FR2908194A1 - Entite electronique portable et procede de blocage, a distance, d'une fonctionnalite d'une telle entite electronique portable - Google Patents

Entite electronique portable et procede de blocage, a distance, d'une fonctionnalite d'une telle entite electronique portable Download PDF

Info

Publication number
FR2908194A1
FR2908194A1 FR0654698A FR0654698A FR2908194A1 FR 2908194 A1 FR2908194 A1 FR 2908194A1 FR 0654698 A FR0654698 A FR 0654698A FR 0654698 A FR0654698 A FR 0654698A FR 2908194 A1 FR2908194 A1 FR 2908194A1
Authority
FR
France
Prior art keywords
electronic entity
revocation
authorization
message
functionality
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0654698A
Other languages
English (en)
Other versions
FR2908194B1 (fr
Inventor
Marc Bertin
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Idemia France SAS
Original Assignee
Oberthur Card Systems SA France
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oberthur Card Systems SA France filed Critical Oberthur Card Systems SA France
Priority to FR0654698A priority Critical patent/FR2908194B1/fr
Priority to PCT/FR2007/001754 priority patent/WO2008053095A1/fr
Priority to EP07866428A priority patent/EP2084679A1/fr
Publication of FR2908194A1 publication Critical patent/FR2908194A1/fr
Application granted granted Critical
Publication of FR2908194B1 publication Critical patent/FR2908194B1/fr
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/629Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/77Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/88Detecting or preventing theft or loss
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • G06Q20/3552Downloading or loading of personalisation data

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Bioethics (AREA)
  • Mathematical Physics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Health & Medical Sciences (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Le procédé de révocation et d'autorisation d'une fonctionnalité d'une entité électronique portable comporte :- une étape (240) de détermination du statut de l'entité électronique, par un serveur, à partir de l'identifiant de ladite entité électronique,- une étape (245, 260) d'envoi à l'entité électronique, par le serveur, en fonction dudit statut, soit d'un message de révocation de ladite fonctionnalité, soit d'un message d'autorisation de ladite fonctionnalité, lesdits messages de révocation et d'autorisation ne pouvant pas être distingués, sauf à l'aide d'un secret mémorisé par l'entité électronique,- à réception d'un message de révocation, une étape (255) de révocation de ladite fonctionnalité par ladite entité électronique et- à réception d'un message d'autorisation, une étape (270) d'autorisation de ladite fonctionnalité par ladite entité électronique.

Description

1 La présente invention concerne une entité électronique portable et un
procédé de blocage, à distance, d'une fonctionnalité d'une telle entité électronique portable. L'invention s'intéresse, particulièrement, aux entités électroniques portables et amovibles, préférentiellement comportant une mémoire non volatile et un microcontrôleur. Des exemples de telles entités sont constitués d'une clef électronique dite USB (acronyme de Universal Serial Bus pour bus série universel), c'est-à-dire une clef dont l'interface physique avec un ordinateur hôte est conforme à la spécification USB, et apte à communiquer selon un protocole conforme à la spécification USB, une carte à microcircuit, par exemple une carte à microcircuit conforme à la norme IS07816, ou une carte de MMC (acronyme de MultiMedia Card ). On connaît des entités électroniques portables amovibles qui offrent diverses fonctionnalités ou service, par exemple : - des clefs de mémorisation USB, pouvant être connectées à une station hôte pour mémoriser, par exemple, des données mémorisées par cette station hôte, - des cartes à puce (conformes à la norme 1507816) pouvant, par exemple, être connectées à une station hôte par l'intermédiaire d'un lecteur, ou une clef USB, pour sécuriser une transaction sur internet, - des entités électroniques portables pour d'autres services ou fonctionnalités : données médicales personnelles, passeports, télévision à péage, contrôle d'accès, porte-monnaie électronique... - des cartes bancaires pour effectuer des transactions bancaires. Il est souhaitable que l'émetteur ou le fournisseur de service qui est propriétaire de l'entité électronique portable soit en mesure de révoquer certaines entités électroniques, par exemple lorsqu'un titulaire d'une entité électronique a cessé de payer son abonnement ou lorsqu'une entité électronique à été perdue ou volée.
2908194 2 Une solution classique pour permettre cette révocation consiste en ce que les stations hôtes sur lesquels se connecte l'entité électronique pour mettre en oeuvre ladite fonctionnalité ou fournir ledit service ou les serveurs qui collaborent avec l'entité électronique pour mettre en oeuvre ladite fonctionnalité 5 ou fournir ledit service peuvent accéder à des listes noires d'entités électroniques portables, qui permettent d'interdire le service ou la fonctionnalité pour l'entité électronique révoquée. Une telle approche à l'inconvénient de nécessiter que les listes noires des stations hôtes et les serveurs soient fréquemment mises à jour, ce 10 qui est coûteux et parfois impossible. De plus, une entité électronique révoquée peut continuer à contribuer à mettre en oeuvre ledit service en collaboration avec une station ou un serveur distant dont la liste noire n'a pas encore été mise à jour. L'utilisation de telle liste noire n'est d'ailleurs pas toujours réalisable.
15 Pour remédier à cet inconvénient, une solution classique consiste à envoyer des messages de révocation à l'entité électronique. Cependant, une personne tentant d'utiliser frauduleusement l'entité électronique peut intercepter et bloquer lesdits messages de révocation en mettant, par exemple, en oeuvre les moyens nécessaires au sein de la station hôte à laquelle est connectée 20 l'entité électronique. La présente invention vise à remédier à ces inconvénients. A cet effet, selon un premier aspect, la présente invention vise un procédé de révocation et d'autorisation d'une fonctionnalité d'une entité électronique portable, qui comporte : 25 - une étape de détermination du statut de l'entité électronique, par un serveur, à partir de l'identifiant de ladite entité électronique, - une étape d'envoi à l'entité électronique, par le serveur, en fonction dudit statut, soit d'un message de révocation de ladite fonctionnalité, soit d'un message d'autorisation de ladite fonctionnalité, lesdits messages de 30 révocation et d'autorisation ne pouvant pas être distingués, sauf à l'aide d'un secret mémorisé par l'entité électronique, 2908194 3 à réception d'un message de révocation, une étape de révocation de ladite fonctionnalité par ladite entité électronique et à réception d'un message d'autorisation, une étape d'autorisation de ladite fonctionnalité par ladite entité électronique.
5 Grâce à ces dispositions, l'entité électronique attend, pour mettre en oeuvre la fonctionnalité, un message d'autorisation et on ne peut pas distinguer un message de révocation d'un message d'autorisation. Il est donc impossible d'empêcher la réception des messages de révocation par l'entité électronique sans interdire l'utilisation de la fonctionnalité par cette entité électronique 10 portable. On observe que l'existence des messages de révocation permet de limiter les risques liés à des attaques, notamment des attaques consistant à essayer d'autoriser frauduleusement la fonctionnalité. Selon des caractéristiques particulières, les messages d'autorisation 15 et de révocation présentent la même longueur, en nombre de données transmises. Grâce à ces dispositions, la longueur des messages ne peut pas être utilisée pour les distinguer. Selon des caractéristiques particulières, ladite étape de révocation est irréversible. La révocation peut, par exemple, révoquer le mécanisme 20 d'autorisation d'au moins une fonctionnalité. Ainsi, l'étape de révocation rend préférentiellement inopérante la réception ultérieure d'un message d'autorisation de la fonctionnalité. Selon des caractéristiques particulières, ladite étape de révocation rend l'entité électronique complètement inutilisable. Ainsi, il n'y a plus de 25 risques que l'entité électronique soit utilisée frauduleusement ultérieurement. Selon des caractéristiques particulières, ladite étape de révocation désactive ladite fonctionnalité. Grâce à ces dispositions, la présente invention peut être utilisée pour suspendre des droits à des services lorsque l'abonné à ces droits n'a pas réglé le montant de ces abonnements.
30 Selon des caractéristiques particulières, le procédé tel que succinctement exposé ci-dessus comporte une étape de connexion de ladite entité électronique à une station hôte et une étape de transmission de 2908194 4 l'identifiant de l'entité électronique depuis ladite entité électronique portable au serveur, par l'intermédiaire d'un réseau de communication. Selon des caractéristiques particulières, ladite entité électronique portable est une clef électronique dite USB (acronyme de Universal Serial 5 Bus pour bus série universel), c'est-à-dire une clef dont l'interface physique avec un ordinateur hôte est conforme à la spécification USB, et apte à communiquer selon un protocole conforme à la spécification USB. Selon des caractéristiques particulières, l'étape de détermination du statut est précédée d'une étape d'émission d'une requête d'autorisation de la 10 part de l'entité électronique à destination du serveur. Grâce à ces dispositions, l'entité électronique, et donc l'émetteur ou le fournisseur de service propriétaire de l'entité électronique peut contrôler les instants auxquels l'entité électronique pourra être révoquée par le serveur. Selon des caractéristiques particulières, l'étape d'émission d'une 15 requête comprend une étape d'authentification de l'entité électronique. Grâce à ces dispositions, on évite des attaques du serveur par une entité électronique falsifiée. Selon des caractéristiques particulières, l'étape d'émission d'une requête d'autorisation à lieu à chaque mise sous tension de l'entité 20 électronique. On est ainsi sûr que, dès que le serveur est informé de la révocation d'une fonctionnalité sur une entité électronique portable, celle-ci ne peut plus utiliser cette fonctionnalité. Selon des caractéristiques particulières, le procédé tel que succinctement exposé ci-dessus comporte une étape de signature, par le 25 serveur, de chaque message d'autorisation ou de révocation. Grâce à ces dispositions, on évite qu'un virus ou un autre logiciel malicieux présent sur la station hôte puisse révoquer une ou toutes les fonctionnalités de l'entité électronique portable. Selon des caractéristiques particulières, le procédé tel que 30 succinctement exposé ci-dessus comporte une étape de chiffrement, par le serveur, de chaque message d'autorisation ou de révocation. On constitue ainsi 2908194 5 un moyen simple et facile à mettre en oeuvre pour rendre les messages d'autorisation et de révocation indistinguables. Selon des caractéristiques particulières, les messages d'autorisation et de révocation reconnus par l'entité électronique portable sont variables au 5 cours du temps. Ainsi, on peut les transmettre en clair, mais ils ont une signification différente au cours du temps, par exemple selon la valeur d'une information partagée, typiquement non connue d'un attaquant (par exemple, un compteur des messages échangés, les messages de d'autorisation et de révocation ayant, par exemple, des significations interverties lorsque le 10 compteur est impair). Selon des caractéristiques particulières, les messages d'autorisation et/ou de révocations sont à usage unique. Ainsi, ils ne peuvent être utilisés qu'une seule fois, ce qui interdit l'utilisation d'un message copié pour déclencher une autorisation ultérieure.
15 Selon des caractéristiques particulières, dès la mise sous tension de l'entité électronique portable, on effectue un lancement automatique d'une application de communication avec le serveur. Ce chargement automatique peut être effectué, par exemple, sous la forme d'une application autorun.exe qui se lance automatiquement lorsque la station hôte lit le contenu de l'entité 20 électronique portable. De la sorte l'application est aisément lancée sans manipulation complexe pour l'utilisateur. Selon un deuxième aspect, la présente invention vise une entité électronique portable, qui comporte : - un moyen de communication d'un identifiant ; 25 un moyen de réalisation, au moins partielle, d'une fonctionnalité, - un moyen de réception d'un message de la part d'un serveur d'autorisation ; un moyen de conservation d'un secret ; un moyen d'interprétation dudit message pour déterminer, à l'aide dudit 30 secret, s'il s'agit d'un message de révocation de ladite fonctionnalité ou d'un message d'autorisation de ladite fonctionnalité ; 2908194 6 un moyen de révocation adapté à révoquer ladite fonctionnalité si le message est un message de révocation et un moyen d'autorisation adapté à autoriser ladite fonctionnalité si le message est un message d'autorisation.
5 Les avantages, buts et caractéristiques particulières de cette entité électronique portable étant similaires à ceux du procédé tel que succinctement exposé ci-dessus, ils ne sont pas rappelés ici. D'autres avantages, buts et caractéristiques de la présente invention ressortiront de la description qui va suivre, faite, dans un but explicatif et 10 nullement limitatif en regard des dessins annexés, dans lesquels : - la figure 1 représente, schématiquement, un mode de réalisation particulier de l'entité électronique objet de la présente invention connectée à une station hôte et à un serveur d'autorisation distant et - la figure 2 représente, sous forme d'un logigramme, des étapes 15 mises en oeuvre dans un mode de réalisation particulier du procédé objet de la présente invention. Il est à noter que les éléments représentés en figure 1 ne sont pas à l'échelle. On observe, en figure 1, un serveur 100 conservant une base de 20 données 110 de statuts d'entités électroniques portables et relié à un réseau de communication, ou informatique 130, par exemple Internet. Un serveur 120 met en oeuvre des services accessibles aux porteurs d'entités électronique portables. Une station hôte 140 est également connectée au réseau 130 et, par 25 l'intermédiaire d'un connecteur 150, à une entité électronique portable 160 objet de la présente invention. La station hôte 140 est, par exemple, un ordinateur d'usage général, ou ordinateur personnel. L'entité électronique portable 160 comporte, outre une partie du connecteur 150, un hub 165, un microcontrôleur 170, une mémoire 175 non 30 volatile. Le microcontrôleur 170 comporte une mémoire (non représentée) conservant au moins un secret nécessaire pour déchiffrer un message et/ou vérifier sa signature, par exemple sous la forme de clefs cryptographiques. La 2908194 7 mémoire 175 conserve un programme 180 mettant en oeuvre, en collaboration avec le microcontrôleur 170, une sécurisation de connexion et/ou de transaction. Le programme 180 implémente aussi des fonctionnalités de l'entité 5 électronique portable 160, par exemple des fonctionnalités de transactions bancaires. La mémoire 175 conserve aussi une adresse électronique 185 du serveur 100 et un identifiant 190 de l'entité électronique portable 160. Le hub 165, de type connu, permet la communication de la station hôte avec, d'une part, le microcontrôleur 170 et, d'autre part, la mémoire non 10 volatile 175. Le microcontrôleur 170 est de type sécurisé, comme, par exemple un microcontrôleur de carte à puce et comporte une mémoire EEPROM (non représentée). S'il est sécurisé, préférentiellement le microcontrôleur est conforme à des exigences de sécurité FIPS (acronyme de Federal Information Processing Standard pour standard de traitement d'information 15 fédéral) ou critère commun et/ou à la norme ISO7816. La mémoire non volatile 175 est, par exemple, une mémoire flash. La mémoire 175 est associée à un contrôleur simulant un lecteur de disques compacts, ou CD-ROM. Le programme 180 et le serveur 120 correspondent, par exemple, à 20 au moins une fonctionnalité d'applications bancaires, de téléphonie mobile, d'identification, d'accès un service en ligne (voix sur IP, par exemple) ou de télévision payante. Le programme 180 est, préférentiellement, de type à lancement automatique dès que l'entité électronique portable est alimentée, par 25 l'intermédiaire du connecteur 150. Le programme 180 est, par exemple, de type autorun . Le programme 180 est, préférentiellement, disponible, dans la mémoire 175 de l'entité électronique portable 160, en plusieurs versions adaptées à fonctionner sur différents types de station hôte 200, par exemple avec différents systèmes d'exploitation. Le programme met en oeuvre des 30 moyens cryptographiques. L'adresse électronique 185 du serveur 100 est, par exemple une adresse URL (acronyme de Universal Resource Locator pour localiseur 2908194 8 universel de ressources). L'identifiant de l'entité électronique portable 190 est un identifiant unique, c'est-à-dire qu'il n'existe pas deux entités électroniques portables qui possèdent le même identifiant. En variante, l'entité électronique portable 160 est directement 5 connectée au serveur 100 par l'intermédiaire d'une station hôte passive, par exemple du type lecteur d'entités électroniques portables. Dans ce mode de réalisation, l'entité électronique portable 160 comporte, par exemple, une interface de communication sans contact, de préférence une interface sans contact de communication de courte portée. II 10 peut ainsi s'agir d'une carte à puce sans contact ou duale interface (interface à la fois sans contact et contact) par exemple conforme à la norme ISO14443. L'entité électronique portable peut également être un passeport comportant dans l'épaisseur de sa couverture un microcontrôleur sécurisé muni de moyens de communication sans contact conforme à la norme ISO14443. La 15 communication avec une telle entité électronique peut être réalisée en utilisant l'interface sans contact, ou l'interface avec contact si l'entité électronique en comprend également une. En variante, le réseau 130 est un réseau de communication mobile. Comme on le comprend, à la lecture de ce qui précède, l'entité 20 électronique portable peut être, par exemple, une clef USB, une carte à puce ou une carte MMC. On observe, en figure 2 que, dès la connexion de l'entité électronique portable 160 à la station hôte 140, étape 205, l'entité électronique portable est alimentée par la station hôte, au cours d'une étape 210. Puis, au 25 cours d'une étape 215, le programme 180 se charge automatiquement dans la mémoire de la station hôte 140, éventuellement après une sélection, par exemple en fonction du système d'exploitation de la station hôte 140. Au cours d'une étape 220, le programme 180 se lance automatiquement sur la station hôte 140. Le chargement et le lancement automatique du programme 180 30 peuvent être effectués, par exemple, sous la forme d'une application autorun.exe qui se lance automatiquement lorsque la station hôte 140 accède au contenu de l'entité électronique portable 160. De la sorte le 2908194 9 programme 180 est aisément lancé sans manipulation complexe pour l'utilisateur. Puis, au cours d'une étape 225, le programme 180 lancé sur la station hôte 140 se connecte au serveur 100, en mettant en oeuvre l'adresse 5 électronique 185 du serveur 100. Au cours de cette même étape 225, le programme s'authentifie en mettant en oeuvre ses moyens cryptographiques et ceux de l'entité électronique portable 160. Grâce à l'authentification de l'entité électronique portable 160, on évite, au niveau du serveur 100, des attaques par une entité électronique falsifiée ou simulée.
10 Puis, au cours d'une étape 230, le programme 180 lancé sur la station hôte 140 envoie, à destination du serveur 100, une requête d'autorisation d'utilisation d'au moins une fonctionnalité, cette requête représentant l'identifiant 190. Au cours d'une étape 235, le serveur effectue une recherche, dans la 15 base de données 110, du statut de chaque fonctionnalité requise pour l'entité électronique portable, en mettant en oeuvre l'identifiant 190. Au cours d'une étape 240, le serveur détermine si le statut de la fonctionnalité requise de l'entité électronique portable est autorisé ou révoqué .
20 Si le statut est révoqué , au cours d'une étape 245, le serveur 100 envoie au microcontrôleur 170, par l'intermédiaire du réseau 130 et du programme 180 lancé sur la station hôte 140, une réponse formée d'un message de révocation signé et chiffré. Au cours d'une étape 250, le microcontrôleur 170 vérifie la signature du serveur 100. Par exemple, le serveur 25 utilise une clef privée dont l'entité électronique portable connaît ou peut connaître la clef publique. On observe que, grâce à la signature des messages, on évite qu'un virus ou un autre logiciel malicieux présent sur la station hôte 140 puisse révoquer une ou toutes les fonctionnalités de l'entité électronique portable 160. Si la signature est valide, le microcontrôleur 170 effectue le 30 déchiffrement du message reçu. Par exemple, le serveur utilise une clef publique dont l'entité électronique portable conserve la clef privée associée. Puis, au cours d'une étape 255, le microcontrôleur 170 interprète le message 2908194 10 reçu, c'est-à-dire détermine s'il signifie une révocation, comme dans le cas présent, ou une autorisation. Dans le cas où, comme ici, il s'agit d'une révocation, le microcontrôleur 170 écrit dans sa mémoire EEPROM, vérifiée à chaque mise sous tension, une information binaire représentative d'un statut 5 révoqué de chaque fonctionnalité requise. Le microcontrôleur 170 envoie alors, au programme 180, un message bloquant chaque fonctionnalité révoquée. Dans le cas où toutes les fonctionnalités du programme 180 sont révoquées, le microcontrôleur ne répond plus aux messages qui lui sont transmis.
10 D'une manière plus générale, selon les modes de réalisation, l'étape de révocation : est irréversible, la révocation touchant alors le mécanisme d'autorisation d'au moins une fonctionnalité, ce qui rend inopérante la réception ultérieure d'un message d'autorisation de la fonctionnalité, 15 - rend l'entité électronique complètement inutilisable, ce qui élimine les risques que l'entité électronique soit utilisée frauduleusement ultérieurement ou désactive la ou les fonctionnalité(s) requises, c'est-à-dire identifiées dans la requête émise au cours de l'étape 230, ce type de révocation permettant de suspendre des abonnements à des services lorsque l'abonné n'a pas réglé le 20 montant de ces abonnements. Si le statut déterminé au cours de l'étape 240 est autorisé , au cours d'une étape 260, le serveur 100 envoie au microcontrôleur 170, par l'intermédiaire du réseau 130 et du programme 180 lancé sur la station hôte 140, une réponse formée d'un message d'autorisation signé et chiffré. Au cours 25 d'une étape 265, le microcontrôleur 170 vérifie la signature du serveur 100 et, si la signature est valide, effectue le déchiffrement du message reçu. Puis, au cours d'une étape 270, le microcontrôleur 170 interprète le message reçu, c'est-à-dire détermine s'il signifie une autorisation, comme dans le cas présent, ou une révocation. Dans le cas où, comme ici, il s'agit d'une autorisation, le 30 microcontrôleur 170 écrit, dans la mémoire 175, une valeur binaire autorisant la mise en oeuvre de la fonctionnalité et, par exemple, la fourniture d'un contenu numérique, ou l'accès à un autre service, par l'intermédiaire du serveur 120.
2908194 11 Préférentiellement, les messages d'autorisation et de révocation présentent la même longueur, en nombre de données transmises. La mise en oeuvre de l'étape 230 permet à l'entité électronique et, donc, à l'émetteur ou au fournisseur de service propriétaire de l'entité 5 électronique, de contrôler les instants auxquels l'entité électronique pourra être révoquée par le serveur. Dans une variante non représentée, au lieu d'envoyer une requête au serveur 100 à chaque lancement du programme 180 sur la station hôte 140, l'entité électronique conserve, en mémoire, un compteur du nombre de mises en oeuvre d'une fonctionnalité qui est incrémenté ou 10 décrémenté à chacune de ces mises en oeuvre. Ce compteur est, par exemple, initialisé, après chaque procédure dans cette variante d'autorisation exposée en regard de la figure 2, à une valeur telle, qu'au bout d'une journée, le nombre d'authentification ne sera pas épuisé, mais qu'il soit probablement épuisé au bout de, par exemple, une semaine.
15 Un serveur d'un réseau de communication mobile peut envoyer des messages d'autorisation qui provoquent la réinitialisation du compteur ou un message de révocation, par exemple tous les jours. Ainsi, à la suite de l'une des étapes 245 ou 260, les messages de révocation et d'autorisation ne peuvent pas être distingués, sauf à l'aide d'un 20 secret mémorisé par l'entité électronique sécurisée. En variante du chiffrement des étapes 245 et 260, les messages d'autorisation et de révocation peuvent être dissimulés par des méthodes de stéganographie. Préférentiellement, les messages d'autorisation et/ou de révocations sont à usage unique, c'est-à-dire qu'ils ne peuvent être utilisés qu'une seule 25 fois, ce qui interdit l'utilisation d'un message copié pour déclencher une autorisation ultérieure. Par exemple, l'entité électronique portable génère un code pseudo-aléatoire et le transmet au serveur, dans la requête émise au cours de l'étape 230, le serveur utilisant ce code pour générer le message transmis en réponse.
30 Dans des variantes, l'interprétation des messages effectuée au cours des étapes 255 et 270 est telle que les messages d'autorisation et de révocation considérés ou reconnus par cette entité électronique portable 160 2908194 12 sont variables au cours du temps. Ainsi, on peut les transmettre en clair, mais ils ont une signification différente au cours du temps, par exemple selon la valeur d'une information partagée, typiquement non connue d'un attaquant (par exemple, un compteur de messages échangés, les messages de d'autorisation 5 et de révocation ayant, par exemple, des significations interverties lorsque le compteur est impair). Comme on le comprend à la lecture de ce qui précède, conformément à la présente invention, l'entité électronique portable 160 attend, pour mettre en oeuvre une fonctionnalité, un message d'autorisation de la part 10 d'un serveur d'autorisation 100 et on ne peut pas distinguer un message de révocation d'un message d'autorisation. Il est donc impossible d'empêcher la réception des messages de révocation par l'entité électronique sans interdire l'utilisation d'une fonctionnalité par cette entité électronique portable. On observe que l'utilisation des messages de révocation permet de limiter les 15 risques liés à des attaques, notamment les attaques consistant à essayer d'autoriser frauduleusement la fonctionnalité.

Claims (6)

REVENDICATIONS
1 - Procédé de révocation et d'autorisation d'une fonctionnalité d'une entité électronique portable (160), qui comporte - une étape (240) de détermination du statut de l'entité électronique, par un serveur (100), à partir de l'identifiant (190) de ladite entité électronique, une étape (245, 260) d'envoi à l'entité électronique, par le serveur, en fonction dudit statut, soit d'un message de révocation de ladite fonctionnalité, soit d'un message d'autorisation de ladite fonctionnalité, lesdits messages de révocation et d'autorisation ne pouvant pas être distingués, sauf à l'aide d'un secret mémorisé par l'entité électronique, - à réception d'un message de révocation, une étape (255) de révocation de ladite fonctionnalité par ladite entité électronique et - à réception d'un message d'autorisation, une étape (270) d'autorisation de ladite fonctionnalité par ladite entité électronique.
2 û Procédé selon la revendication 1, caractérisé en ce que les messages d'autorisation et de révocation présentent la même longueur, en nombre de données transmises.
3 û Procédé selon l'une quelconque des revendications 1 ou 2, caractérisé en ce que ladite étape (255) de révocation est irréversible.
4 û Procédé selon l'une quelconque des revendications 1 à 3, caractérisé en ce que ladite étape (255) de révocation rend l'entité électronique complètement inutilisable.
5 û Procédé selon l'une quelconque des revendications 1 à 4, caractérisé en ce que ladite étape (255) de révocation désactive ladite fonctionnalité.
6 û Procédé selon l'une quelconque des revendications 1 à 5, caractérisé en ce qu'il comporte une étape (205) de connexion de ladite entité électronique à une station hôte et une étape (230) de transmission de l'identifiant de l'entité électronique depuis l'entité électronique portable au serveur (100), par l'intermédiaire d'un réseau de communication (130). 2908194 14 7 û Procédé selon l'une quelconque des revendications 1 à 6, caractérisé en ce que ladite entité électronique portable (160) est une clef électronique dite USB (acronyme de Universal Serial Bus pour bus série universel), c'est-à-dire une clef dont l'interface physique avec un ordinateur 5 hôte est conforme à la spécification USB, et apte à communiquer selon un protocole conforme à la spécification USB. 8 û Procédé selon l'une quelconque des revendications 1 à 7, caractérisé en ce que l'étape de détermination du statut (240) est précédée d'une étape (230) d'émission d'une requête d'autorisation de la part de l'entité 10 électronique (160) à destination du serveur (100). 9 û Procédé selon la revendication 8, caractérisé en ce que l'étape (230) d'émission d'une requête comprend une étape d'authentification de l'entité électronique. 10 û Procédé selon l'une quelconque des revendications 8 ou 9, 15 caractérisé en ce que l'étape (230) d'émission d'une requête d'autorisation à lieu à chaque mise sous tension de l'entité électronique. 11 û Procédé selon l'une quelconque des revendications 1 à 10, caractérisé en ce qu'il comporte une étape (245, 260) de signature, par le serveur (100), de chaque message d'autorisation ou de révocation. 20 12 û Procédé selon l'une quelconque des revendications 1 à 11, caractérisé en ce qu'il comporte une étape (245, 260) de chiffrement, par le serveur (100), de chaque message d'autorisation ou de révocation. 13 û Procédé selon l'une quelconque des revendications 1 à 12, caractérisé en ce que les messages d'autorisation et de révocation reconnus 25 par l'entité électronique portable sont variables au cours du temps. 14 û Procédé selon l'une quelconque des revendications 1 à 13, caractérisé en ce que les messages d'autorisation et/ou de révocations sont à usage unique. 15 û Procédé selon l'une quelconque des revendications 1 à 14, 30 caractérisé en ce que dès la mise sous tension (210) de l'entité électronique portable, on effectue un lancement automatique (215, 220, 225) d'une application de communication à destination du serveur (100). 2908194 15 16 - Entité électronique portable (100) qui comporte un moyen (175, 180) de communication d'un identifiant (190) et un moyen (170, 175, 180) de réalisation, au moins partielle, d'une fonctionnalité, caractérisée en ce qu'elle comporte : 5 - un moyen (170) de réception d'un message de la part d'un serveur d'autorisation (100) ; - un moyen de conservation d'un secret ; - un moyen (170) d'interprétation dudit message pour déterminer, à l'aide dudit secret, s'il s'agit d'un message de révocation de ladite fonctionnalité 10 ou d'un message d'autorisation de ladite fonctionnalité ; - un moyen (170) de révocation adapté à révoquer ladite fonctionnalité si le message est un message de révocation et - un moyen (170) d'autorisation adapté à autoriser ladite fonctionnalité si le message est un message d'autorisation.
FR0654698A 2006-11-02 2006-11-02 Entite electronique portable et procede de blocage, a distance, d'une fonctionnalite d'une telle entite electronique portable Expired - Fee Related FR2908194B1 (fr)

Priority Applications (3)

Application Number Priority Date Filing Date Title
FR0654698A FR2908194B1 (fr) 2006-11-02 2006-11-02 Entite electronique portable et procede de blocage, a distance, d'une fonctionnalite d'une telle entite electronique portable
PCT/FR2007/001754 WO2008053095A1 (fr) 2006-11-02 2007-10-24 Entite electronique portable et procede de blocage, a distance, d'une fonctionnalite d'une telle entite electronique portable
EP07866428A EP2084679A1 (fr) 2006-11-02 2007-10-24 Entite electronique portable et procede de blocage, a distance, d'une fonctionnalite d'une telle entite electronique portable

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0654698A FR2908194B1 (fr) 2006-11-02 2006-11-02 Entite electronique portable et procede de blocage, a distance, d'une fonctionnalite d'une telle entite electronique portable

Publications (2)

Publication Number Publication Date
FR2908194A1 true FR2908194A1 (fr) 2008-05-09
FR2908194B1 FR2908194B1 (fr) 2009-02-13

Family

ID=38123749

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0654698A Expired - Fee Related FR2908194B1 (fr) 2006-11-02 2006-11-02 Entite electronique portable et procede de blocage, a distance, d'une fonctionnalite d'une telle entite electronique portable

Country Status (3)

Country Link
EP (1) EP2084679A1 (fr)
FR (1) FR2908194B1 (fr)
WO (1) WO2008053095A1 (fr)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8320962B2 (en) * 2009-06-05 2012-11-27 Visa International Service Association Contactless disablement
FR2999747B1 (fr) * 2012-12-19 2018-05-04 Idemia France Procede de securisation d'un dispositif apte a communiquer avec un lecteur selon deux protocoles d'authentification

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001059597A1 (fr) * 2000-02-14 2001-08-16 Mas Inco Corporation Procede et systeme d'activation de comptes
US20020186845A1 (en) * 2001-06-11 2002-12-12 Santanu Dutta Method and apparatus for remotely disabling and enabling access to secure transaction functions of a mobile terminal
US20030046246A1 (en) * 2001-09-06 2003-03-06 Alcatel Blocking server
EP1355251A2 (fr) * 2002-04-16 2003-10-22 Matsushita Electric Industrial Co., Ltd. Système de déactivation

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE281680T1 (de) * 1997-03-24 2004-11-15 Visa Int Service Ass System und verfahren für eine mehrzweckchipkarte die eine nachträgliche speicherung einer anwendung auf dieser karte ermöglicht
US20040203601A1 (en) * 2002-12-19 2004-10-14 Morriss Matthew James Method and apparatus for activating a restrictive operating mode of a wireless communication device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001059597A1 (fr) * 2000-02-14 2001-08-16 Mas Inco Corporation Procede et systeme d'activation de comptes
US20020186845A1 (en) * 2001-06-11 2002-12-12 Santanu Dutta Method and apparatus for remotely disabling and enabling access to secure transaction functions of a mobile terminal
US20030046246A1 (en) * 2001-09-06 2003-03-06 Alcatel Blocking server
EP1355251A2 (fr) * 2002-04-16 2003-10-22 Matsushita Electric Industrial Co., Ltd. Système de déactivation

Also Published As

Publication number Publication date
FR2908194B1 (fr) 2009-02-13
WO2008053095A1 (fr) 2008-05-08
EP2084679A1 (fr) 2009-08-05

Similar Documents

Publication Publication Date Title
EP3221815B1 (fr) Procédé de sécurisation d'un jeton de paiement.
EP1549011A1 (fr) Procédé et système de communication entre un terminal et au moins un équipment communicant
FR2895608A1 (fr) Procede pour la realisation d'un compteur securise sur un systeme informatique embarque disposant d'une carte a puce
EP1815638A1 (fr) Procede de securisation d'un terminal de telecommunication connecte a un module d'identification d'un utilisateur du terminal
FR2989799A1 (fr) Procede de transfert d'un dispositif a un autre de droits d'acces a un service
EP2614458A2 (fr) Procede d'authentification pour l'acces a un site web
WO2007012583A1 (fr) Procede de controle de transactions securisees mettant en oeuvre un dispositif physique unique, dispositif physique, systeme, et programme d'ordinateur correspondants
EP2249543A2 (fr) Procédé pour autoriser une connexion entre un terminal informatique et un serveur source
WO2006106250A1 (fr) Communication securisee entre un dispositif de traitement de donnees et un module de securite
EP1851901A1 (fr) Procede de pre-authentification rapide par reconnaissance de la distance
EP3857413A1 (fr) Procede de traitement d'une transaction, dispositif, systeme et programme correspondant
WO2008102082A1 (fr) Entité électronique portable et procède de communication
EP3588418A1 (fr) Procédé de réalisation d'une transaction, terminal, serveur et programme d ordinateur correspondant
FR2908194A1 (fr) Entite electronique portable et procede de blocage, a distance, d'une fonctionnalite d'une telle entite electronique portable
EP3136283B1 (fr) Dispositif et procédé sécurisation de commandes échangées entre un terminal et circuit intégré
EP3095223B1 (fr) Méthode de transmission de données chiffrées, méthode de réception, dispositifs et programmes d'ordinateur correspondants
CA2973836A1 (fr) Procede de traitement de donnees par un dispositif electronique d'acquisition de donnees, dispositif et programme correspondant
EP2813962A1 (fr) Méthode de contrôle d'accès à un type de services spécifique et dispositif d'authentification pour le contrôle de l'accès à un tel type de services.
FR3053549A1 (fr) Procede d'authentification de donnees de paiement, dispositifs et programmes correspondants.
FR2730076A1 (fr) Procede d'authentification par un serveur du porteur d'un objet portatif a microprocesseur, serveur et objet portatif correspondants
EP3570238B1 (fr) Procédé de réalisation d'une transaction, terminal, serveur et programme d'ordinateur correspondant
WO2017077211A1 (fr) Communication entre deux éléments de sécurité insérés dans deux objets communicants
FR3062501A1 (fr) Procede pour la securite d'une operation electronique
FR3124288A1 (fr) Technique d’accès à un support de stockage.
FR3007929A1 (fr) Procede d'authentification d'un utilisateur d'un terminal mobile

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 10

PLFP Fee payment

Year of fee payment: 11

PLFP Fee payment

Year of fee payment: 12

PLFP Fee payment

Year of fee payment: 13

PLFP Fee payment

Year of fee payment: 14

CA Change of address

Effective date: 20201228

CD Change of name or company name

Owner name: IDEMIA FRANCE, FR

Effective date: 20201228

ST Notification of lapse

Effective date: 20210706