FR2999751A1 - Procede de protection d’un terminal electronique, programme d'ordinateur, et terminal electronique correspondants. - Google Patents

Procede de protection d’un terminal electronique, programme d'ordinateur, et terminal electronique correspondants. Download PDF

Info

Publication number
FR2999751A1
FR2999751A1 FR1262038A FR1262038A FR2999751A1 FR 2999751 A1 FR2999751 A1 FR 2999751A1 FR 1262038 A FR1262038 A FR 1262038A FR 1262038 A FR1262038 A FR 1262038A FR 2999751 A1 FR2999751 A1 FR 2999751A1
Authority
FR
France
Prior art keywords
terminal
protecting
electronic
manipulation
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1262038A
Other languages
English (en)
Other versions
FR2999751B1 (fr
Inventor
Jean-Marc Voelckel
Isaac Soussana
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Banks and Acquirers International Holding SAS
Original Assignee
Compagnie Industrielle et Financiere dIngenierie Ingenico SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Compagnie Industrielle et Financiere dIngenierie Ingenico SA filed Critical Compagnie Industrielle et Financiere dIngenierie Ingenico SA
Priority to FR1262038A priority Critical patent/FR2999751B1/fr
Priority to BR112015013843-8A priority patent/BR112015013843B1/pt
Priority to US14/652,330 priority patent/US9805191B2/en
Priority to EP13818697.8A priority patent/EP2932432A1/fr
Priority to CA2898364A priority patent/CA2898364C/fr
Priority to PCT/EP2013/076137 priority patent/WO2014090829A1/fr
Publication of FR2999751A1 publication Critical patent/FR2999751A1/fr
Application granted granted Critical
Publication of FR2999751B1 publication Critical patent/FR2999751B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/88Detecting or preventing theft or loss
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Burglar Alarm Systems (AREA)
  • Alarm Systems (AREA)
  • Storage Device Security (AREA)

Abstract

L'invention concerne un procédé de protection d'un terminal électronique. Selon l'invention, un tel procédé comprend les étapes suivantes : activation d'un état de surveillance dudit terminal ; dans ledit état de surveillance, détection d'une manipulation dudit terminal, générant le passage dudit terminal dans un état dit suspect, représentatif d'un risque de tentative d'utilisation frauduleuse dudit terminal ; - dans ledit état suspect, déclenchement d'une réaction par ledit terminal.

Description

Procédé de protection d'un terminal électronique, programme d'ordinateur, et terminal électronique correspondants. 1. Domaine de l'invention Le domaine de l'invention est celui des terminaux électroniques, et notamment des terminaux électroniques destinés à manipuler des données sensibles, par exemple des terminaux de paiement électroniques ou des terminaux destinés à lire et/ou à mettre à jour des cartes électroniques contenant des données médicales personnelles (comme une carte vitale en France) et/ou à déclarer des actes médicaux auprès d'un organisme de santé. Le domaine de l'invention concerne plus particulièrement la lutte contre le vol ou le détournement à des fins malveillantes de tels terminaux. 2. Art antérieur Du fait de la nature des opérations auxquelles ils sont destinés, les terminaux manipulant des données sensibles, liées en particulier à des aspects monétaires, comme les terminaux de paiement électroniques, constituent des cibles préférentielles d'agressions informatiques. Ils peuvent souvent faire l'objet de vols, qui ont notamment pour but l'installation d'un composant parasite au sein du terminal. En particulier, un tel composant peut avoir pour but de nuire à la disponibilité ou au fonctionnement de ce terminal, ou d'utiliser les informations fournies par un utilisateur et interceptées par le composant, par exemple par des techniques classiques de « reniflage » de données (ou « data sniffing » selon la terminologie anglaise), pour effectuer des transactions de paiement frauduleuses.
De nombreuses techniques de l'art antérieur visent à protéger des terminaux de paiement de telles attaques. Certaines techniques visent à lutter contre le vol de terminaux. Il peut s'agir de moyens de protection physique, comme par exemple la solidarisation des terminaux sur un support, comme une base, un mur ou une tablette, de façon à les rendre difficilement transportables.
Cependant, pour des raisons de facilité d'utilisation, les terminaux de paiement sont souvent mobiles. C'est le cas par exemple dans des restaurants pour éviter à un client de se déplacer au moment de son paiement par carte bancaire. La faible taille et l'autonomie de tels terminaux rendent difficile leur surveillance (par des moyens humains par exemple, ou des moyens de vidéo surveillance). Un inconvénient de ces terminaux mobiles est qu'ils sont ainsi fortement exposés au vol. D'autres solutions de l'art antérieur cherchent à prémunir les terminaux de paiement d'une intrusion. Il peut s'agir de moyens logiciel ou matériel, permettant notamment la détection d'une intrusion (par exemple une ouverture du boîtier d'un terminal). Des moyens logiques de protection, comme l'implémentation de contremesures dans un microprocesseur d'un terminal de paiement, ont également été mis en oeuvre.
Un inconvénient de ces techniques de l'art antérieur réside dans le fait que de telles techniques ne sont pas toujours suffisantes pour détecter une tentative de vol ou de détournement d'un terminal électronique ou parfois ne les détectent que tardivement, un moment après l'attaque. 3. Objectifs de l'invention L'invention a notamment pour objectif de pallier ces inconvénients de l'art antérieur. Plus précisément, un objectif de l'invention, dans au moins un de ses modes de réalisation, est de fournir un terminal électronique plus robuste aux attaques, et permettant notamment de détecter un vol ou une tentative de détournement du terminal de façon plus fiable par la mise en évidence de symptômes encore inconnus. Un autre objectif de l'invention est, selon au moins un mode de réalisation, de proposer une solution discrète, non décelable par le tiers responsable de l'attaque du terminal, de façon notamment à aider les services de surveillance et/ou les forces de l'ordre à le confondre.
Un autre objectif de l'invention est, selon au moins un mode de réalisation, d'offrir une solution permettant une détection immédiate de l'attaque. Un autre objectif de l'invention est, selon au moins un mode de réalisation, d'offrir une solution facile à implémenter aux fabricants de système de paiement. 4. Exposé de l'invention Les inventeurs ont remarqué qu'une tentative d'attaque d'un terminal électronique pouvait être décelée par le caractère inhabituel d'une manipulation effectuée sur le terminal. En effet, les terminaux destinés à manipuler des données sensibles (terminaux de paiement, terminaux de lecture et/ou de mise à jour de cartes électroniques contenant des données médicales personnelles et/ou permettant la déclaration d'actes médicaux auprès d'un organisme de santé...) sont souvent installés dans des lieux fermés, comme des cabinets médicaux, des secrétariats, des magasins, des restaurants ou des agences bancaires, ayant des horaires d'ouverture prédéfinis (classiquement 7h-21h) ou des jours de fermeture définissables à l'avance (week-end, jours fériés, période de vacances ou de travaux). Aussi, ils ne sont normalement utilisables que pendant les périodes d'accessibilité de ces lieux fermés. En conséquence, une action sur le terminal dans une période de fermeture d'un magasin ou d'un secrétariat (par exemple au milieu de la nuit) peut donc être considérée comme suspecte. De ce fait, l'invention concerne un procédé de protection d'un terminal électronique, comprenant les étapes suivantes : - activation d'un état de surveillance dudit terminal ; - dans ledit état de surveillance, détection d'une manipulation dudit terminal, générant le passage dudit terminal dans un état dit suspect, représentatif d'un risque de tentative d'utilisation frauduleuse dudit terminal ; - dans ledit état suspect, déclenchement d'une réaction par ledit terminal.
Ainsi, le procédé de l'invention permet de détecter des tentatives d'utilisation frauduleuses qui n'auraient pas été détectées par les solutions de l'art antérieur (détection d'intrusion dans le terminal, détection d'ouverture du terminal, substitution du terminal...), par exemple parce qu'il s'agit d'une manipulation discrète, classique pour un terminal de paiement mais inhabituelle pour le terminal concerné, car en dehors de ses plages horaires habituelles d'utilisation ou car la manipulation entraine un mouvement non autorisé du terminal, ou non compatible avec son installation. Il s'agit là d'un avantage majeur par rapport à l'art antérieur.
Selon une caractéristique particulière de l'invention, ladite étape d'activation est mise en oeuvre lorsque la valeur courante d'au moins une information de caractérisation d'un contexte dudit terminal se situe dans une plage de valeurs prédéfinie de ladite information de caractérisation. Un tel mode de réalisation offre l'avantage de ne guetter les manipulations effectuées sur le terminal que lorsqu'une telle surveillance est utile (c'est-à-dire susceptible de mener à la confirmation d'une tentative d'utilisation frauduleuse), de façon à économiser les ressources du terminal, et notamment, dans le cas d'une utilisation du procédé de l'invention pour un terminal portable, la batterie du terminal.
Dans certains modes de réalisation de l'invention, la mise en état de surveillance peut être effectuée de façon automatique par le terminal, notamment de façon périodique, par exemple à l'heure de fermeture du magasin, du secrétariat ou de l'agence bancaire où se situe le terminal. Dans ce mode de réalisation de l'invention, l'information de caractérisation est une information de type horodatage, permettant de définir des plages horaires pendant lesquelles on souhaite détecter des manipulations du terminal, celui-ci étant sensé pendant ces plages horaires ne pas être manipulé. Ces plages horaires peuvent en particulier tenir compte de jours de fermeture (week-ends, jours fériés, vacances....) ou au contraire de périodes programmées de maintenance du terminal. Selon une caractéristique particulière de l'invention, ladite étape de détection d'une manipulation dudit terminal comprend une sous-étape de comparaison de la valeur courante d'au moins une information de caractérisation d'un contexte dudit terminal avec une plage de valeurs prédéfinie de ladite information de caractérisation. Un tel mode de réalisation offre l'avantage de détecter systématiquement certaines manipulations, pour ensuite décider de leur caractère inhabituel ou non en fonction de certains paramètres prédéfinis (par exemple, dans le cas d'un terminal continuellement fixé sur un support, en comparant l'orientation ou la localisation du terminal, lors d'un mouvement du terminal, avec un plage de valeur prédéfinies, correspondant au degré de liberté du terminal sur un support). Selon une caractéristique particulière de l'invention, ladite manipulation appartient au groupe d'événements comprenant : une action sur un composant de contrôle d'entrée d'une interface dudit terminal ; un retournement dudit terminal ; une rotation partielle dudit terminal ; - un déplacement dudit terminal ; une pression sur une portion d'un boîtier du terminal; une combinaison d'au moins deux desdits évènements. Par exemple, l'invention, selon ses différents modes de réalisation particuliers, permet de détecter une tentative d'utilisation frauduleuse par la détection d'un appui sur une touche du clavier du terminal, ou bien de la simple prise en main du terminal, exerçant une pression sur le boitier, ou bien une manipulation plus franche du terminal par un déplacement, retournement ou rotation de celui-ci ... Selon certains modes de réalisation, l'invention permet de détecter une tentative d'utilisation frauduleuse du terminal uniquement lorsqu'un ou plusieurs des événements précités se produisent (par exemple un retournement du terminal et une pression sur le boitier). Selon une caractéristique particulière de l'invention, ladite information de caractérisation appartient au groupe comprenant : une information issue d'un horodatage ; une orientation dudit terminal ; une localisation dudit terminal ; une accélération ou une vitesse de déplacement dudit terminal ; une combinaison d'au moins deux des informations du groupe. Selon une caractéristique particulière de l'invention, le procédé comprend en outre une étape de désactivation dudit état de surveillance. Ainsi, la surveillance du terminal peut être désactivée automatiquement, par exemple parce que l'information de caractérisation du contexte ne se situe plus dans la plage de valeurs prédéfinies, ou par un tiers autorisé (soit localement par le biais des moyens de contrôle d'interface du composant, soit à distance, par le biais de moyens de communication du terminal, par exemple une prise de contrôle à distance ou la réception d'un code particulier). Selon une caractéristique particulière de l'invention, ladite étape de réaction dudit terminal comprend la mise en oeuvre d'au moins une action appartenant au groupe comprenant : - un blocage au moins partiel dudit terminal ; un effacement d'au moins une partie des données sensibles dudit terminal ; une falsification et/ou une corruption d'au moins une partie des données sensibles dudit terminal ; - une émission d'un message d'alerte ; un enregistrement par ledit terminal d'au moins une information représentative de ladite manipulation ; une combinaison d'au moins deux desdits actions dudit groupe. En particulier, un mode de réalisation dans lequel la réaction du terminal comprend la génération de données falsifiées offre l'avantage d'une discrétion vis-à-vis d'un tiers malintentionné permettant d'éviter de l'alerter sur la mise en évidence de la tentative d'utilisation frauduleuse. En particulier, il peut s'agir de remplacer les données sensibles par des données particulières, rendant évidente la falsification à un tiers de contrôle, et permettant ainsi d'améliorer la traçabilité des opérations effectuées par le tiers malintentionné après l'attaque. Par ailleurs, l'émission d'un message d'alerte peut également être effectuée de manière discrète, sans attirer l'attention du tiers malintentionné, tout en permettant une intervention ultérieure, par exemple du propriétaire du terminal ou d'un service de surveillance... Selon un mode de réalisation particulier de l'invention, ladite étape de réaction dudit terminal comprend en outre une étape d'actualisation d'un niveau d'alerte et ladite action est fonction dudit niveau d'alerte. Un tel mode de réalisation offre en particulier l'avantage de permettre une réaction progressive du terminal aux manipulations détectées. Par exemple, dans un premier niveau d'alerte, le terminal peut se contenter d'émettre un message vers un centre de surveillance. Dans un second niveau d'alerte, il peut en plus falsifier une partie des données sensibles qu'il contient.
Selon un autre aspect, l'invention concerne un produit programme d'ordinateur comprenant des instructions de code de programme pour la mise en oeuvre du procédé précité (dans l'un quelconque de ses différents modes de réalisation), lorsque ledit programme est exécuté sur un ordinateur. Dans un autre mode de réalisation de l'invention, il est proposé un médium de stockage lisible par ordinateur et non transitoire, stockant un programme d'ordinateur comprenant un jeu d'instructions exécutables par un ordinateur pour mettre en oeuvre le procédé précité (dans l'un quelconque de ses différents modes de réalisation). Selon encore un autre aspect, l'invention concerne aussi un terminal électronique comprenant : - des moyens d'activation d'un état de surveillance dudit terminal; - dans ledit état de surveillance, des moyens de détection d'une manipulation dudit terminal, générant le passage dudit terminal dans un état dit suspect, représentatif d'un risque de tentative d'utilisation frauduleuse dudit terminal ; - dans ledit état suspect, des moyens de déclenchement d'une réaction par ledit terminal. Selon une caractéristique particulière de l'invention, le terminal électronique consiste en un terminal de paiement. 5. Liste des figures D'autres caractéristiques et avantages de l'invention apparaîtront plus clairement à la lecture de la description suivante d'un mode de réalisation préférentiel, donné à titre de simple exemple illustratif et non limitatif, et des dessins annexés, parmi lesquels: la figure 1 présente un synoptique fonctionnel de l'invention dans un mode de réalisation ; la figure 2 illustre le fonctionnement dynamique du principe de l'invention, basé sur le synoptique statique de la figure 1; la figure 3 illustre le fonctionnement dynamique d'un premier mode de réalisation particulier de l'invention ; la figure 4 illustre le fonctionnement dynamique d'un second mode de réalisation particulier de l'invention ; la figure 5 illustre la structure d'un terminal selon l'invention. Dans l'ensemble des figures ci-dessus, la même référence numérique est attribuée aux étapes ou composants similaires. 6. Description d'un mode de réalisation de l'invention 6.1 Principe général Le principe général de l'invention consiste à détecter toute manipulation anormale d'un terminal électronique destiné à manipuler des données sensibles, par exemple un terminal de paiement, ou un terminal de lecture et/ou de mise à jour de cartes électroniques contenant des données médicales personnelles et/ou de déclaration d'actes médicaux auprès d'un organisme de santé. A la différence des solutions de l'art antérieur, il peut s'agir d'une manipulation dont la nature en elle-même n'est pas caractéristique d'une attaque (par exemple parce qu'il s'agit d'une manipulation couramment effectuée sur le terminal) mais est considérée comme suspecte en fonction du contexte particulier d'utilisation propre au terminal. 6.2 Description du synoptique fonctionnel de l'invention On considère par la suite un exemple de mise en oeuvre de l'invention pour un terminal de paiement. On présente, en relation avec la figure 1, un mode particulier de mise en oeuvre du procédé selon l'invention. Dans ce mode particulier de réalisation de l'invention, un terminal de paiement 100 permet à un utilisateur d'effectuer des règlements et transmet des informations relatives à ces règlements vers un système de gestion distant 160, par exemple un système de gestion de terminaux (ou TMS, pour « Terminal Management System » selon la terminologie anglaise). Un tel terminal est muni de composants de contrôle d'interface, permettant un échange d'informations avec un utilisateur du terminal. Il comprend par exemple un écran 110 pour la restitution d'informations ou l'interrogation d'un utilisateur, et un clavier 120, permettant la saisie de données par un utilisateur. Il peut s'agir d'un clavier matériel 120 (comme représenté en figure 1) ou d'un clavier virtuel, apparaissant par exemple sur l'écran 110.
Selon l'invention, le terminal comprend également des moyens de détermination (130, 140) de la valeur d'une information de caractérisation d'un contexte du terminal, par exemple par le biais de composants électroniques implantés sur la carte mère du terminal 100. En particulier, dans le mode de réalisation présenté en figure 1, le terminal peut comprendre des moyens de détermination 130 d'une heure courante, par exemple une horloge. Il peut également être muni de moyens de synchronisation de cette horloge avec au moins un référentiel temporel. Dans le mode particulier illustré en figure 1, le terminal comprend de plus des moyens de détermination 140 d'une position ou d'une variation de position du terminal. Il peut par exemple s'agir de moyens de localisation du terminal, par exemple par GPS, et/ou de moyens de détermination d'un déplacement ou d'une orientation du terminal. Il peut ainsi s'agir d'au moins un accéléromètre, pour la mesure d'accélérations linéaires, et/ou d'au moins un gyromètre, pour la mesure de vitesses angulaires, et/ou d'au moins une centrale inertielle (ou IRS, pour Inertial Reference System, selon la terminologie anglaise), pour mesurer à la fois plusieurs accélérations et/ou vitesses angulaires ou encore d'au moins un inclinomètre, pour mesurer une orientation du terminal. Ainsi, selon le mode particulier de réalisation illustré en figure 1, le terminal comprend une centrale inertielle 140.
Dans certains modes de réalisation particuliers où le rendu des informations visualisées sur l'écran 110 du terminal 100 est influencé par un mouvement ou une orientation du terminal 100, une même centrale inertielle peut être utilisée à la fois pour la définition du rendu des informations sur l'écran et pour la mise en oeuvre du procédé de l'invention. Dans d'autres modes de réalisation, le terminal peut comprendre plusieurs centrales inertielles, certaines étant dédiées à la définition d'un rendu et d'autres au procédé de l'invention. Dans d'autres modes de réalisation, éventuellement complémentaire, le terminal peut comprendre d'autres moyens de détection d'une manipulation du terminal, par exemple des moyens de détection d'une pression appliquée sur une portion du terminal . 6.3 Description du fonctionnement dynamique de l'invention On présente en liaison avec la figure 2 le principe de fonctionnement dynamique de l'invention dans un mode particulier de réalisation, compatible avec le terminal objet de la figure 1.
Le procédé de l'invention comprend ainsi une étape 200 d'activation de l'état de surveillance du terminal. Lorsque le terminal est en état de surveillance, le procédé comprend ensuite une étape de détection 210 d'une manipulation effectuée sur le terminal. Selon les modes de réalisation de l'invention, il peut s'agir d'une manipulation particulière détectée par un moyen de détection particulier (par exemple une centrale inertielle dans le cas d'un déplacement, d'un retournement ou d'une rotation partielle du terminal) ou de toute manipulation détectée par l'un quelconque des moyens de détection d'une manipulation du terminal. Par exemple, il peut s'agir de la simple utilisation d'un composant d'interface du terminal ou d'une pression appliquée sur une paroi du boîtier du terminal, par exemple lors de la prise en main du terminal. La détection d'une telle manipulation génère le passage 220 du terminal dans un état dit suspect, représentatif d'un risque de tentative d'utilisation frauduleuse du terminal et est suivie par une étape de déclenchement 230 d'une réaction du terminal. Dans certains modes de réalisation de l'invention, cette réaction peut être locale. Il peut s'agir par exemple d'un blocage au moins partiel du terminal, et/ou d'un effacement et/ou d'une falsification et/ou d'une corruption d'au moins une partie des données sensibles du terminal, et/ou de l'enregistrement d'informations représentatives de la manipulation (notamment la date, l'heure, la nature de la manipulation et/ou d'une identification d'au moins un moyen de détection ayant permis la détection).
Dans d'autres modes de réalisation, éventuellement complémentaires, l'étape de réaction peut mettre en oeuvre des moyens de communication vers un tiers habilité, comme un propriétaire du terminal, un centre de télésurveillance d'un service de police ou d'une société privée, ou encore un service opérationnel distant dans le cadre d'un système de gestion de terminaux (ou TMS, pour « Terminal Management System » selon la terminologie anglaise).
Il peut s'agir notamment d'un appel audio, lorsque le terminal possède des moyens de synthèse vocal par exemple ou de la génération d'un message textuel, de type SMS ou email par exemple, ou encore, lorsque le terminal possède des moyens d'acquisition d'images ou de vidéo, de l'émission d'un flux multimédia relatif à l'instant de la manipulation, permettant au tiers habilité de vérifier facilement si une tentative d'atteinte au terminal a réellement lieu ou s'il s'agit d'une fausse alarme (par exemple, une manipulation attribuable à un animal ou à une chute d'un objet). Un tel flux multimédia peut de plus aider à déterminer l'identité des tiers malintentionnés.
Dans une variante, les actions effectuées localement par le terminal peuvent en particulier être commandées à distance par le tiers habilité. Dans certains modes de réalisation, la réaction 230 du terminal peut également inclure une étape d'actualisation d'un niveau d'alerte et l'action du terminal, suite à la manipulation détectée, peut être fonction du niveau d'alerte.
Par exemple, lors de l'activation de la surveillance du terminal, le niveau d'alerte du terminal peut être fixé à sa valeur minimale (valeur « 0» par exemple) et chaque manipulation peut provoquer l'incrémentation du niveau d'alerte. A une première valeur (« 1 » par exemple), peut correspondre un enregistrement local au terminal d'informations représentatives de la manipulation, à un second niveau d'alerte (valeur « 2 » par exemple), peut correspondre l'émission d'une alarme (audio, textuelle ou visuelle) vers un tiers habilité, à un troisième niveau d'alerte peut correspondre une falsification ou une corruption des données sensibles. Un tel mode de réaction permet de disposer d'une réponse proportionnelle à la probabilité de la menace, de façon à ne pas nuire au fonctionnement opérationnel du terminal pour une fausse alarme par exemple. Le procédé peut également comprendre une étape de remise à sa valeur minimale du niveau d'alerte, suite à une décision du tiers habilité (concluant à une fausse alarme par exemple).
Dans certains modes de réalisation, le procédé peut comprendre en outre une étape de désactivation de l'état de surveillance du terminal. Cette étape peut notamment être mise en oeuvre lors d'une opération de maintenance du terminal. 6.4 Description d'un premier mode de réalisation particulier de l'invention On présente en liaison avec la figure 3 un premier mode de réalisation particulier de l'invention, adapté par exemple à une surveillance d'un terminal de paiement portatif, placé dans un restaurant. Dans ce mode de réalisation particulier, l'étape d'activation 200 de la surveillance du terminal est mise en oeuvre automatiquement par le terminal, lorsque la valeur courante d'au moins une information de caractérisation du contexte du terminal (par exemple l'heure courante) se situe dans une plage de valeurs prédéfinie (par exemple une tranche horaire de fermeture du restaurant).
Le procédé comprend ainsi une étape de détermination 300 de la valeur courante de l'information de caractérisation, puis une étape de comparaison 310 de cette valeur courante avec une plage de valeurs prédéfinie. Cette plage de valeur peut notamment avoir être définie par un paramétrage du terminal, réalisé localement par un opérateur (le restaurateur ou l'installateur du terminal) à l'aide des composants de contrôle d'interface du terminal, ou effectué à distance depuis un serveur dédié au management du parc de terminaux auquel appartient le terminal. Ce paramétrage peut notamment tenir compte du fuseau horaire dans lequel se situe le terminal, des jours de fermeture de l'établissement (week-ends, jours fériés ou vacances) ou de maintenance du terminal. Il peut également être effectué automatiquement, grâce à une synchronisation avec des données contenues dans un agenda et/ou un calendrier électroniques, stockés localement sur le terminal ou sur un serveur distant. En outre, le procédé peut en particulier comprendre une étape de désactivation de l'état de surveillance du terminal, par exemple lorsque l'information de caractérisation du contexte du terminal se situe à nouveau dans la plage de valeurs prédéfinie. L'invention permet ainsi une protection automatique du terminal, sans action journalière d'un opérateur, activée uniquement lors des plages de fermeture du lieu où se situe le terminal. Dans le premier mode de réalisation particulier illustré en figure 3, on retrouve ensuite les étapes 210, 220 et 230, commentées en liaison avec la figure 2. 6.5 Description d'un second mode de réalisation particulier de l'invention On présente en liaison avec la figure 4 un second mode de réalisation particulier de l'invention, adapté par exemple à une surveillance d'un terminal électronique assujetti à un support, de façon fixe ou de manière à limiter ses déplacements, par exemple par le biais d'une liaison filaire. Un tel terminal peut par exemple être situé dans un magasin. Dans ce cas particulier, après activation 200 de l'état de surveillance, l'étape de détection 210 d'une manipulation comprend une sous-étape de détermination 410 de la valeur courante d'une information de caractérisation d'un contexte du terminal et une sous-étape de comparaison 420 de cette valeur courante avec une plage de valeurs prédéfinie. Cette sous-étape de détermination 410 peut notamment faire suite à toute manipulation détectée 400. Dans le mode de réalisation illustré, il peut par exemple s'agir d'une information de caractérisation liée à une position et/ ou à un mouvement (déplacement, rotation, accélération) du terminal. En effet, tout mouvement du terminal, impossible en pratique du fait de la liaison du terminal avec son support, pourra être considéré comme suspect, qu'il survienne pendant les heures d'ouverture ou de fermeture du magasin. Il pourrait par exemple s'agir d'une tentative de retournement du terminal, pour le remplacer par un terminal corrompu, ou d'une tentative de vol du terminal.
Dans le second mode de réalisation particulier illustré en figure 4, on retrouve ensuite les étapes 220 et 230 commentées en liaison avec la figure 2. 6.6 Description d'autres modes de réalisation particuliers de l'invention Les deux modes de réalisation présentés ci-dessus peuvent bien sûr être combinés et mettre en oeuvre des informations de caractérisation différentes. Par exemple, dans un mode de réalisation particulier, l'activation de l'état de surveillance du terminal sera effectuée automatiquement par comparaison de l'heure et de la date courante avec une plage de valeurs 10 horodatées prédéfinie et l'étape de détection 210 d'une manipulation comprendra la détermination d'une orientation du terminal et sa comparaison avec une plage angulaire prédéfinie, ou la détermination d'une localisation courante du terminal et sa comparaison avec une zone géographique prédéterminée ou encore la détermination d'une accélération courante du 15 terminal et sa comparaison avec une valeur maximale prédéfinie, la détection d'une forte accélération, non compatible avec une utilisation courante, pouvant traduire l'occurrence d'un vol à l'arraché. De tels modes de réalisation sont par exemple également adaptés à la surveillance d'un terminal portatif fixé sur un support pendant les heures de 20 fermeture d'un restaurant ou d'un secrétariat, afin notamment de recharger la batterie du terminal. Ils permettent notamment de réagir systématiquement à tout mouvement du terminal mais seulement pendant les heures de fermeture du restaurant ou du secrétariat. 6.7 Structure d'un terminal électronique selon l'invention 25 On présente, en relation avec la figure 5, la structure simplifiée d'un terminal électronique selon l'invention. En sus des éléments fonctionnels détaillés en figure 1, un tel terminal comprend une mémoire 500 comprenant une mémoire tampon, une unité de traitement 510, équipée par exemple d'un microprocesseur iiP, et pilotée par un programme d'ordinateur 520, dont l'exécution met en oeuvre un procédé de protection, selon l'un des modes de réalisation particuliers de l'invention. A l'initialisation, les instructions de code du programme d'ordinateur 520 sont par exemple chargées dans une mémoire RAM avant d'être exécutées par le processeur de l'unité de traitement 510. L'unité de traitement 510 reçoit en entrée un entête d'un flux de données. Le microprocesseur de l'unité de traitement 510 met en oeuvre les étapes du procédé de protection décrit précédemment, selon les instructions du programme d'ordinateur 520. A cette fin, le terminal électronique comprend, outre la mémoire tampon 500: - des moyens d'activation d'un état de surveillance du terminal; - dans l'état de surveillance, des moyens de détection d'une manipulation du terminal, générant le passage du terminal dans un état dit suspect, représentatif d'un risque de tentative d'utilisation frauduleuse du terminal ; - dans ledit état suspect, des moyens de déclenchement d'une réaction par le terminal.
Ces moyens sont pilotés par le microprocesseur de l'unité de traitement 510. Selon un mode de réalisation, l'invention est mise en oeuvre au moyen de composants logiciels et/ou matériels. Dans cette optique, le terme "moyens" peut correspondre dans ce document aussi bien à un composant logiciel, qu'à un composant matériel ou à un ensemble de composants matériels et logiciels. Un composant logiciel correspond à un ou plusieurs programmes d'ordinateur, un ou plusieurs sous-programmes d'un programme, ou de manière plus générale à tout élément d'un programme ou d'un logiciel apte à mettre en oeuvre une fonction ou un ensemble de fonctions, selon ce qui est décrit ci- dessous pour les moyens concernés. Un tel composant logiciel est exécuté par un processeur de données d'une entité physique (terminal, serveur, passerelle, set-top-box, routeur, etc...) et est susceptible d'accéder aux ressources matérielles de cette entité physique (mémoires, supports d'enregistrement, bus de communication, cartes électroniques d'entrées/sorties, interfaces utilisateur, etc...). De la même manière, un composant matériel correspond à tout élément d'un ensemble matériel (ou hardware) apte à mettre en oeuvre une fonction ou un ensemble de fonctions, selon ce qui est décrit ci-dessous pour le module concerné. Il peut s'agir d'un composant matériel programmable ou avec processeur intégré pour l'exécution de logiciel, par exemple un circuit intégré, une carte à puce, une carte à mémoire, une carte électronique pour l'exécution d'un micrologiciel (firmware), etc. Le terminal selon l'invention peut en particulier comprendre les composants logiciels ou matériels illustrés en figure 1.15

Claims (10)

  1. REVENDICATIONS1. Procédé de protection d'un terminal électronique caractérisé en ce qu'il comprend les étapes suivantes : - activation d'un état de surveillance dudit terminal ; - dans ledit état de surveillance, détection d'une manipulation dudit terminal, générant le passage dudit terminal dans un état dit suspect, représentatif d'un risque de tentative d'utilisation frauduleuse dudit terminal ; - dans ledit état suspect, déclenchement d'une réaction par ledit terminal.
  2. 2. Procédé de protection d'un terminal électronique selon la revendication 1 caractérisé en ce que ladite étape d'activation est mise en oeuvre lorsque la valeur courante d'au moins une information de caractérisation d'un contexte dudit terminal se situe dans une plage de valeurs prédéfinie de ladite information de caractérisation.
  3. 3. Procédé de protection d'un terminal électronique selon la revendication 1 ou 2 caractérisé en ce que ladite étape de détection d'une manipulation dudit terminal comprend une sous-étape de comparaison de la valeur courante d'au moins une information de caractérisation d'un contexte dudit terminal avec une plage de valeurs prédéfinie de ladite information de caractérisation.
  4. 4. Procédé de protection d'un terminal électronique, selon l'une quelconque des revendications 1 à 3, caractérisé en ce que ladite manipulation appartient au groupe d'événements comprenant : une action sur un composant de contrôle d'entrée d'une interface dudit terminal ; un retournement dudit terminal ; une rotation partielle dudit terminal ; un déplacement dudit terminal ; une pression sur une portion d'un boîtier du terminal; - une combinaison d'au moins deux desdits évènements.
  5. 5. Procédé de protection d'un terminal électronique, selon l'une quelconque des revendications 1 à 4, caractérisé en ce que ladite information de caractérisation appartient au groupe comprenant : une information issue d'un horodatage ; une orientation dudit terminal ; une localisation dudit terminal ; une accélération ou une vitesse de déplacement dudit terminal ; une combinaison d'au moins deux des informations du groupe.
  6. 6. Procédé de protection d'un terminal électronique, selon l'une quelconque des revendications 1 à 5, caractérisé en ce que le procédé comprend en outre une étape de désactivation dudit état de surveillance.
  7. 7. Procédé de protection d'un terminal électronique, selon l'une quelconque des revendications 1 à 6, caractérisé en ce que ladite étape de réaction dudit terminal comprend la mise en oeuvre d'au moins une action appartenant au groupe comprenant : un blocage au moins partiel dudit terminal ; un effacement d'au moins une partie des données sensibles dudit terminal ; une falsification et/ou une corruption d'au moins une partie des données sensibles dudit terminal ; une émission d'un message d'alerte ; un enregistrement par ledit terminal d'au moins une information représentative de ladite manipulation ; - une combinaison d'au moins deux desdits actions dudit groupe.
  8. 8. Procédé de protection d'un terminal électronique, selon la revendication 7, caractérisé en ce que ladite étape de réaction dudit terminal comprend en outre une étape d'actualisation d'un niveau d'alerte et en ce que ladite action est fonction dudit niveau d'alerte.
  9. 9. Produit programme d'ordinateur, comprenant des instructions de code de programme pour la mise en oeuvre du procédé de protection selon au moins une des revendications 1 à 8, lorsque ledit programme est exécuté sur un ordinateur.
  10. 10. Terminal électronique caractérisé en ce qu'il comprend : - des moyens d'activation d'un état de surveillance dudit terminal; - dans ledit état de surveillance, des moyens de détection d'une manipulation dudit terminal, générant le passage dudit terminal dans un état dit suspect, représentatif d'un risque de tentative d'utilisation frauduleuse dudit terminal ; - dans ledit état suspect, des moyens de déclenchement d'une réaction par ledit terminal.
FR1262038A 2012-12-14 2012-12-14 Procede de protection d’un terminal electronique, programme d'ordinateur, et terminal electronique correspondants. Active FR2999751B1 (fr)

Priority Applications (6)

Application Number Priority Date Filing Date Title
FR1262038A FR2999751B1 (fr) 2012-12-14 2012-12-14 Procede de protection d’un terminal electronique, programme d'ordinateur, et terminal electronique correspondants.
BR112015013843-8A BR112015013843B1 (pt) 2012-12-14 2013-12-10 Processo de proteção de um terminal eletrônico, meio de armazenamento e terminal eletrônico correspondentes
US14/652,330 US9805191B2 (en) 2012-12-14 2013-12-10 Method for protecting an electronic terminal, corresponding computer program and electronic terminal
EP13818697.8A EP2932432A1 (fr) 2012-12-14 2013-12-10 Procédé de protection d'un terminal électronique, programme d'ordinateur, et terminal électronique correspondants.
CA2898364A CA2898364C (fr) 2012-12-14 2013-12-10 Methode de protection d'un terminal electronique, programme informatique et terminal electronique correspondants
PCT/EP2013/076137 WO2014090829A1 (fr) 2012-12-14 2013-12-10 Procédé de protection d'un terminal électronique, programme d'ordinateur, et terminal électronique correspondants.

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1262038 2012-12-14
FR1262038A FR2999751B1 (fr) 2012-12-14 2012-12-14 Procede de protection d’un terminal electronique, programme d'ordinateur, et terminal electronique correspondants.

Publications (2)

Publication Number Publication Date
FR2999751A1 true FR2999751A1 (fr) 2014-06-20
FR2999751B1 FR2999751B1 (fr) 2018-02-02

Family

ID=48468400

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1262038A Active FR2999751B1 (fr) 2012-12-14 2012-12-14 Procede de protection d’un terminal electronique, programme d'ordinateur, et terminal electronique correspondants.

Country Status (6)

Country Link
US (1) US9805191B2 (fr)
EP (1) EP2932432A1 (fr)
BR (1) BR112015013843B1 (fr)
CA (1) CA2898364C (fr)
FR (1) FR2999751B1 (fr)
WO (1) WO2014090829A1 (fr)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105493094A (zh) 2014-06-27 2016-04-13 微软技术许可有限责任公司 基于设备上的用户输入模式的数据保护系统
US10192039B2 (en) * 2014-06-27 2019-01-29 Microsoft Technology Licensing, Llc System for context-based data protection
WO2015196450A1 (fr) 2014-06-27 2015-12-30 Microsoft Technology Licensing, Llc Système de protection de données en mode hors tension

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050222801A1 (en) * 2004-04-06 2005-10-06 Thomas Wulff System and method for monitoring a mobile computing product/arrangement

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0449242A3 (en) * 1990-03-28 1992-10-28 National Semiconductor Corporation Method and structure for providing computer security and virus prevention
US6646565B1 (en) * 2000-06-01 2003-11-11 Hewlett-Packard Development Company, L.P. Point of sale (POS) terminal security system
US8774761B2 (en) * 2012-01-27 2014-07-08 Qualcomm Incorporated Mobile device to detect unexpected behaviour

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050222801A1 (en) * 2004-04-06 2005-10-06 Thomas Wulff System and method for monitoring a mobile computing product/arrangement

Also Published As

Publication number Publication date
EP2932432A1 (fr) 2015-10-21
US9805191B2 (en) 2017-10-31
BR112015013843B1 (pt) 2022-09-20
WO2014090829A1 (fr) 2014-06-19
FR2999751B1 (fr) 2018-02-02
BR112015013843A2 (pt) 2018-04-24
US20150302194A1 (en) 2015-10-22
CA2898364A1 (fr) 2014-06-19
CA2898364C (fr) 2020-09-22

Similar Documents

Publication Publication Date Title
US20170255938A1 (en) Blocking fraudulent transactions in an nfc device
US11887463B2 (en) Systems and methods for card-handling by point of sale devices
US20100114750A1 (en) Communication device and method for securing an internet bank account
CA3062493C (fr) Liste grise d`identites
FR2999751A1 (fr) Procede de protection d’un terminal electronique, programme d'ordinateur, et terminal electronique correspondants.
US11120121B1 (en) Progressive defenses at an automated teller machine
BE1025027B1 (fr) Système de paiement pour station de recharge de voitures électriques
EP2091017A1 (fr) Procédé de traçabilité d'un terminal de paiement électronique, en cas de vol de ce dernier, programme d'ordinateur et terminal correspondants
US11669221B2 (en) Trusted device identification and event monitoring
EP3314867B1 (fr) Partage de données d'événements entre plusieurs plateformes de service
US10311440B2 (en) Context-aware deterrent and response system for financial transaction device security
US11657681B1 (en) System to prevent full ATM enclosure skimming attacks
CA2998780C (fr) Gestion d'un affichage d'une vue d'une application sur un ecran d'un dispositif electronique de saisie de donnees, procede, dispositif et produit programme d'ordinateur correspondants
US20220319170A1 (en) Monitoring systems and methods
FR3131965A1 (fr) procédé de traitement de transaction, système et programme correspondant
US11836822B1 (en) Systems and methods for providing roaming physical security intelligence
WO2017198926A1 (fr) Procédé et système de transmission d'une alerte géolocalisée a un utilisateur muni d'un terminal mobile de communication
US11847650B2 (en) Methods and systems for managing personal device security
FR3118232A1 (fr) Procédé de sécurisation d’un dispositif électronique, dispositif électronique, produit programme d’ordinateur et support correspondants.
FR3073962A1 (fr) Systeme et procede informatise pour la surveillance par patrouille d'un ensemble de biens immobiliers
FR3086832A1 (fr) Procede de georeperage a adaptation automatique de portee de detection, programme d'ordinateur, module de georeperage et passerelle residentielle associes.
FR3026879A1 (fr) Systeme de paiement, porte monnaie dematerialise ou controle d'acces fonctionnant par code de securite recalcule cycliquement

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 4

PLFP Fee payment

Year of fee payment: 5

CD Change of name or company name

Owner name: INGENICO GROUP, FR

Effective date: 20170912

PLFP Fee payment

Year of fee payment: 6

PLFP Fee payment

Year of fee payment: 8

PLFP Fee payment

Year of fee payment: 9

PLFP Fee payment

Year of fee payment: 10

TP Transmission of property

Owner name: BANKS AND ACQUIRERS INTERNATIONAL HOLDING, FR

Effective date: 20211202

PLFP Fee payment

Year of fee payment: 11

PLFP Fee payment

Year of fee payment: 12