuer des opérations.
- un ensemble M de mémoires, dont une mémoire volatile ou "RAM" (pour "Random Access Memory") utilisée pour exécuter des instructions de code, stocker des variables, etc., et une mémoire non volatile, de type « ROM » ou « EEPROM » destinée à contenir des informations persistantes ;
- un module dit « Module IBC émetteur », MIBCM, incluant :
• une antenne CBB (ANT) adaptée pour émettre des signaux sur la voie radio et via le corps humain ;
• un modulateur (MOD) destiné à adapter un signal numérique produit par le microprocesseur en un signal électrique modulé, destiné à être transmis, via l’antenne, à travers le corps de l’utilisateur. L’opération de modulation effectuée par le modulateur est par exemple une modulation d’amplitude : le signal est un signal à 13,56 MHz modulé en amplitude avec un taux de modulation d’environ 10% (caractéristique connue du type B selon la norme NFC). L’invention n’est cependant pas limitée à ce type de modulation. Dans un autre exemple de réalisation, la modulation est une modulation de fréquence, moins sensible aux parasites, ou, une modulation de phase ;
• une surface de contact, non représentée, adaptée pour réagir à la proximité immédiate de l’utilisateur (contact, quasi-contact, effleurement, etc.). Dans l’exemple décrit ici, cette surface correspond à l’antenne, de manière à ce
qu’un signal électrique modulé émis via l’antenne soit apte à être véhiculé par le corps de l’utilisateur qui est en proximité avec la surface. Dans un exemple de réalisation, l’antenne peut être intégrée dans la surface. La surface est agencée de manière à coopérer avec l’unité de traitement pour mettre en oeuvre les étapes du procédé qui sera décrit ultérieurement ;
- un module radio BT de type Bluetooth ou Wi-Fi destiné notamment à recevoir des données en provenance du terminal de l'utilisateur (donnée d'identité transmise par le terminal, données relatives à une transaction, etc.) et/ou à communiquer avec un autre dispositif pour valider une transaction.
- les composantes logicielles (firmware, etc.) nécessaires à la mise en oeuvre des communications IBC.
- une interface utilisateur (IHM) non représentée, adaptée pour transmettre à l’utilisateur des instructions ou des messages d’information et pour recevoir des interactions utilisateur. Par exemple, l’interface utilisateur comprend un écran sur lequel les messages et instructions sont affichés et un clavier numérique distinct ou affiché sur l'écran via lequel l'utilisateur peut composer un code numérique par exemple.
- un module d'obtention SUPP pour obtenir un code prédéterminé associé à l'utilisateur, par exemple il peut s'agir d'un lecteur de carte à puce intégré et adapté pour lire les informations comprises dans la mémoire de la carte à puce, ou bien une interface de communication adaptée pour recevoir des informations sécurisées transmises par le terminal via une application de carte bancaire dématérialisée,
- un module de vérification DGV pour analyser un signal correspondant à un code composé par l'utilisateur sur l'interface utilisateur et vérifier si le code composé par l'utilisateur correspond au code prédéterminé obtenu par le module d'obtention SUPP,
- un module applicatif APPV destiné selon une variante de réalisation à vérifier l'identité de l'utilisateur à partir d'une donnée d'identité reçue du terminal de l'utilisateur et d'une donnée d'identité associé au code prédéterminé obtenue par le module d'obtention SUPP. Selon une autre variante, le module applicatif APPV est destiné à coopérer avec un module de communication COM pour transmettre ces deux données d'identité à un dispositif de contrôle. Le module applicatif APPV' coopère avec le module DGV pour valider l'authentification de l'utilisateur lorsque d'une part le code composé correspond au code prédéterminé et d'autre part l'identité de l'utilisateur ayant composé le code correspond à l'identité associé au code prédéterminé,
- un module de communication COM apte à transmettre des données d'identité à un dispositif de contrôle et recevoir un signal de validation de l'identité de l'utilisateur en provenance du dispositif d'authentification.
La figure 4 représente les étapes d’un procédé d’apprentissage selon un mode de réalisation de l’invention.
L’apprentissage est réalisé en faisant poser le doigt de l'utilisateur sur chacun des digits d'une interface d'interaction d'un dispositif d'apprentissage, par exemple le dispositif d'authentification. L’utilisateur se trouve par exemple dans une boutique d’un opérateur de télécommunications et s’apprête à créer son signal de référence qui sera utilisé par la suite pour vérifier l'authentification de l'utilisateur, lors de l'usage des services de type CBB.
Selon ce mode de réalisation, la communication est unidirectionnelle (en mode CBB), depuis le dispositif d’apprentissage vers le terminal de l'utilisateur, et un canal de communication Bluetooth (4) est utilisé pour la communication depuis le terminal de l'utilisateur vers le dispositif d’apprentissage. Le terminal de l'utilisateur, par exemple de type smartphone CBB, se trouve dans la poche de l’utilisateur.
On suppose ici que tous les prérequis nécessaires à la communication CBB ont été effectuées aux cours d'étapes d’initialisation respectives EO et E20, comme par exemple décrit dans la demande WO2017/093639, notamment la diffusion par le dispositif d’apprentissage d’un message d’invite comportant éventuellement des paramètres relatifs au service offert (identifiant du service, aléa, qui permettra notamment d’effectuer l’appairage Bluetooth, etc.), le positionnement du terminal en mode de réception CBB, le lancement du programme d’apprentissage, etc.
Notamment, lors de l'étape E20, il est demandé à l'utilisateur d'appuyer successivement sur chacun des digits d'un clavier numérique du dispositif d’apprentissage (borne, TPE, etc.).
Lors d’une étape E21 , l’utilisateur appuie sur un des digits d'un clavier numérique du dispositif d’apprentissage.
Lors d’une étape E21 , la communication s’établit sur le canal IBC. La borne émet le signal SP,(t) transmis via le corps de l’utilisateur et portant des caractéristiques de l'utilisateur lorsqu'il interagit sur le digit i. Un tel signal SP,(t) est reçu par le terminal de l'utilisateur (1 ) au cours d'une étape E1.
Lors d’une étape E2, le terminal de l'utilisateur démodule et traite le signal reçu SP,(t).
Lors d’une étape E3, le terminal mémorise le signal SPi(t) dans une mémoire (représentée ici sous la forme d’une base de données (6) à titre d’exemple). Alternativement il peut aussi transmettre le signal, à un serveur d’apprentissage externe.
Lors d'une étape E4, il est vérifié si les 10 signaux SPj(t), correspondants aux 10 digits du clavier numérique, ont été reçus. Si ce n'est pas le cas, le procédé retourne à l'étape E1 en attente d'un nouveau signal SPr(t).
Si c'est le cas, le procédé passe à l'étape E5.
Au cours de l'étape E5, des signaux de référence sont générés pour l'utilisateur à partir des 10 signaux SP,(t) mémorisés. Pour cela, le terminal calcule la dérivée SP' (t) de chaque signal SPi(t). Puis, pour chaque instant t, le terminal calcule la moyenne M(t) des 10 y sP (t)
signaux SP,(t) = , où N est le nombre de signaux SP,(t) acquis, ici N=10. Le terminal calcule également l'écart-type s(ί) = des 1 o signaux SPi(t).
Le terminal calcule également la moyenne M'(t) et l'écart-type a'(t) des 10 signaux de dérivée SP'i(t).
Pour chaque instant t, le terminal mémorise ainsi un quadruplet de signaux de référence [M(ί), s(ί), M'(ί), s'(ί)] . Une telle référence biométrique de l'utilisateur permet ainsi de tenir compte d'une grande variabilité de l'utilisateur donnée par les différents touchers de chaque digit.
Selon le mode particulier de réalisation de l'invention décrit ici, le signal de référence est représenté par ce quadruplet de signaux de référence. Deux intervalles de référence sont alors définis à partir de ce quadruplet de signaux de référence. Un premier intervalle lnt(t) de référence est défini par lnt(t) = [M(t) - s(ί)/2; M(t) + s(ί)/2] et un deuxième intervalle lnt'(t) de dérivées de référence défini par lnt'(t) = [M'(t) - a'(t)/ 2; M'(t) + s'(ί)/2] Lors de la phase d'authentification ultérieure, la vérification de la référence biométrique de l'utilisateur consistera à vérifier si le signal reçu par le terminal est compris dans le premier intervalle et si le signal de dérivée du signal reçu par le terminal est compris dans le deuxième intervalle.
Le quadruplet de signaux de référence [M(t), a(t), M’(t), a'(t)\ ou bien les intervalles de référence lnt(t) et lnt'(t) sont stockés dans une mémoire, ou base de données (5), soit dans le terminal de l'utilisateur, soit dans une base de données de données d'authentification, avec de préférence un identifiant de l’utilisateur (par exemple son nom, , son numéro de téléphone, l’adresse MAC de son terminal, son numéro de compte bancaire, etc.).
Les signaux de référence peuvent prendre typiquement la forme d’un signal analogique ou numérique, c’est-à-dire une fonction représentant les variations du signal correspondant au touché d'un digit par l’utilisateur sur un intervalle de temps, par exemple quelques secondes. De préférence, ces signaux sont de type créneaux.
La figure 5A décrit un procédé de contrôle de l'authentification d'un utilisateur selon un mode particulier de réalisation de l'invention.
On suppose ici, de même que précédemment, que tous les prérequis nécessaires à la communication CBB ont été effectuées aux cours des étapes respectives E0 et E20. On suppose aussi que la phase d’apprentissage décrite précédemment à l’appui de la figure 4A a été effectuée et que le signal de référence de l’utilisateur est mémorisé sur le terminal mobile (on rappelle que le signal de référence pourrait être localisé ailleurs, dans une base de données externe au terminal par exemple).
Lors d'une étape E51 , l'utilisateur compose un code sur une interface d'interaction du dispositif d'authentification. Par exemple, on suppose ici qu'il s'agit d'un code à 4 digits, selon d'autres exemples de réalisation, le code pourrait comporter plus ou moins de digits, ou d'autres caractères alphanumériques.
Au cours de l'étape E51 , la communication s’établit sur le canal CBB. Le dispositif d'authentification émet un signal qui est modifié par l'interaction de l'utilisateur sur l'interface. Le signal modifié transmis via le corps de l’utilisateur et portant les caractéristiques de l'interaction de l'utilisateur est reçu par le terminal de l'utilisateur (1 ) au cours d'une étape E52. Au cours de l'étape E52, le terminal de l'utilisateur démodule et traite le signal reçu.
Lors d'une étape E54, le terminal de l'utilisateur obtient à partir de sa mémoire ou d'une base de données externe le signal de référence de l'utilisateur. Dans l'exemple décrit ici, le terminal récupère le quadruplet de signaux [M(t), a(t), M'(t), a'(t)] mémorisé lors de la phase d'apprentissage.
Lors d'une étape E55, il est vérifié si le signal reçu correspond au signal de référence. Une telle vérification est décrite ci-dessous en relation avec la figure 5B.
Lors d'une étape E500, le terminal identifie à partir du signal reçu lors de l'étape E51 les 4 signaux SPi(t) correspondant à l'interaction de l'utilisateur sur chaque digit composant le code.
Lors d'une étape E501 , le terminal calcule les signaux de dérivée SP'i(t) correspondant aux 4 signaux SP (t). Le terminal va ensuite vérifier si les signaux SP,(t) sont compris dans le premier intervalle de référence lnt(t) et si les signaux de dérivées SP'i(t) sont compris dans le deuxième intervalle de référence lnt'(t).
Pour cela, lors d'une étape E502, le terminal détermine pour chaque signal SPi(t) et SP'i(t), i allant de 1 à 4, un indicateur l (t), respectivement l'i(t), indiquant si le signal SP,(t), respectivement SP'i(t), est compris dans le premier intervalle de référence lnt(t), respectivement dans le deuxième intervalle de référence Int'(t). Pour cela, le terminal détermine pour chaque instant t compris dans l'intervalle de temps pendant lequel le signal SPi(t) a été reçu, si le signal SP,(t) est compris entre les deux fonctions M(t) - ait)/ 2 et M(t) + a t / 2 , si le signal SP' (t) est compris entre les deux fonctions M'(t) - a'it)/ 2 et M'it) + a'it)/2.
Par exemple, les indicateurs li(t) et G,(ΐ) sont fonction du temps t, et l'indicateur l (t), respectivement l'i(t), prend la valeur 0 lorsque, à l'instant t, le signal SPi(t), respectivement SP'i(t), est compris dans le premier intervalle lnt(t), respectivement dans le deuxième intervalle lnt'(t), et l'indicateur prend la valeur 1 lorsque le signal SP,(t), respectivement SP'i(t), n'est pas compris dans le premier intervalle lnt(t), respectivement dans le deuxième intervalle lnt'(t).
Lors d'une étape E503, le terminal calcule alors la distance entre le signal généré lors de l'interaction de l'utilisateur pour composer son code et le signal de référence représenté ici par le quadruplet de signaux de référence. Pour cela, un indicateur I,9 ou 1',9 est obtenu pour chaque signal SP,(t) ou SP'i(t) en sommant sur l'intervalle de temps les indicateurs l,(t) et G,(ΐ) précédemment obtenus. Puis, une distance globale est obtenue en sommant les 8 indicateurs l,9 et 1',9 obtenus. Une telle distance tend vers 0 lorsque l'utilisateur ayant composé le code correspond à l'utilisateur pour lequel les signaux de référence ont été appris.
Lors d'une étape E504, la somme des indicateurs est comparée à un seuil de référence S. Lorsque la somme des indicateurs est inférieure au seuil de référence, la vérification est positive. Sinon, la vérification est négative.
Selon un mode particulier de réalisation de l'invention, le seuil de référence peut varier en fonction d'un critère de sévérité de l'authentification. Par exemple, lorsqu'il s'agit de vérifier l'identité de l'utilisateur lors de la validation d'une transaction monétaire réalisée sur le terminal de l'utilisateur, le seuil S peut varier en fonction du montant de la transaction.
Si la vérification est positive, lors d'une étape E56, l'identité de l'utilisateur est validée.
Lors d'une étape E60, le terminal transmet au dispositif d'authentification une donnée représentative de l'identité de l'utilisateur.
Sinon, lors d'une étape E57, la vérification de l'identité de l'utilisateur échoue et aucune donnée d'identité de l'utilisateur n'est transmise au dispositif d'authentification.
En parallèle de la vérification de l'identité de l'utilisateur par le terminal, au cours d'une étape E61 , le dispositif d'authentification vérifie que le code composé par l'utilisateur correspond à
un code prédéterminé associé à l'utilisateur. Par exemple, il peut s'agir d'un code confidentiel mémorisé sur un support physique inséré par l'utilisateur dans le dispositif d'authentification. Lors d'une étape E62, le dispositif d'authentification reçoit la donnée représentative de l'identité de l'utilisateur transmise par le terminal à l'étape E60.
Lors d'une étape E63, le dispositif d'authentification vérifie que l'identité reçue correspond à l'identité associée au code prédéterminé. Par exemple, une telle identité associée au code prédéterminé est également mémorisée sur le support physique.
Lorsque le code composé par l'utilisateur correspond au code prédéterminé et que l'identité de l'utilisateur reçue du terminal correspond à l'identité associée au code prédéterminé, l'utilisateur est authentifié et peut accéder au service, par exemple valider une transaction, accéder à un lieu sécurisé, etc...
La figure 6 illustre des étapes du procédé de contrôle de l'authentification et du procédé d'authentification selon un autre mode particulier de réalisation de l'invention.
Selon le mode de réalisation décrit ici, l'étape de vérification de l'identité de l'utilisateur à partir de l'identité reçue du terminal est réalisée par un dispositif de contrôle (1 1 ).
Seule l'étape E63 décrite en relation avec la figure 5A est modifiée. Lors d'une étape E630, le dispositif d'authentification transmet au dispositif de contrôle la donnée représentative de l'identité de l'utilisateur reçue du terminal, et une donnée d'identité de l'utilisateur associée au code prédéterminée.
Lors de l'étape E631 , le dispositif d'authentification reçoit du dispositif de contrôle un signal de validation de l'identité de l'utilisateur lorsque les deux données d'identité correspondent à un même utilisateur. Sinon, le dispositif d'authentification reçoit du dispositif de contrôle un signal indiquant que l'identité de l'utilisateur n'est pas validée.
Pour valider l'identité de l'utilisateur, par exemple, le dispositif de contrôle vérifie que les deux données d'identité correspondent bien à un même utilisateur. Par exemple, le dispositif de contrôle dispose d'une table de correspondance comprenant le nom de l'utilisateur, associé à son numéro de mobile, ou un compte client, ou un identifiant de carte à puce, ....
Selon un mode particulier de réalisation de l'invention, le procédé de contrôle de l'authentification et le procédé d'authentification décrit en relation avec la figure 5A sont mis en oeuvre par le terminal de l'utilisateur. Dans cet exemple, les étapes E20 et E61 -E63 sont alors mises en oeuvre par le terminal.
Selon l'un quelconque des modes particuliers de réalisation décrit ici, lorsque les signaux de référence de l'utilisateur sont mémorisés dans un ensemble de données d'authentification d'utilisateurs, un identifiant de l'utilisateur, par exemple un numéro de mobile, son nom, ou
un autre identifiant, est utilisé pour sélectionner les signaux de référence propres à l'utilisateur parmi l'ensemble de données d'authentification d'utilisateurs. L'utilisateur peut s'être identifié sur le terminal préalablement, ou bien un identifiant de l'utilisateur peut être demandé par le terminal à l'utilisateur via une interface homme machine de terminal.