FR2996028A1 - Dispositif portatif protege contre une attaque - Google Patents

Dispositif portatif protege contre une attaque Download PDF

Info

Publication number
FR2996028A1
FR2996028A1 FR1258862A FR1258862A FR2996028A1 FR 2996028 A1 FR2996028 A1 FR 2996028A1 FR 1258862 A FR1258862 A FR 1258862A FR 1258862 A FR1258862 A FR 1258862A FR 2996028 A1 FR2996028 A1 FR 2996028A1
Authority
FR
France
Prior art keywords
data
motion
sensor
processor
motion sensor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1258862A
Other languages
English (en)
Other versions
FR2996028B1 (fr
Inventor
Gary Chew
Michel Martin
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Rambus Inc
Original Assignee
Inside Secure SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inside Secure SA filed Critical Inside Secure SA
Priority to FR1258862A priority Critical patent/FR2996028B1/fr
Publication of FR2996028A1 publication Critical patent/FR2996028A1/fr
Application granted granted Critical
Publication of FR2996028B1 publication Critical patent/FR2996028B1/fr
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/0716Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips at least one of the integrated circuit chips comprising a sensor or an interface to a sensor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/0719Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips at least one of the integrated circuit chips comprising an arrangement for application selection, e.g. an acceleration sensor or a set of radio buttons
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • G06K19/07309Means for preventing undesired reading or writing from or onto record carriers
    • G06K19/07345Means for preventing undesired reading or writing from or onto record carriers by activating or deactivating at least a part of the circuit on the record carrier, e.g. ON/OFF switches

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephone Function (AREA)

Abstract

La présente invention concerne un dispositif portatif (PDV) comprenant un processeur (PRC) configuré pour réaliser une opération, dans lequel le processeur est couplé à un capteur de mouvement (MS) et est configuré pour réaliser une action de sécurité si une valeur de mouvement fournie par le capteur de mouvement ou déduite d'au moins une donnée de mouvement (MD) mesurée par le capteur de mouvement n'est pas supérieure à une valeur seuil de mouvement (RVAL).

Description

DISPOSITIF PORTATIF PROTEGE CONTRE UNE ATTAQUE La présente invention concerne un dispositif portatif comprenant un processeur configuré pour réaliser 5 une opération, et un procédé pour protéger l'opération d'une attaque portée contre le dispositif portatif. Les dispositifs portatifs, tels que les cartes à puce, les dispositifs sécurisés embarqués, les étiquettes électroniques, les téléphones mobiles, etc. comprennent 10 généralement des processeurs configurés pour réaliser des opérations telles que des paiements, l'accès à une zone de paiement ou une zone sécurisée, l'envoi et la réception de données sensibles, etc. Ces dispositifs peuvent faire l'objet d'attaques visant à découvrir les 15 données sensibles et/ou à influencer les opérations en cours de réalisation. Dans une attaque connue sous le nom de « injection de fautes par laser », une source laser produit un faisceau laser avec une longueur d'ondes réglable et une 20 profondeur de pénétration réglable. Le faisceau laser est concentré précisément sur une zone spécifique du dispositif, telle que le processeur ou une mémoire, et assure une précision de synchronisation élevée qui ne détruit pas le dispositif de sorte que l'attaque est 25 reproductible. Des sondes entrent en contact avec le dispositif, permettant à un attaquant de déduire des données telles que des clés secrètes, ou d'analyser une opération en cours de réalisation. Le brevet US 7,813,175 décrit une carte à puce 30 comprenant une unité centrale et une mémoire protégée contre des attaques par injection de fautes par laser. La mémoire comprend une matrice de cellules mémoire et une pluralité de cellules de détection de lumière dispersées entre les cellules mémoire. Lorsque les cellules de 35 détection de lumière détectent un faisceau laser focalisé sur la mémoire, un signal de détection est généré et l'unité centrale est réinitialisée. Quoi qu'il en soit, un tel mécanisme de protection est spécifique aux attaques portées contre la mémoire, et 5 nécessite une surface importante. Une attaque portée contre une autre partie de la carte à puce, telle que l'unité centrale, ne serait pas nécessairement détectée et/ou empêchée. En outre, les cellules de détection de lumière doivent être sensibles à la longueur d'ondes du 10 faisceau laser supposé être utilisé pour attaquer le dispositif. Il peut par conséquent être souhaitable de fournir un autre moyen de protéger contre des attaques les opérations réalisées par un dispositif portatif. 15 Des modes de réalisation de l'invention concernent un dispositif portatif comprenant un processeur configuré pour réaliser une opération, dans lequel le processeur est couplé à un capteur de mouvement et est configuré pour réaliser une action de sécurité si une valeur de 20 mouvement fournie par le capteur de mouvement ou déduite d'au moins une donnée de mouvement mesurée par le capteur de mouvement n'est pas supérieure à une valeur seuil de mouvement. Selon un mode de réalisation, le capteur de 25 mouvement est un capteur micro-électromécanique. Selon un mode de réalisation, le capteur de mouvement est configuré pour mesurer au moins une parmi une donnée de vitesse, une donnée d'accélération, une donnée de fréquence de vibration, une donnée de grandeur 30 de vibration, une donnée d'inclinaison ou une donnée angulaire. Selon un mode de réalisation, le dispositif est configuré pour déterminer la valeur de mouvement en tant que différence entre au moins deux données de vitesse, 35 données d'accélération, données de fréquence de vibration, données de grandeur de vibration, données d'inclinaison, données angulaires ou données de position mesurées par le capteur de mouvement à des premier et second instants.
Selon un mode de réalisation, le dispositif est configuré en outre pour lire la valeur seuil de mouvement dans une mémoire non volatile. Selon un mode de réalisation, le dispositif est une carte à puce ou un élément sécurisé embarqué couplé(e) à une interface de communication sans contact ou couplé(e) à un dispositif comprenant une interface de communication sans contact. Des modes de réalisation de l'invention concernent un procédé de protection d'une opération réalisée par un dispositif portatif comprenant un processeur, dans lequel il comprend la réalisation d'une action de sécurité si une valeur de mouvement fournie par un capteur de mouvement ou déduite d'au moins une donnée de mouvement mesurée par un capteur de mouvement n'est pas supérieure à une valeur seuil de mouvement. Selon un mode de réalisation, l'action de sécurité est au moins l'une des actions suivantes : ne pas exécuter l'opération, interrompre l'opération, envoyer des données factices, exécuter une opération factice, effacer des données dans une mémoire du dispositif, envoyer une notification selon laquelle une attaque a été détectée, activer un drapeau dédié, réinitialiser le processeur, bloquer le fonctionnement du dispositif, ou réinitialiser des codes, des données ou des clés de chiffrement. Selon un mode de réalisation, le procédé comprend en outre l'étape consistant à mesurer, au moyen du capteur de mouvement, au moins une parmi une donnée de vitesse, une donnée d'accélération, une donnée de grandeur de vibration, une donnée de fréquence de vibration, une donnée d'inclinaison, ou une donnée angulaire. Selon un mode de réalisation, le procédé comprend en outre l'étape consistant à déterminer la valeur de 5 mouvement en tant que différence entre au moins deux données de vitesse, données d'accélération, données de grandeur de vibration, données de fréquence de vibration, données d'inclinaison, données angulaires ou données de position mesurées par le capteur de mouvement à des 10 premier et second instants. Selon un mode de réalisation, le procédé comprend en outre une phase d'étalonnage comprenant les étapes consistant à déterminer la valeur seuil de mouvement pour le dispositif, et stocker la valeur seuil de mouvement 15 dans une mémoire non volatile couplée ou incorporée au dispositif portatif. Selon un mode de réalisation, l'opération est au moins l'une parmi l'envoi de données à un dispositif externe, le chiffrage de données, la lecture de données 20 dans une mémoire et l'écriture de données dans une mémoire. Selon un mode de réalisation, l'opération n'est pas exécutée si au moins l'une des actions suivantes se produit retrait du capteur de mouvement, désactivation 25 du capteur de mouvement, suppression de la valeur seuil de mouvement, ou modification de la valeur seuil de mouvement. Selon un mode de réalisation, le procédé comprend une étape consistant à désactiver la détermination de 30 mouvement afin de tester le dispositif portatif. Des modes de réalisation de la présente invention font maintenant l'objet d'une description à titre non limitatif en relation avec les dessins joints, parmi lesquels : - la figure 1 illustre un dispositif portatif selon un mode de réalisation de la présente invention, - la figure 2 est un organigramme d'un procédé de protection d'une opération réalisée par le dispositif 5 portatif, selon un mode de réalisation de la présente invention, et - la figure 3 est un organigramme d'un procédé de protection d'une opération réalisée par le dispositif portatif, selon un autre mode de réalisation de la 10 présente invention. La présente invention se base sur l'observation selon laquelle, pendant une attaque, telle que l'injection de fautes par laser, le dispositif portatif est généralement placé sur une plate-forme ou une table 15 anti-vibration afin de le maintenir stable, de sorte que les sondes et le faisceau laser puissent être positionnés de manière précise. En revanche, lorsque le dispositif portatif est utilisé par un utilisateur, il se produit généralement un mouvement lorsque l'utilisateur approche 20 le dispositif portatif d'un autre dispositif, tel qu'une borne de paiement, pour réaliser une transaction et/ou en raison de légères vibrations de la main de l'utilisateur. La figure 1 illustre un dispositif portatif PDV Selon un mode de réalisation de la présente invention. Le 25 dispositif portatif PDV comprend un processeur PRC, une mémoire MEM, une interface de communication sans contact CLF (« Contactless Front-End »), un circuit cryptographique CCT, et un capteur de mouvement MS. Le processeur PRO est couplé à chacun de l'interface CLF, de 30 la mémoire MEM, du circuit cryptographique OCT et du capteur de mouvement MS. Le processeur PRO est par exemple une unité centrale CPU ou un microprocesseur, et comprend un registre REG. L'interface CLF comprend une bobine d'antenne AC1 35 et est configurée pour réaliser des transactions sans contact avec un dispositif externe EDV, comprenant également une bobine d'antenne AC2, pour la réception de commandes CMD et l'envoi de réponses RSP. La mémoire MEM est une mémoire non-volatile, telle qu'une mémoire EPROM, EEPROM, FLASH, ou ROM, et est configurée pour stocker des données d'application, des données de transaction, des codes PIN, des justificatifs d'identité, etc. Le circuit cryptographique OCT chiffre et déchiffre les données envoyées et reçues via l'interface CLF.
Le capteur de mouvement MS mesure des données de mouvement MD relatives à une grandeur physique, telle que la vitesse, l'accélération, ou la variation angulaire (rotation) mesurée selon ou autour d'au moins un axe, subit par le dispositif portatif PDV. Une valeur de mouvement VAL est calculée à partir des données de mouvement MD, soit par le capteur de mouvement MS lui-même, soit par le processeur PRO. La valeur de mouvement VAL est ensuite comparée à une valeur seuil de mouvement RVAL stockée dans la mémoire MEM. La valeur seuil de mouvement RVAL correspond à une quantité de mouvement au dessous de laquelle on considère que le dispositif portatif PDV fait l'objet d'une attaque. Cette valeur seuil est mise à 0 ou à une autre valeur si nécessaire, selon la sensibilité et la précision du capteur de mouvement MS, le niveau moyen de mouvement auquel est soumis le dispositif pendant un type d'attaque donné, et le niveau de sécurité requis pour une opération donnée. Si la valeur de mouvement VAL n'est pas supérieure à la valeur seuil RVAL, le processeur PRO considère que le dispositif portatif PDV fait l'objet d'une attaque, et exécute une action de sécurité. L'action de sécurité peut comprendre une ou plusieurs des actions suivantes : ne pas exécuter l'opération souhaitée, interrompre une opération en cours 35 d'exécution, effacer les données dans la mémoire, envoyer une notification selon laquelle le dispositif fait l'objet d'une attaque, bloquer le fonctionnement du dispositif portatif, envoyer des données fausses ou « factices » au lieu des données « réelles », exécuter 5 une opération « factice », activer un drapeau dédié, réinitialiser le processeur ou réinitialiser des codes et clés de chiffrement. Sinon, si la valeur de mouvement VAL est supérieure .à la valeur seuil RVAL, le processeur PRO considère que le dispositif portatif PDV ne fait pas 10 l'objet d'une attaque, et ne réalise pas l'action de sécurité. Une opération, telle qu'un calcul cryptographique ou l'envoi de données, est ensuite exécutée ou poursuivie. La figure 2 est un organigramme d'un procédé de 15 protection d'une opération à exécuter par le dispositif portatif, selon un mode de réalisation de la présente invention. Dans ce mode de réalisation, l'opération à exécuter est le chiffrement de données par le circuit cryptographique CCT. Le capteur de mouvement est ici un 20 capteur micro-électromécanique « MEMs » du type simple, à faible coût, configuré pour mesurer les données de mouvement MD et les fournir à l'état « brut » au processeur PRO. Dans une étape Si, le processeur PRO reçoit une 25 demande REQ, par exemple une commande CMD envoyée par le dispositif externe EDV, pour chiffrer des données de transaction. Lors d'une étape S2, le processeur PRO demande à la mémoire MEM de fournir la valeur seuil de mouvement RVAL. Lors d'une étape S3, la mémoire MEM lit 30 et fournit la valeur RVAL au processeur. Le processeur charge ensuite la valeur RVAL dans son registre REG. Lors d'une étape S4, le processeur PRO demande au capteur de mouvement MS de mesurer les données de mouvement MD du dispositif portatif PDV. Lors d'une 35 étape S5, le capteur de mouvement MS mesure et fournit les données de mouvement MD au processeur PRO. Lors d'une étape S6, le processeur calcule la valeur de mouvement VAL à partir des données de mouvement MD. Lors d'une étape S7, le processeur exécute une 5 vérification de mouvement en déterminant si la valeur de mouvement VAL est supérieure à la valeur seuil de mouvement RVAL. Si la réponse est oui, lors d'une étape S8, le processeur demande au circuit cryptographique OCT de chiffrer les données. Si toutefois la réponse est non, 10 la séquence d'étapes prend fin, et le processeur ne demande pas au circuit cryptographique OCT de chiffrer les données. Le processeur exécute ensuite d'autres actions de sécurité selon les besoins. La figure 3 est un organigramme d'un procédé de 15 protection d'une opération réalisée par le dispositif portatif, selon un autre mode de réalisation de la présente invention. Dans ce mode de réalisation, l'opération à exécuter est l'envoi de données de transaction du dispositif portatif PDV au dispositif 20 externe EDV au moyen de leurs bobines d'antenne respectives AC1, AC2. Le capteur de mouvement est ici un capteur micro-électromécanique « MEMs » du type « intelligent », comprenant une unité de commande et un registre ou une mémoire, capable de mesurer et d'analyser 25 les données de mouvement MD pour fournir une valeur de mouvement VAL au processeur. Lors d'une étape Sll, le dispositif portatif PDV exécute une séquence de démarrage en réponse à la détection d'un champ magnétique émis par le dispositif 30 externe EDV. Lors d'une étape S12, le dispositif portatif PDV reçoit une commande CMD1 envoyée par le dispositif externe EDV, pour initier une séquence anticollision et établir une liaison de communication sans contact. Lors d'une étape S13, le processeur PRO demande à la 35 mémoire MEM de fournir la valeur seuil de mouvement RVAL.
Lors d'une étape S14, la mémoire MEM lit et valeur seuil RVAL au processeur, qui charge valeur RVAL dans son registre REG. Lors d'une étape S15, le processeur PRO 5 capteur de mouvement MS de fournir une fournit la ensuite la demande au valeur de mouvement. Lors d'une étape S16, le capteur de mouvement MS mesure les données de mouvement MD et calcule une première valeur de mouvement VAL'. Le capteur de mouvement fournit ensuite la valeur VALI au 10 processeur PRO, qui stocke la valeur dans son registre REG. Lors d'une étape S17, le dispositif portatif PDV envoie une réponse RSP1 au dispositif externe EDV, établissant la liaison de communication sans contact. 15 Lors d'une étape S18, le dispositif portatif PDV reçoit une autre commande CMD2 du dispositif externe EDV, pour réaliser une transaction sans contact. Lors d'une étape S19, le processeur PRO demande à nouveau au capteur de mouvement MS de fournir une valeur de mouvement. Lors 20 d'une étape S20, le capteur de mouvement MS mesure les données de mouvement MD, calcule une seconde valeur de mouvement VAL2, et la fournit au processeur PRO, qui la stocke dans le registre. Lors d'une étape S21, le processeur PRO exécute une 25 vérification de mouvement en déterminant si la valeur de mouvement, ici la différence absolue entre les valeurs de mouvement VALI et VAL2, est supérieure à la valeur seuil de mouvement RVAL. Si la réponse est oui, lors d'une étape S22, le dispositif portatif PDV envoie une 30 réponse RSP2 au dispositif externe EDV, terminant la transaction. Si toutefois la réponse est non, la séquence d'étapes prend fin, et le processeur n'envoie pas de réponse au dispositif externe EDV. L'homme de l'art comprendra que, dans certains 35 modes de réalisation, une phase d'étalonnage est prévue avant la mise en service du dispositif portatif. Particulièrement, la phase d'étalonnage permet de fixer la valeur seuil de mouvement RVAL pour un capteur de mouvement particulier MS, qui peut présenter de légères variations dues à des différences de fabrication ou qui sont fonction du type de dispositif portatif et des applications souhaitées. Dans certains modes de réalisation, une valeur d'« erreur » de mouvement est fixée, correspondant à une marge d'erreur du capteur de mouvement MS. La valeur d'erreur est ensuite stockée dans la mémoire MEM et prise en considération lors de l'exécution de la vérification de mouvement (avec marges d'erreur). Dans certains modes de réalisation de la présente invention, la vérification de mouvement peut être désactivée, par exemple pendant la phase d'étalonnage ou pendant une phase de test/débogage. Ainsi, le dispositif portatif PDV peut être placé sur une plate-forme de test et continuer à exécuter les opérations demandées, sans être bloqué par le fait que le capteur de mouvement MS détecte l'état immobile. Pour cela, des méthodes conventionnelles, telles que la protection par mot de passe ou par fusible non rechargeable, sont employées pour éviter qu'un attaquant ne désactive la vérification de mouvement afin de lancer une attaque. En variante, dans certains modes de réalisation, le processeur est paramétré avec un nombre limité de « by-passes de vérification de mouvement », chaque by-pass désactivant la vérification de mouvement pour une période limitée ou un nombre limité d'opérations. Dans certains modes de réalisation, des précautions supplémentaires sont prévues afin d'éviter le trafiquage du capteur de mouvement et/ou de la valeur seuil de mouvement, telles que des moyens pour détecter si le capteur de mouvement MS a été retiré ou désactivé, si la valeur seuil de mouvement RVAL a été modifiée ou supprimée, etc. Il va également de soi que, dans certains modes de réalisation, la vérification de mouvement est lancée par 5 le processeur PRO à intervalles réguliers, par exemple de manière cyclique déterminée par une horloge. Une opération en cours d'exécution est ensuite interrompue si la vérification de mouvement signale que la valeur de mouvement VAL est devenue inférieure à la valeur 10 seuil RVAL. La vérification de mouvement peut être un sous-programme de sécurité qui est exécuté en permanence par le processeur ou sinon, uniquement lorsqu'une opération sécurisée doit être exécutée. En variante, plutôt que de mesurer les données de 15 mouvement MD à la demande du processeur PRO, le capteur de mouvement MS mesure les données de mouvement de manière autonome. Le capteur de mouvement MS comprend par conséquent un circuit de commande et un registre, et met à jour en permanence les données de mouvement MD ou une 20 valeur de mouvement calculée VAL stockée dans son registre. Le processeur PRO extrait ensuite les données ou la valeur de mouvement selon les besoins. En outre, dans certains modes de réalisation, le capteur de mouvement MS exécute lui-même la vérification 25 de mouvement, comprenant la prise en considération d'éventuelles marges d'erreur fixées, et comprend à cet effet un circuit de commande et un circuit comparateur. Le comparateur reçoit la valeur seuil de mouvement RVAL sur une entrée, la valeur de mouvement VAL sur une autre 30 entrée, et fournit en sortie une donnée de vérification se rapportant au résultat de la comparaison. Dans certains modes de réalisation, cette donnée de vérification est fournie en permanence au processeur PRO, par exemple sous la forme d'un signal d'interruption 35 causant l'interruption d'une opération par le processeur, son entrée dans un sous-programme de sécurité ou sa réinitialisation. En variante, la donnée de vérification est extraite par le processeur selon les besoins. Il va également de soi que, dans certains modes de réalisation, une pluralité de valeurs seuil de mouvement RVAL sont fixées. Ces valeurs seuil correspondent par exemple à différents types d'attaques, ou à différents niveaux de sécurité requis en fonction de l'opération à exécuter. Par exemple, deux valeurs seuil de mouvement RVAL1, RVAL2, sont fixées, RVAL1 étant supérieure à RVAL2, et chacune ayant une ou plusieurs actions de sécurité désignées à exécuter. Si la valeur de mouvement VAL est inférieure à RVAL1, mais supérieure à RVAL2, une action de sécurité correspondant à RVAL1 est alors exécutée, et si la valeur de mouvement VAL est inférieure à la fois à RVAL1 et à RVAL2, une action de sécurité correspondant à RVAL2 ou à la fois à RVAL1, RVAL2 est alors exécutée. Dans un mode de réalisation, les valeurs RVAL1 et RVAL2 correspondent à différents niveaux de menaces de sécurité, et des actions de sécurité de niveau faible et élevé sont désignées en conséquence. Dans un mode de réalisation, la valeur de mouvement VAL est une moyenne de deux valeurs de mouvement ou plus mesurées sur une période de temps, telle qu'une minute. Si la valeur moyenne n'est pas supérieure à la valeur seuil de mouvement RVAL, une action de sécurité est alors exécutée. Dans ce cas, même si une ou plusieurs donnée(s) ou valeur(s) de mouvement individuelle(s) est/sont inférieure(s) ou supérieure(s) à la valeur seuil RVAL, seule la valeur moyenne est prise en compte pour déterminer si le dispositif fait ou non l'objet d'une attaque. Dans un mode de réalisation, le capteur de mouvement 35 est un accéléromètre MEMS fonctionnant selon une parmi diverses technologies comprenant les technologies piézoelectrique, piézorésistive, capacitive, de résonance, optique et magnétique. Un accélérateur MEMs courant comprend une masse étalon qui est déplaçable par rapport à un support. Le mouvement de la masse dû à des forces externes est mesuré et utilisé pour déterminer l'accélération. Le capteur de mouvement accéléromètre MENS mesure par conséquent une donnée d'accélération AC à un instant prédéterminé tl. Le processeur ou le capteur lui-même calcule ensuite une valeur d'accélération (VAL) et compare cette valeur à une valeur seuil d'accélération ACO (RVAL), telle que l'accélération zéro. En variante, le capteur mesure au moins deux données d'accélération AC1, AC2 à deux instants prédéterminés tl, t2. Le processeur ou le capteur calcule ensuite des valeurs d'accélération (VALI, VAL2), détermine la différence, correspondant à une accélération ou une décélération du dispositif portatif entre les deux instants, et compare cette valeur à la valeur seuil d'accélération ACO. Si la différence n'est pas supérieure à zéro, le dispositif portatif est alors soit immobile, par exemple, placé sur une table, soit déplacé à une vitesse constante. Dans un autre mode de réalisation, le capteur est un indicateur de vitesse comprenant une unité de mesure d'accélération MEMs, et est configuré pour déterminer la vitesse de l'objet portatif à partir d'une donnée d'accélération mesurée. Le capteur mesure une donnée d'accélération AC à un instant prédéterminé t1. Le processeur ou. le capteur calcule ensuite une valeur de vitesse (VAL) et compare cette valeur à une valeur seuil de vitesse VLO (RVAL). Outre les données de mouvement relatives à la vitesse ou à l'accélération, dans certains modes de 35 réalisation, le capteur de mouvement mesure des données relatives à des grandeurs physiques, telles que la vibration (grandeur ou fréquence), l'inclinaison, la rotation angulaire, la position, la gravité, la variation de champ magnétique, etc.
Dans un mode de réalisation, le capteur est un capteur de vibrations configuré pour déterminer une amplitude ou fréquence de vibration à partir d'une unité de mesure d'accélération. L'amplitude ou la fréquence mesurée est comparée à une valeur seuil d'amplitude ou de fréquence. En variante, une différence entre deux mesures d'amplitude ou de fréquence ou plus est comparée à la valeur seuil. Dans un mode de réalisation, le capteur de mouvement est un capteur d'inclinaison ou « inclinomètre » mesurant l'inclinaison par rapport à au moins un axe, et mesure ainsi une donnée d'inclinaison TD à un instant prédéterminé tl. Le processeur ou le capteur calcule ensuite une valeur d'inclinaison (VAL) et la compare à une valeur seuil d'inclinaison TDO (RVAL), par exemple l'axe lui-même, pour déterminer si le dispositif portatif a été incliné par rapport à l'axe. En variante, le capteur mesure au moins deux données d'inclinaison TD1, TD2 à deux instants prédéterminés tl, t2. Le processeur ou le capteur calcule ensuite des valeurs d'inclinaison (VALI, VAL2) et compare la différence entre ces deux valeurs, en rapport avec la quantité d'inclinaison se produisant entre les deux instants, avec la valeur seuil d'inclinaison TDO (RVAL) afin de déterminer si un changement d'inclinaison a eu lieu. Dans un mode de réalisation, le capteur est un gyroscope, mesurant la rotation angulaire autour d'au moins un axe. En particulier, le capteur mesure une donnée de rotation angulaire AR à un instant prédéterminé t1. Le processeur ou le capteur calcule ensuite une valeur de rotation angulaire (VAL) et la compare à une valeur seuil de rotation angulaire ARO (RVAL), par exemple l'axe lui-même, pour déterminer si le dispositif portatif a été entraîné en rotation par rapport à l'axe. En variante, le capteur de mouvement mesure au moins deux données de rotation angulaire AR1, AR2 à deux instants prédéterminés t1, t2. Le processeur ou le capteur calcule ensuite des valeurs de rotation angulaire (VALI, VAL2) et compare la différence entre ces deux valeurs, en rapport avec la quantité de rotation angulaire se produisant entre les deux instants, avec la valeur seuil de rotation angulaire ARO (RVAL) afin de déterminer si un changement de rotation a eu lieu. Dans un mode de réalisation, le capteur de mouvement est un capteur de position géographique, tel qu'un module GPS haute précision. Le capteur mesure au moins deux données de position PD1, PD2 à deux instants prédéterminés t1, t2. Le processeur ou le capteur calcule ensuite des valeurs de position (VALI, VAL2) en rapport avec la position du dispositif portatif aux deux instants, et compare la différence entre ces deux valeurs avec une valeur seuil de position PDO (RVAL) afin de déterminer si un changement de position a eu lieu. Dans un mode de réalisation, le capteur mesure une vitesse angulaire à partir de mesures angulaires successives et compare la vitesse angulaire à une valeur seuil de vitesse angulaire. En variante, le capteur est un détecteur de gravité et mesure le mouvement suivant un axe par rapport à l'axe de gravitation. Toujours en variante, le capteur est un magnétomètre mesurant des données de champ magnétique (grandeur ou direction) par rapport au Pôle Nord magnétique. Il va de soi que, dans certains modes de réalisation, le dispositif portatif PDV comprend d'autres 35 éléments, tels qu'un écran, un dispositif d'entrée, une interface de communication à contact (telle que des plages de contact selon ISO 7816), une mémoire vive RAM, un générateur d'horloge, un générateur de nombres aléatoires, etc. En outre, dans certains modes de réalisation, le dispositif portatif PDV comprend d'autres moyens pour éviter ou détecter une attaque, tels que des capteurs de température, des capteurs de désencapsulation, et autres moyens équivalents. Dans un mode de réalisation, le capteur de mouvement 10 MS n'est pas utilisé exclusivement pour la vérification de mouvement et est utilisé à d'autres fins, telles que les applications de jeux ou de géo-localisation. Dans un mode de réalisation, le capteur de mouvement MS et un ou plusieurs autres éléments du dispositif portatif, tels 15 que la mémoire MEM et/ou le processeur PRO, sont fabriqués sur un même substrat semi-conducteur. Dans un mode de réalisation, le capteur de mouvement est un capteur à faible coût facilement incorporé ou couplé au dispositif portatif. 20 Dans un mode de réalisation, le dispositif portatif est une carte à puce ou un élément sécurisé embarqué comprenant une interface de communication sans contact (CLF) ou couplée à un dispositif comprenant une telle interface de communication sans contact. Dans un autre 25 mode de réalisation, le dispositif portatif est un téléphone mobile, un assistant personnel numérique, un lecteur de musique numérique, et autres dispositifs équivalents. Bien qu'une mémoire MEM soit généralement présente dans de tels dispositifs portatifs, elle n'est 30 pas essentielle dans le cadre de l'invention. Dans un mode de réalisation, la valeur seuil RVAL est prévue dans le processeur PRO lui-même, par exemple stockée dans une cellule mémoire dédiée ou un comparateur recevant sur une entrée la valeur de mouvement, et dont l'autre entrée est 35 câblée avec la valeur seuil RVAL.
En outre, l'homme de l'art comprendra que dans certains modes de réalisation, les étapes du procédé de protection d'une opération à exécuter, telles que celles exposées en relation avec la figure 2 ou la figure 3, sont exécutées dans un ordre différent. Par exemple, au lieu que l'étape S2 ou S13 (le processeur PRC demande à la mémoire MEM de fournir la valeur seuil de mouvement RVAL) et que l'étape S3 ou S14 (la mémoire MEM lit et fournit la valeur RVAL au processeur) soient exécutées au début de la séquence d'étapes, ces étapes S2/S3 ou S13/S14 sont exécutées à un moment ultérieur, par exemple après l'étape S6 (le processeur calcule la valeur de mouvement VAL à partir des données de mouvement MD), l'étape S16 (la première valeur de mouvement VALI_ est mesurée, calculée et fournie au processeur PRO), ou l'étape S20 (la seconde valeur de mouvement VAL2 est mesurée, calculée et fournie au processeur PRC). Enfin, il convient de noter que la présente invention n'assure pas uniquement une protection contre les attaques par injection de fautes par laser. La présente invention assure une protection contre tout type d'attaque qui nécessite de maintenir le dispositif à l'état immobile, telle une attaque par rayons X ou une attaque invasive, tels des signaux de test internes.

Claims (14)

  1. REVENDICATIONS1. Dispositif portatif (PDV) comprenant un processeur (PRC) configuré pour réaliser une opération, caractérisé en ce que le processeur est couplé à un capteur de mouvement (MS) et est configuré pour réaliser 5 une action de sécurité si une valeur de mouvement (VAL, VALI, VAL2) fournie par le capteur de mouvement ou déduite d'au moins une donnée de mouvement (MD) mesurée par le capteur de mouvement n'est pas supérieure à une valeur seuil de mouvement (RVAL, RVAL1, RVAL2). 10
  2. 2. Dispositif selon la revendication 1, dans lequel le capteur de mouvement (MS) est un capteur micro-électromécanique. 15
  3. 3. Dispositif selon l'une des revendications 1 ou 2, dans lequel le capteur de mouvement (MS) est configuré pour mesurer au moins une parmi une donnée de vitesse, une donnée d'accélération, une donnée de fréquence de vibration, une donnée de grandeur de vibration, une 20 donnée d'inclinaison ou une donnée angulaire.
  4. 4. Dispositif selon l'une des revendications 1 ou 2, configuré pour déterminer la valeur de mouvement (VAL, VALI, VAL2) en tant que différence entre au moins 25 deux données de vitesse, données d'accélération, données de fréquence de vibration, données de grandeur de vibration, données d'inclinaison, données angulaires ou données de position mesurées par le capteur de mouvement à des premier et second instants. 30
  5. 5. Dispositif selon l'une des revendications 1 à 4, configuré en outre pour lire la valeur seuil de mouvement (RVAL, RVAL1, RVAL2) dans une mémoire non volatile (MEM).
  6. 6. Dispositif selon l'une des revendications 1 à 5, dans lequel le dispositif est une carte à puce ou un élément sécurisé embarqué couplé(e) à une interface de communication sans contact (CLF) ou couplé(e) à un dispositif comprenant une interface de communication sans contact.
  7. 7. Procédé de protection d'une opération réalisée 10 par un dispositif portatif (PDV) comprenant un processeur (PRO), caractérisé en ce qu'il comprend la réalisation d'une action de sécurité si une valeur de mouvement (VAL, VALI, VAL2) fournie par un capteur de mouvement (MS) ou déduite 15 d'au moins une donnée de mouvement (MD) mesurée par un capteur de mouvement n'est pas supérieure à une valeur seuil de mouvement (RVAL, RVAL1, RVAL2).
  8. 8. Procédé selon la revendication 7, dans lequel 20 l'action de sécurité est au moins l'une des actions suivantes : - ne pas exécuter l'opération, - interrompre l'opération, - envoyer des données factices, 25 - exécuter une opération factice, - effacer des données dans une mémoire (MEM) du dispositif, - envoyer une notification selon laquelle une attaque a été détectée, 30 - activer un drapeau dédié, - réinitialiser le processeur (PRC), - bloquer le fonctionnement du dispositif (PDV), ou - réinitialiser des codes, des données ou des clés de chiffrement. 35
  9. 9. Procédé selon l'une des revendications 7 ou 8, comprenant en outre l'étape consistant à mesurer, au moyen du capteur de mouvement (MS), au moins une parmi une donnée de vitesse, une donnée d'accélération, une donnée de grandeur de vibration, une donnée de fréquence de vibration, une donnée d'inclinaison, ou une donnée angulaire.
  10. 10. Procédé selon l'une des revendications 7 ou 8, comprenant en outre l'étape consistant à déterminer la valeur de mouvement (VAL, VALI, VAL2) en tant que différence entre au moins deux données de vitesse, données d'accélération, données de grandeur de vibration, données de fréquence de vibration, données d'inclinaison, données angulaires ou données de position mesurées par le capteur de mouvement (MS) à des premier et second instants.
  11. 11. Procédé selon l'une des revendications 7 à 10, 20 comprenant en outre une phase d'étalonnage comprenant les étapes consistant à : - déterminer la valeur seuil de mouvement (RVAL, RVAL1, RVAL2) pour le dispositif (PDV), et - stocker la valeur seuil de mouvement dans une mémoire 25 non volatile (MEN) couplée ou incorporée au dispositif portatif.
  12. 12. Procédé selon l'une des revendications 7 à 11, dans lequel l'opération est au moins l'une parmi l'envoi 30 de données à un dispositif externe (EDV), le chiffrage de données, la lecture de données dans une mémoire (MEM) et l'écriture de données dans une mémoire.
  13. 13. Procédé selon l'une des revendications 7 à 12, dans lequel l'opération n'est pas exécutée si au moins l'une des actions suivantes se produit : - retrait du capteur de mouvement (MS), - désactivation du capteur de mouvement, - suppression de la valeur seuil de mouvement (RVAL, RVAL1, RVAL2), ou - modification de la valeur seuil de mouvement.
  14. 14. Procédé selon l'une des revendications 7 à 13, comprenant une étape consistant à désactiver la détermination de mouvement afin de tester le dispositif portatif (PDV).15
FR1258862A 2012-09-21 2012-09-21 Dispositif portatif protege contre une attaque Expired - Fee Related FR2996028B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR1258862A FR2996028B1 (fr) 2012-09-21 2012-09-21 Dispositif portatif protege contre une attaque

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1258862A FR2996028B1 (fr) 2012-09-21 2012-09-21 Dispositif portatif protege contre une attaque

Publications (2)

Publication Number Publication Date
FR2996028A1 true FR2996028A1 (fr) 2014-03-28
FR2996028B1 FR2996028B1 (fr) 2015-08-07

Family

ID=47624225

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1258862A Expired - Fee Related FR2996028B1 (fr) 2012-09-21 2012-09-21 Dispositif portatif protege contre une attaque

Country Status (1)

Country Link
FR (1) FR2996028B1 (fr)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2031548A1 (fr) * 2007-08-27 2009-03-04 Gemplus Procédé et dispositif comportemental, destinés à prévenir l'utilisation d'un objet portable sans contact à l'insu de son porteur
EP2219140A1 (fr) * 2009-02-11 2010-08-18 Oberthur Technologies Entite électronique apte à communiquer avec un lecteur et procédé mis en oeuvre au sein d'une telle entité électronique

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2031548A1 (fr) * 2007-08-27 2009-03-04 Gemplus Procédé et dispositif comportemental, destinés à prévenir l'utilisation d'un objet portable sans contact à l'insu de son porteur
EP2219140A1 (fr) * 2009-02-11 2010-08-18 Oberthur Technologies Entite électronique apte à communiquer avec un lecteur et procédé mis en oeuvre au sein d'une telle entité électronique

Also Published As

Publication number Publication date
FR2996028B1 (fr) 2015-08-07

Similar Documents

Publication Publication Date Title
US7451057B2 (en) System and method for detection of freefall with spin using two tri-axis accelerometers
Zhou et al. Use it free: Instantly knowing your phone attitude
EP3195296B1 (fr) Système et procédé de sécurisation d'un circuit électronique
EP0408456B2 (fr) Carte à microcircuit protégée contre l'intrusion
US10209078B2 (en) Local perturbation rejection using time shifting
US11171937B2 (en) Continuous guest re-authentication system
KR20170099866A (ko) 스마트한 구부릴 수 있는 시스템에서의 디바이스 곡률 판정
EP3043149A1 (fr) Dispositif de traitement d'informations, procédé de traitement d'informations et support d'enregistrement
CN105706035A (zh) 倾斜以滚动
EP2700041A2 (fr) Chaîne de provenance biométrique
US11087326B2 (en) Transaction card security device
CN105706036A (zh) 倾斜以滚动
WO2013188148A1 (fr) Fiabilité de services de localisation
EP2560551A1 (fr) Systeme d'analyse de foulees d'un utilisateur
KR20200080284A (ko) 규제 검사를 위한 방법, 장치, 및 전자 디바이스
CN110221352A (zh) 判定装置以及判定装置的控制方法
CN106403989A (zh) 一种转台摇摆频率误差与摇摆归零误差的检测装置及方法
FR2996028A1 (fr) Dispositif portatif protege contre une attaque
EP4248342A1 (fr) Sélection d'une fonction d'authentification en fonction de l'environnement d'un dispositif utilisateur
ES2590658T3 (es) Procedimiento, soporte de datos portátil, dispositivo de autorización y sistema para autorizar una transacción
RU2662401C2 (ru) Способ и устройство для определения значения зависимого от движения параметра
EP1939745B1 (fr) Procédé et dispostif pour sécuriser la lecture d'une mémoire
US20190244162A1 (en) Method and system for crowd-sourced inventory control adjustments
JP2016208335A (ja) サーバ、監視システム、携帯端末および監視方法
US10345105B2 (en) Simplified time domain switched ring/disk resonant gyroscope

Legal Events

Date Code Title Description
CA Change of address

Effective date: 20140521

PLFP Fee payment

Year of fee payment: 5

PLFP Fee payment

Year of fee payment: 6

PLFP Fee payment

Year of fee payment: 7

PLFP Fee payment

Year of fee payment: 8

CD Change of name or company name

Owner name: VERIMATRIX, FR

Effective date: 20191119

CA Change of address

Effective date: 20191209

TP Transmission of property

Owner name: RAMBUS INC., US

Effective date: 20200402

RG Lien (pledge) cancelled

Effective date: 20200828

GC Lien (pledge) constituted

Effective date: 20201105

ST Notification of lapse

Effective date: 20210506