FR2865060A1 - Procede pour modifier de maniere sure le contenu de la memoire non volatile d'une carte a microcircuit a l'aide d'un terminal portable et d'un serveur distant. - Google Patents

Procede pour modifier de maniere sure le contenu de la memoire non volatile d'une carte a microcircuit a l'aide d'un terminal portable et d'un serveur distant. Download PDF

Info

Publication number
FR2865060A1
FR2865060A1 FR0400187A FR0400187A FR2865060A1 FR 2865060 A1 FR2865060 A1 FR 2865060A1 FR 0400187 A FR0400187 A FR 0400187A FR 0400187 A FR0400187 A FR 0400187A FR 2865060 A1 FR2865060 A1 FR 2865060A1
Authority
FR
France
Prior art keywords
card
user
code
server
volatile memory
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0400187A
Other languages
English (en)
Other versions
FR2865060B1 (fr
Inventor
Jean Pierre Fortune
Jean Etienne Bougnoux
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to FR0400187A priority Critical patent/FR2865060B1/fr
Publication of FR2865060A1 publication Critical patent/FR2865060A1/fr
Application granted granted Critical
Publication of FR2865060B1 publication Critical patent/FR2865060B1/fr
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • G06Q20/3552Downloading or loading of personalisation data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/357Cards having a plurality of specified features
    • G06Q20/3576Multiple memory zones on card

Abstract

Procédé pour modifier de manière sûre le contenu de la mémoire non volatile d'une carte à microcircuit à l'aide d'un terminal portable et d'un serveur distant.Le procédé consiste à faire déterminer par la carte elle-même une liste de modifications possibles, à associer à chacune des modifications un code aléatoire court, à faire générer par la carte une clé cryptographique et une référence permettant au serveur de calculer la clé, à utiliser la clé pour chiffrer la liste des modifications et des codes associés, à faire transmettre le message chiffré et la référence de la clé au serveur distant par voie acoustique, à faire déchiffrer le message par le serveur, à faire proposer à l'utilisateur par le serveur un choix de modifications possibles, à faire retourner par le serveur le code aléatoire court correspondant au choix de l'utilisateur, à saisir sur le clavier du terminal portable le code retourné, à faire exécuter la modification ainsi sélectionnée par la carte si le code transmis correspond à celui envoyé initialement.

Description

- 1 -
La présente invention concerne un procédé pour modifier de manière sûre le contenu de la mémoire d'une carte à microcircuit à l'aide d'un lecteur de cartes à microcircuit portable et d'un serveur distant.
Les applications connues de telles cartes ont recours à des modifications de leur mémoire non volatile au moins dans ces deux cas: - la carte elle-même décide de modifier le contenu de sa mémoire non volatile pour ses besoins propres, - le terminal auquel est présentée la carte, transmet à celle-ci une ou plusieurs commandes dont l'objectif est la modification d'au moins une information contenue dans la mémoire non volatile de la carte.
Les systèmes connus basés sur l'utilisation de telles cartes à microcircuit ont fréquemment recours au second cas pour initier des modifications de la mémoire non volatile d'une carte en fonction du contexte dans laquelle cette carte est utilisée. Un exemple (bien entendu non limitatif) est l'utilisation d'une telle carte comme porte-monnaie électronique, la carte jouant notamment le rôle de stockage du solde courant du porte-monnaie. Dans cet exemple, il arrive que l'usager veuille recharger son solde.
Classiquement, un tel rechargement est une opération initiée par un système extérieur à la carte à microcircuit; par exemple une borne de rechargement à laquelle l'usager présente sa carte à microcircuit. L'usager choisit le montant à recharger et la borne de rechargement transmet la demande de rechargement à la carte à microcircuit, cette demande comportant tous les éléments nécessaires au bon rechargement (par exemple: valeur du crédit de monnaie, signature du message). Si le message est accepté par la carte à microcircuit, le nouveau solde sera celui déterminé par la borne de rechargement.
Dans cet exemple, la modification du solde de la carte à microcircuit correspond en réalité à une modification de sa - 2 - mémoire non volatile. Cette modification a bien été initiée par le système extérieur à la carte.
Pour arriver à un tel résultat, le terminal doit pouvoir lire des données provenant de la carte à microcircuit et doit pouvoir transmettre des données à cette même carte. Classiquement, la sécurité des opérations est assurée par des calculs cryptographiques opérant sur des échanges de type challenge-réponse et apportant authentification mutuelle et/ou signature des données échangées.
Un tel procédé pour la modification de la mémoire non volatile d'une carte à microcircuit est bien adapté aux cartes à microcircuit communiquant directement, au moyen d'une interface électrique ou radio, avec un terminal habilité à opérer une telle modification. En effet, pour des raisons de sécurité, la carte n'acceptera la modification demandée par le terminal qu'à la condition que ledit terminal apporte une preuve, sous la forme d'un certificat cryptographique, de son habilitation à demander une telle modification. D'une manière générale un tel terminal est doté de secrets cryptographiques, ou est connecté par un réseau informatique à un serveur qui dispose de tels secrets, afin d'effectuer les calculs nécessaires à la constitution des preuves cryptographiques exigées par les cartes devant être modifiées.
Cette solution engendre des échanges de données assez importants en volume entre la carte et le terminal. En conséquence, pour modifier le contenu d'une carte, et en particulier pour procéder à des opérations visant à augmenter la valeur de la carte, il est nécessaire d'établir une communication bidirectionnelle directe entre la carte et un terminal habilité. Outre la difficulté de déployer, à l'intention des usagers, des terminaux habilités, présents dans les locaux de l'opérateur du service ou connectés à un serveur de l'opérateur via un micro-ordinateur, cette solution n'est pas satisfaisante dans le cas où l'usager n'aurait pas accès à un tel terminal. Ce cas se présente - 3 - fréquemment en dehors des horaires d'ouverture des bureaux de l'opérateur de service ou lorsque l'usager ne dispose pas de micro-ordinateur équipé d'un lecteur de carte à microcircuit ou encore lorsque l'usager n'a pas le temps matériel d'accéder à l'une des deux possibilités précédentes.
La présente invention propose d'apporter une solution au problème exposé en permettant au porteur d'une carte à microcircuit de procéder de façon sécurisée aux modifications nécessaires de la mémoire non volatile de sa carte en utilisant un terminal lecteur de cartes à microcircuits portable doté d'un clavier et d'un transducteur sonore capable d'émettre des informations par la voie acoustique. Le système mettant en oeuvre le procédé de l'invention comprend en outre un serveur de gestion et une interface d'accès à ce serveur de gestion de type site Internet ou serveur vocal interactif.
L'un des buts du procédé de l'invention est de conserver le principe d'une carte dont la mémoire non volatile n'est modifiable qu'après la vérification de preuves cryptographiques, ceci à des fins de sécurité.
Un autre but du procédé de l'invention est de réaliser la modification de la mémoire non volatile d'une carte à microcircuit en limitant la quantité d'information à fournir à la carte pour exécuter la modification.
L'une des caractéristiques du procédé de l'invention est qu'une liste finie des modifications possibles de la mémoire non volatile de la carte à microcircuit est établie par la carte elle-même.
Une autre caractéristique du procédé de l'invention est qu'il consiste à faire interpréter par un serveur distant la liste transmise des modifications possibles préalablement établie par la carte.
Avantageusement, le procédé de l'invention prévoit que la liste des modifications possibles établie par la carte est - 4 - chiffrée avant transmission par la carte elle-même à l'aide d'une clé cryptographique secrète.
D'une façon caractéristique de l'invention, ce procédé comporte les étapes suivantes: a) l'insertion par l'utilisateur de la carte à microcircuit dans le terminal portable, b) la génération par la carte à microcircuit: d'une liste de modifications possibles de sa mémoire non volatile, - d'une clé cryptographique secrète unique non prédictible et d'une référence de cette clé permettant à une autorité cryptographique de calculer ladite clé.
c) la génération et la mémorisation par la carte à microcircuit d'un code numérique aléatoire court associé à chaque modification présente dans la liste de modifications établie à l'étape b), d) le chiffrement par la carte à microcircuit, à l'aide de calculs cryptographiques utilisant la clé secrète, de la liste de modifications et des codes générés aux étapes b) et c). Les informations chiffrées constituant un message crypté, e) la transmission par le terminal portable au serveur distant par des moyens, au moins pour partie, acoustiques, au moins du message crypté et de la référence en clair de la clé générée à l'étape b), f) le déchiffrement par le serveur distant du message crypté en calculant la clé à l'aide de la référence de clé, g) l'interprétation par le serveur distant de la liste de modifications déchiffrée et la proposition à l'utilisateur, au moyen d'un menu, d'un choix de modifications possibles à exécuter, h) la transmission du choix fait par l'utilisateur au serveur distant, - 5 - i) la communication à l'utilisateur par le serveur distant d'un code numérique court correspondant à la modification demandée, j) la saisie par l'utilisateur du code numérique sur le 5 clavier du lecteur de carte à microcircuit, k) la comparaison par la carte du code saisi et du code correspondant mémorisé. Si les codes sont égaux, l'exécution de la modification de la mémoire non volatile choisie par l'utilisateur et émission par le terminal portable d'un signal sonore ou visuel indiquant à l'utilisateur la bonne exécution.
On peut prévoir que si à l'étape k) le code saisi par l'utilisateur n'est pas égal au code initialement mémorisé par la carte, aucune modification de la mémoire non volatile de la carte à microcircuit n'est réalisée et le terminal portable émet un signal sonore ou visuel différent pour indiquer à l'utilisateur la non-égalité des codes.
On peut également prévoir que, en cas d'échec dans la comparaison des codes, l'utilisateur peut répéter la saisie du code un nombre fini de fois défini dans les paramètres de la carte à microcircuit et que si le nombre maximal de saisies du code est atteint, la carte annule la procédure entamée aux étapes a) à d) et s'interdit d'en démarrer une nouvelle.
D'autres caractéristiques et avantages de l'invention apparaîtront à la lecture de la description d'un exemple de mise en oeuvre de l'invention.
Exemple
On se propose de réaliser une application de monétique à l'aide d'une carte à microcircuit, porte-monnaie électronique rechargeable, le rechargement s'effectuant à l'aide d'un serveur vocal interactif. L'application peut servir par exemple à - 6 - s'acquitter de taxes de stationnement dans une zone urbaine équipée d'horodateurs à carte à microcircuit.
Afin de limiter la description à la mise en oeuvre du procédé en question, on suppose dans le texte qui suit que les cartes et la base de donnée du serveur ont été correctement personnalisées dans une phase de mise en place de l'application et des éléments qui la composent. On ne détaillera pas ici la gestion de toutes les données cryptographiques nécessaires à l'algorithme de génération de clés, celle-ci est largement documentée, notamment dans la littérature normative correspondante.
La carte stocke en mémoire non volatile un compteur d'unités de monnaie variant entre 0 et 100 inclus. La valeur 0 correspondant à un portemonnaie vide, la valeur 100 correspondant au nombre maximum d'unités que peuvent stocker les cartes.
Chaque carte est unique et est identifiable par un numéro de série NS luimême unique.
Chaque utilisation de la carte pour effectuer un achat consiste à insérer la carte dans un terminal et à lui faire décrémenter, à l'aide d'un jeu de commandes adapté dont les détails sortent du cadre de cette description, le compteur d'unités de celle-ci en échange de marchandises ou de services. À tout instant le solde d'unités de la carte se situe entre les valeurs 0 et 100, le solde négatif étant interdit par l'application.
Le rechargement de la carte consiste globalement à incrémenter le compteur d'unités stocké dans la mémoire non volatile de la carte en échange du paiement des unités crédités par un moyen de paiement de type carte bancaire ou prélèvement sur un compte bancaire. Le rechargement s'effectue par lots de 20, 50 30 ou 100 unités.
Les utilisateurs de l'application disposent d'un terminal portable lecteur de cartes à microcircuit doté en outre d'un clavier, d'une LED multicolore et d'un transducteur acoustique - 7 - capable de produire une modulation analogue à celle d'un modem acoustique. Les seules opérations qu'il est prévu d'effectuer à l'aide de ce dispositif sont des opérations de rechargement du porte-monnaie électronique.
Par ailleurs, les utilisateurs sont informés de l'existence d'un serveur vocal interactif de rechargement accessible par simple appel téléphonique. Le numéro d'appel pouvant par exemple être imprimé au dos des cartes de l'application.
Le déroulement des opérations de rechargement est le 10 suivant: 1) la carte est insérée par l'utilisateur dans le terminal portable. Le terminal procède à la mise sous tension de la carte comble définie dans la norme ISO 7816-3 puis envoie une série de commandes spécifiques à la carte lui demandant de générer les 15 éléments nécessaires à la préparation du rechargement, à savoir: trois indicateurs logiques binaire In donnant la disponibilité de chacun des 3 types de rechargement possibles en fonction du solde courant contenu dans la mémoire de la carte, à savoir +20 (Io), +50 (I1) ou +100 unités (I2) . Ainsi, si le solde est égal à 0, les trois types de rechargement sont possibles et Io = Il = I2 = 1, si le solde est supérieur à 0 et inférieur ou égal à 50 seuls les rechargements de 20 et 50 unités sont possibles Io = I1 = 1, I2 = 0, si le solde est supérieur à 50 et inférieur ou égal à 80 seul le rechargement de 20 unités est possible et Io 1, I1 = I2 = 0, si le solde est supérieur à 80, aucun rechargement n'est possible et Io = I1 = I2 = O. Ces informations sont mémorisées par la carte. 25 30 - 8 -
un code numérique C aléatoire à 4 chiffres associé à chacune des opérations de rechargement. Co, Cl, C2 sont ainsi respectivement associés aux rechargements de +20, +50 et +100 unités.
une clé cryptographique unique K et sa référence RK. L'algorithme utilisé (exemple non limitatif) est celui défini par la norme ANSI X9.24 sous le nom de DUKPT (Derived Unique Key Per Transaction).
Une fois ces éléments générés par la carte, celle-ci utilise la clé K pour chiffrer une la liste des indicateurs I et des codes Cn et transmet au terminal portable son numéro de série unique NS, la liste chiffrée et la référence de clé RK. Avantageusement, la clé K n'est pas transmise et est détruite après l'opération de chiffrement. L'ensemble des informations envoyées au terminal est stocké dans la mémoire non volatile.
Plus précisément, la carte génère une première suite d'octets constituée de 3 groupes de 3 octets correspondant à chacune des modifications possibles. Chacun de ces groupes est constitué de la manière suivante: Octet 0: In, vaut 1 si la modification est possible, 0 sinon.
Octet 1 et 2: les 4 chiffres du code aléatoire Cn associé à la modification codés par 4 digits hexadécimaux.
Cette première suite de 9 octets est convenablement paddée (c'est à dire éventuellement complétée par des valeurs constantes pour respecter les conventions de l'algorithme de chiffrement), puis chiffrée par la carte à l'aide de l'algorithme de chiffrement du type Triple DES (exemple non limitatif) et de la clé K générée par l'algorithme DUKPT. De ce même algorithme DUKPT résulte la référence RK de la clé générée, correspondant au compteur de transaction défini par la norme. On appelle MK le message chiffré ainsi obtenu. Le message MK et la référence de clé RK sont stockés dans la mémoire non volatile de la carte. - 9 -
Le numéro de série unique NS de la carte, le résultat MK du chiffrement et la référence RK de la clé utilisée sont ensuite concaténés pour former une seconde suite d'octets qui est alors transmise par la carte au terminal portable. Une fois ces données reçues par le terminal portable, celui-ci signale à l'utilisateur par le biais de sa LED multicolore qu'il est prêt à les transmettre par voie acoustique.
2) L'utilisateur compose le numéro d'appel du serveur vocal interactif dédié à l'opération de rechargement des cartes.
Le serveur vocal interactif diffuse, à l'intention de l'utilisateur, un message d'accueil l'invitant à presser une touche du clavier de son terminal portable dédiée au déclenchement de l'émission acoustique et à présenter simultanément ledit terminal portable devant le microphone du combiné téléphonique de sorte que la modulation produite par le transducteur sonore du terminal parvienne au serveur.
Parallèlement à la demande transmise à l'utilisateur, le serveur vocal interactif enclenche un mécanisme d'écoute et de démodulation des signaux acoustiques reçus.
Une fois que la séquence sonore transmise par le terminal portable est correctement démodulée par le serveur vocal interactif, celui-ci utilise le numéro de série unique NS et la référence RK de la clé cryptographique utilisée par la carte et transmis en clair pour dans un premier temps recalculer, à partir d'informations présentes dans sa base de donnée, la clé K et déchiffrer la partie chiffrée MK du message.
Le serveur interprète alors les données déchiffrées et propose à l'utilisateur, selon les possibilités ainsi indiquées par la carte et par le biais d'un menu vocal, le choix des modifications possibles. Ceci est un exemple non limitatif; par exemple une autre possibilité est que le serveur filtre certaines possibilités qu'il interprète lui-même comme étant impossibles. À chaque choix proposé, le serveur associe une touche du clavier du - 10 - combiné téléphonique et l'indique à l'utilisateur. Il prononce par exemple les phrases: Tapez un pour charger 20 unités , Tapez deux pour charger 50 unités , Tapez trois pour charger 100 unités .
L'utilisateur indique son choix au serveur par le biais du clavier du combiné téléphonique.
En retour, le serveur demande à l'utilisateur de présenter un moyen de paiement, les coordonnées de sa carte bancaire ou un 10 identifiant pour un paiement par prélèvement.
Après validation du paiement des unités ainsi achetées, le serveur vocal interactif prononce à l'intention de l'utilisateur, un index correspondant à la sélection choisie puis le code associé à la modification et envoyé par la carte dans le message chiffré.
Si par exemple le code généré par la carte pour un chargement de 20 unités est 3 7 8 2 , il prononce à l'intention de l'utilisateur, après déchiffrement et traitement des informations reçue, Pour effectuer le chargement de votre carte, veuillez saisir sur le clavier de votre terminal portable les chiffres suivants et valider: zéro, trois, sept, huit et deux . Avantageusement, le serveur mémorise également les différentes opérations effectuées dans sa base de données dans un enregistrement associé au numéro de série unique NS de la carte.
3) L'utilisateur saisit alors le code sur le clavier de son terminal portable et presse une touche de validation. Un dialogue s'établit alors entre le terminal portable et la carte. Les chiffres saisis sont communiqués par le terminal à la carte par le biais d'un jeu commande spécifique reconnu par la carte.
Dès qu'elle a pris connaissance des chiffres saisis au clavier du terminal portable par l'utilisateur, la carte: i) vérifie qu'un compteur de tentative de présentation de codes n'a pas atteint sa valeur maximale - 11 - autorisée. Si cela est vrai (max non atteint) la carte passe en ii) sinon passe en vii) ii) vérifie si l'index (ici 0, 1 ou 2) de la modification choisie correspond bien a une modification préalablement identifiée comme possible et, en cas d'impossibilité passe en v) sinon poursuit en iii).
iii) compare le code saisi avec celui mémorisé correspondant à la modification choisie et, en cas d'inégalité passe en vi) sinon poursuit en iv) iv) effectue la modification choisie, c'est à dire augmente le solde du porte-monnaie de la valeur sélectionnée et achetée par l'utilisateur, puis écrit la valeur 0 à l'emplacement des indicateurs In ce qui aura pour effet d'inhiber toute action d'une éventuelle nouvelle saisie au clavier, puis retourne au terminal un message d'information indiquant la bonne fin de l'opération. À l'issue des ces opérations la carte n'accepte plus aucune commande de la part du terminal et passe à vii).
v) cas où l'opération n'est pas possible: la carte retourne au terminal un message indiquant que la demande n'a pas pu être prise en compte afin que celui-ci puisse le signaler à l'utilisateur par le biais de sa LED multicolore, puis passe en vii).
vi) cas où le code saisi est erroné : la carte incrémente le compteur de présentation de codes erronés, en informe le terminal par un message et passe en vii) vii) attend indéfiniment d'être retirée du terminal portable et d'être ainsi mise hors tension.
- 12 - Dans l'hypothèse où l'utilisateur reprend le processus de transmission vers le serveur avec une carte qui aurait déjà commencé un tel processus mais pour laquelle ni un code correct, ni un nombre excédentaire de codes erronés auraient été présentés, avantageusement la carte répète au serveur, par le biais du terminal portable, les mêmes informations que précédemment transmises, y compris la référence RK de la clé K qui reste inchangée. Le serveur, recevant ces mêmes informations et constatant qu'il s'agit d'une répétition, répète à son tour et sans exiger un nouveau paiement le code à saisir pour effectuer le rechargement. Ce principe permet à l'utilisateur de redemander au serveur le code dont il a besoin en cas de mauvaise compréhension de sa part lors de la transmission initiale.
Selon une variante de l'application le serveur vocal interactif est remplacé par un serveur web Internet et la séquence acoustique générée par le terminal portable lui est transmise par le biais d'un microphone connecté à l'ordinateur du client, la démodulation du signal sonore pouvant alors être réalisée localement sur l'ordinateur du client, les informations ainsi déduites de la démodulation étant transmises classiquement au serveur par les protocoles Internet en usage tels que HTTP et SSL.
Selon d'autres variantes de l'application, les informations modifiées dans la mémoire non volatile de la carte sont d'autres types d'informations communément stockées dans les cartes à microcircuits. En particulier, le procédé de modification de la mémoire d'une carte à microcircuit s'applique également, de manière non limitative, au renouvellement de forfaits à durée limitée donnant accès à des services tels que l'on peut les rencontrer dans le domaine des transports en communs ou du stationnement.
- 13 -

Claims (5)

REVENDICATIONS
1. Un procédé pour modifier de manière sûre le contenu de la mémoire non volatile d'une carte à microcircuit, dans lequel la carte est temporairement insérée par un utilisateur dans un terminal portable doté notamment d'un clavier et d'un transducteur acoustique et dans lequel le terminal et un serveur distant communiquent, au moyen d'une modulation acoustique dans le sens terminal vers serveur et au moyen d'informations transmises par le serveur distant à l'utilisateur et saisies au clavier du terminal, dans le sens serveur vers terminal.
Procédé caractérisé en ce qu'il comporte les 15 étapes suivantes: a) l'insertion par l'utilisateur de la carte à microcircuit dans le terminal portable, b) la génération par la carte à microcircuit: - d'une liste de modifications possibles de sa mémoire non 20 volatile, - d'une clé cryptographique secrète unique non prédictible et d'une référence de cette clé permettant à une autorité cryptographique de calculer ladite clé.
e) la génération et la mémorisation par la carte à microcircuit d'un code numérique aléatoire court associé à chaque modification présente dans la liste de modifications établie à l'étape b), f) le chiffrement par la carte à microcircuit, à l'aide de calculs cryptographiques utilisant la clé secrète, de la liste de modifications et des codes générés aux étapes b) et c). Les informations chiffrées constituant un message crypté, g) la transmission par le terminal portable au serveur distant par des moyens, au moins pour partie, acoustiques, au moins - 14 - du message crypté et de la référence en clair de la clé générée à l'étape b), f) le déchiffrement par le serveur distant du message crypté en calculant la clé à l'aide de la référence de clé, g) l'interprétation par le serveur distant de la liste de modifications déchiffrée et la proposition à l'utilisateur, au moyen d'un menu, d'un choix de modifications possibles à exécuter, h) la transmission du choix fait par l'utilisateur au serveur distant, i) la communication à l'utilisateur par le serveur distant d'un code numérique court correspondant à la modification demandée, j) la saisie par l'utilisateur du code numérique sur le clavier du lecteur de carte à microcircuit, k) la comparaison par la carte du code saisi et du code correspondant mémorisé. Si les codes sont égaux, l'exécution de la modification de la mémoire non volatile choisie par l'utilisateur et émission par le terminal portable d'un signal sonore ou visuel indiquant à l'utilisateur la bonne exécution.
2. Le procédé de la revendication 1, dans lequel si à l'étape k) le code saisi par l'utilisateur n'est pas égal au code initialement mémorisé par la carte, aucune modification de la mémoire non volatile de la carte à microcircuit n'est réalisée et le terminal portable émet un signal sonore différent pour indiquer à l'utilisateur la non-égalité des codes.
3. Le procédé des revendications 1 et 2, dans lequel en cas d'échec l'utilisateur peut répéter la saisie du code un nombre fini de fois défini dans les paramètres de la carte à microcircuit.
- 15 -
4. Le procédé des revendications 1 à 3, dans lequel si le nombre maximal de saisies du code est atteint, la carte annule la procédure entamée aux étapes a) à d) et s'interdit d'en démarrer une nouvelle.
5. Système pour la mise en uvre du procédé selon les revendication 1 à 4, comprenant un serveur accessible à distance par un réseau de communication, une carte à microcircuit, un terminal portable, lecteur de cartes à microcircuit, doté notamment d'un clavier et d'un transducteur acoustique permettant la transmission d'informations de la carte vers le serveur.
FR0400187A 2004-01-09 2004-01-09 Procede pour modifier de maniere sure le contenu de la memoire non volatile d'une carte a microcircuit a l'aide d'un terminal portable et d'un serveur distant. Expired - Fee Related FR2865060B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR0400187A FR2865060B1 (fr) 2004-01-09 2004-01-09 Procede pour modifier de maniere sure le contenu de la memoire non volatile d'une carte a microcircuit a l'aide d'un terminal portable et d'un serveur distant.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0400187A FR2865060B1 (fr) 2004-01-09 2004-01-09 Procede pour modifier de maniere sure le contenu de la memoire non volatile d'une carte a microcircuit a l'aide d'un terminal portable et d'un serveur distant.

Publications (2)

Publication Number Publication Date
FR2865060A1 true FR2865060A1 (fr) 2005-07-15
FR2865060B1 FR2865060B1 (fr) 2007-07-27

Family

ID=34684915

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0400187A Expired - Fee Related FR2865060B1 (fr) 2004-01-09 2004-01-09 Procede pour modifier de maniere sure le contenu de la memoire non volatile d'une carte a microcircuit a l'aide d'un terminal portable et d'un serveur distant.

Country Status (1)

Country Link
FR (1) FR2865060B1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1988003294A1 (fr) * 1986-10-31 1988-05-05 Call-It Co. Carte de poche a donnees electroniques et systeme et procede de transmissions
EP0664633A1 (fr) * 1994-01-25 1995-07-26 Gemplus Card International Dispositif de production de signaux acoustiques, transmissibles par voie téléphonique
FR2741734A1 (fr) * 1995-11-27 1997-05-30 France Telecom Etui de protection pour carte d'authentification a puce utilisable a partir d'un terminal telephonique ou d'un lecteur de cartes a puce

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1988003294A1 (fr) * 1986-10-31 1988-05-05 Call-It Co. Carte de poche a donnees electroniques et systeme et procede de transmissions
EP0664633A1 (fr) * 1994-01-25 1995-07-26 Gemplus Card International Dispositif de production de signaux acoustiques, transmissibles par voie téléphonique
FR2741734A1 (fr) * 1995-11-27 1997-05-30 France Telecom Etui de protection pour carte d'authentification a puce utilisable a partir d'un terminal telephonique ou d'un lecteur de cartes a puce

Also Published As

Publication number Publication date
FR2865060B1 (fr) 2007-07-27

Similar Documents

Publication Publication Date Title
EP0981808B1 (fr) Procedure securisee de controle de transfert d'unites de valeur dans un systeme de jeu a cartes a puce
EP1153376B1 (fr) Procede de telepaiement et systeme pour la mise en oeuvre de ce procede
EP1008257B1 (fr) Procede et systeme pour securiser les centres de gestion d'appels telephoniques
EP1412926B1 (fr) Procede de gestion d'achat de contenus numeriques diffuses et moyens de telechargement de tels contenus
WO2002065414A1 (fr) Procede et systeme de telepaiement
WO2014009646A1 (fr) Entite electronique securisee pour l'autorisation d'une transaction
EP1724720B1 (fr) Procédé de paiement de service d'affranchissement dans une machine de traitement de courrier en libre accès
EP0950307B1 (fr) Procede et systeme pour securiser les prestations de service d'operateurs de telecommunication
CA2398317A1 (fr) Systeme et procede de securisation des transmissions d'informations
EP2369780A1 (fr) Procédé et système de validation d'une transaction, terminal transactionnel et programme correspondants.
WO2007006771A1 (fr) Procede et dispositif d'autorisation de transaction
WO2009101347A1 (fr) Procede et systeme de distribution de billets de banque a partir d'un distributeur automatique de billets
EP1323140B1 (fr) Procede pour fournir des donnees d'identification d'une carte de paiement a un usager
EP1299837A1 (fr) Procede de distribution commerciale en ligne de biens numeriques par l'intermediaire d'un reseau de communication et dispositif electronique d'achat de biens numeriques distribues par ce procede
EP1354288B1 (fr) Procede utilisant les cartes de paiement electroniques pour securiser les transactions
FR2865060A1 (fr) Procede pour modifier de maniere sure le contenu de la memoire non volatile d'une carte a microcircuit a l'aide d'un terminal portable et d'un serveur distant.
EP2053553A1 (fr) Procédé et dispositif pour l'échange de valeurs entre entités électroniques portables personnelles
EP1965342A1 (fr) Procédé pour effectuer une transaction entre un module de paiement et un module de sécurité
BE1016964A3 (fr) Methode et systeme de paiements electroniques entre porte-monnaies electroniques.
EP4298580A1 (fr) Carte de paiement, procédé d'authentification et utilisation pour un paiement à distance
FR2812424A1 (fr) Procede et systeme pour effectuer des transactions securisees de biens et de services au moyen d'un telephone mobile via un reseau de communication cellulaire
EP1282090A1 (fr) Procédé et dispositif de sécurisation des transactions
WO2014020244A1 (fr) Procédé de paiement sécurisé et dispositif en vue de la mise en œuvre dudit procédé
FR2994006A1 (fr) Procede et dispositif pour conduire une transaction aupres d'un distributeur automatique
WO2014154961A1 (fr) Procédé de délivrance de billets électroniques

Legal Events

Date Code Title Description
TP Transmission of property
PLFP Fee payment

Year of fee payment: 12

ST Notification of lapse

Effective date: 20160930