Procédé de contrôle d'une identité d'un terminal de paiement et terminal ainsi sécurisé. 1. Domaine de l'invention L'invention se rapporte au domaine des terminaux de paiement. Plus particulièrement, l'invention se rapporte à la protection de terminaux de paiement utilisés chez des 5 commerçants. 2. Art antérieur Les terminaux de paiement, plus particulièrement les terminaux de paiement par carte bancaire sont devenus des outils indispensables des commerçants. En effet, le nombre de paiements réalisés par carte bancaire ne cesse d'augmenter au détriment du paiement par 10 chèque. Il est ainsi primordial, pour un commerçant, que le terminal de paiement qu'il possède fonctionne correctement. Or, l'utilisation du terminal de paiement suscite la convoitise. En effet, un tel terminal permet d'accéder aux données de bancaires qui sont stockées sur les moyens de paiements (essentiellement des cartes de paiement et des cartes de crédit). Plus particulièrement, ces moyens de paiements comprennent par exemple un numéro de carte, 15 des coordonnées bancaires et un PIN. Il est donc tentant, pour un pirate de trouver un moyen de s'introduire dans un terminal pour copier les données présentes sur les cartes qui y sont insérées afin de fabriquer des cartes de contrefaçon. Pour pallier ces problèmes, les concepteurs de terminaux ont mis en place des mesures de protection. Ces mesures de protection sont plus ou moins standardisées. En 20 réalité, pour être homologué, un terminal doit résister à un certain nombre de tests. Ces tests sont codifiés dans des documents à valeur normatifs, tels que les documents PCl/xxx. Par exemple, un dispositif dont l'usage nécessite la saisie d'un code PIN doit respecter la norme "PCl/PED", "PED" pour "Pin Entry Device". D'autres normes, telles que la norme "Payment Card Industry Data Security Standard (PCI DSS)" doivent également être implémentées dans le 25 terminal. Cependant, même l'implémentation de telles normes n'offre pas de garantie totale de protection du terminal, des données qu'il contient et des données qui y transitent. Les pirates sont constamment à la recherche de moyens pour contourner les protections mises en place. Ainsi, par exemple, un nouveau type de fraude a été récemment dévoilé. Dans ce cas de 30 fraude, le terminal de l'utilisateur (du commerçant) est remplacé, à son insu, par un terminal qui semble en tout point identique, mais qui a été modifié afin d'enregistrer les données qui transitent par le terminal. Dans la mesure où les terminaux sont plus ou moins standardisés et dans la mesure où il est relativement aisé de trouver un terminal qui est identique à un terminal d'un commerçant, le pirate a relativement peu d'effort à faire pour trouver un terminal identique à celui de sa cible. Au besoin, il peut d'abord dérober un premier terminal chez un premier commerçant, modifier ce terminal et le substituera à un terminal identique chez un deuxième commerçant. Une telle substitution n'engendrant pas de vol apparent, le commerçant est peu susceptible de s'apercevoir de la fraude. Ainsi, le commerçant, sans le savoir, utilise un terminal qui n'est pas le sien et qui en plus a été modifié pour effectuer un enregistrement des données de ses clients. En plus des problèmes générés pour les clients, le commerçant est également affecté : il est quasiment certain que le terminal n'enregistre pas les opérations de crédits à destination du commerçant sur la marchandise vendue. Le commerçant est donc également perdant. Il existe donc un besoin de fournir des solutions permettant d'éviter ce type de fraude. 3. Résumé de l'invention L'invention ne comprend pas au moins certains des inconvénients de l'art antérieur. En effet, l'invention se rapporte à un procédé pour le contrôle d'une identité d'un terminal, terminal du type comprenant un dispositif de lecture d'au moins une information contenue dans un moyen de paiement. Selon la technique proposée, un tel procédé comprend : une étape de réception d'une requête d'identification dudit terminal ; une étape de restitution d'une donnée représentative de ladite identité dudit terminal, à partir d'une structure de données contenant ladite identification dudit terminal. Selon un mode de réalisation particulier, ledit procédé comprend en outre, préalablement à ladite restitution : une étape d'obtention d'au moins une clé de chiffrement ; une étape de déchiffrement, à l'aide de ladite clé de chiffrement, de ladite structure de données contenant ladite identification dudit terminal. Selon une caractéristique particulière, ladite étape de restitution comprend une étape d'affichage de ladite donnée représentative de ladite identité dudit terminal sur un écran dudit terminal.
Selon une caractéristique particulière, ladite étape de restitution comprend une étape d'impression de ladite donnée représentative de ladite identité dudit terminal sur une imprimante dudit terminal. Selon une caractéristique particulière, ladite étape de restitution comprend une étape d'activation et de désactivation successive d'au moins une source lumineuse associée à au moins une touche d'un clavier dudit terminal. Selon une caractéristique particulière, ladite étape de restitution comprend une étape de restitution sonore représentative de ladite identité dudit terminal sur un haut-parleur dudit terminal.
Selon une caractéristique particulière, ledit procédé comprend, préalablement audit contrôle, une phase d'insertion de ladite identité au sein dudit terminal, par un utilisateur dudit terminal. Selon une caractéristique particulière, ladite étape de réception d'une requête d'identification dudit terminal comprend une étape de détection d'un appui sur au moins une touche préalablement identifiée d'un clavier dudit terminal. Dans un mode de réalisation particulier, l'invention se rapporte à un terminal de paiement, terminal du type comprenant un dispositif de lecture d'au moins une information contenue dans un moyen de paiement. Il comprend : des moyens de réception d'une requête d'identification dudit terminal ; des moyens de restitution, d'une donnée représentative d'une identité dudit terminal, à partir d'une structure de données contenant ladite identification dudit terminal. Plus particulièrement, un tel terminal se caractérise par le fait qu'il comprend des moyens de restitution, à destination d'un utilisateur, d'une donnée représentative d'un identifiant dudit terminal.
Ainsi, l'invention permet de vérifier l'identité du terminal de paiement et permet de se rendre compte si cette identité est différente de celle prévue. Selon une caractéristique particulière, lesdits moyens de restitution comprennent au moins un bouton d'un clavier dudit terminal. Selon une caractéristique particulière, lesdits moyens de restitution comprennent au moins une zone d'une mémoire sécurisée dudit terminal comprenant ledit identifiant dudit terminal.
Selon une implémentation préférée, les différentes étapes des procédés selon l'invention sont mises en oeuvre par un ou plusieurs logiciels ou programmes d'ordinateur, comprenant des instructions logicielles destinées à être exécutées par un processeur de données d'un module relais selon l'invention et étant conçu pour commander l'exécution des différentes étapes des procédés. En conséquence, l'invention vise aussi un programme, susceptible d'être exécuté par un ordinateur ou par un processeur de données, ce programme comportant des instructions pour commander l'exécution des étapes d'un procédé tel que mentionné ci-dessus. Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable. L'invention vise aussi un support d'informations lisible par un processeur de données, et comportant des instructions d'un programme tel que mentionné ci-dessus.
Le support d'informations peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une disquette (floppy disc) ou un disque dur.
D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet. Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question. Selon un mode de réalisation, l'invention est mise en oeuvre au moyen de composants logiciels et/ou matériels. Dans cette optique, le terme "module" peut correspondre dans ce document aussi bien à un composant logiciel, qu'à un composant matériel ou à un ensemble de composants matériels et logiciels.
Un composant logiciel correspond à un ou plusieurs programmes d'ordinateur, un ou plusieurs sous-programmes d'un programme, ou de manière plus générale à tout élément d'un programme ou d'un logiciel apte à mettre en oeuvre une fonction ou un ensemble de fonctions, selon ce qui est décrit ci-dessous pour le module concerné. Un tel composant logiciel est exécuté par un processeur de données d'une entité physique (terminal, serveur, passerelle, routeur, etc.) et est susceptible d'accéder aux ressources matérielles de cette entité physique (mémoires, supports d'enregistrement, bus de communication, cartes électroniques d'entrées/sorties, interfaces utilisateur, etc.). De la même manière, un composant matériel correspond à tout élément d'un ensemble matériel (ou hardware) apte à mettre en oeuvre une fonction ou un ensemble de fonctions, selon ce qui est décrit ci-dessous pour le module concerné. Il peut s'agir d'un composant matériel programmable ou avec processeur intégré pour l'exécution de logiciel, par exemple un circuit intégré, une carte à puce, une carte à mémoire, une carte électronique pour l'exécution d'un micrologiciel (firmware), etc.
Chaque composante du système et/ou dispositif précédemment décrit met bien entendu en oeuvre ses propres modules logiciels. Les différents modes de réalisation mentionnés ci-dessus sont combinables entre eux pour la mise en oeuvre de l'invention. 4. Liste des figures D'autres caractéristiques et avantages de la technique décrite apparaîtront plus clairement à la lecture de la description suivante d'un mode de réalisation préférentiel, donné à titre de simple exemple illustratif et non limitatif, et des dessins annexés, parmi lesquels : la figure 1 illustre le principe général de la méthode proposée ; la figure 2 illustre un mode de réalisation... ; la figure 3 illustre la phase d'insertion de l'identifiant; la figure 4 présente un terminal pour la mise en oeuvre du système proposé. 5. Description détaillée 5.1. Rappel du principe Comme explicité préalablement, le principe général de la technique proposée consiste à permettre à un utilisateur (plus particulièrement le commerçant chez qui le terminal est installé) d'avoir une indication directe et fiable de l'identité du terminal. L'objectif de la solution apportée est de détecter un remplacement frauduleux du terminal, remplacement qui se produit de manière plus ou moins fréquente, notamment en fonction du type de commerce et du type de terminal utilisé. Comme exposé préalablement, dans la mesure où les terminaux sont souvent identiques ou en tous les cas très proches visuellement, il est très difficile, pour une personne non avertie, de distinguer deux terminaux, quand bien même cette personne est le commerçant qui utilise un même terminal très fréquemment. Dans un mode de réalisation décrit par la suite, l'identité du terminal est affichée par le terminal lui-même suite à la réception, par le terminal, d'une requête d'identification. Dans ce mode de réalisation, l'identité du terminal est obtenue par l'affichage d'une image de référence. Cette image de référence, qui est affichée sur l'écran du terminal, sert d'identification de ce terminal : l'utilisateur vérifie que cette image est identique à celle qu'il s'attend à voir (celle qu'il a l'habitude de voir). L'image de référence permet de prouver l'identité du terminal. Dans d'autres modes de réalisation, d'autres moyens peuvent être employés pour obtenir cette information relative à l'identité du terminal.
Par exemple, au lieu d'afficher une image ou un texte, le terminal de paiement peut jouer un son, son qui est unique pour un terminal donné. L'utilisateur s'attend donc à ce que le terminal restitue toujours le même son. Si le son est différent de celui que l'utilisateur a l'habitude d'entendre, le commerçant est à même de se rendre compte qu'un problème est survenu (substitution et remplacement du terminal par un autre).
Dans un autre mode de réalisation, le terminal peut provoquer l'éclairage d'un nombre de touches donné (par exemple les touches numériques du clavier). Dans ce mode de réalisation, chaque terminal se voit attribuer un code matérialisé par l'allumage des touches attribué à ce code. Il peut par exemple s'agir d'un code à quatre chiffres, en utilisant le pavé numérique du terminal. Selon une caractéristique particulière ce code à quatre chiffres est affiché en une seule passe : le code est affiché en une seule fois. Ainsi, pour un code à quatre chiffres, on dispose de 10*9*8*7 = 5040 possibilités. Selon une caractéristique particulière ce code à quatre chiffre est affiché en une suite d'allumage et d'extinction de touches, ce qui donne 101'4 = 10000 possibilités. Bien entendu, ce qui est exposé ici est un exemple de ce qu'il est possible de réaliser afin d'informer l'utilisateur.
Dans un autre mode de réalisation, le terminal peut imprimer un code, une image, un message, en utilisant l'imprimante thermique qui est généralement disponible sur le terminal.
Lorsque le commerçant détecte que cette impression est différente de celle qu'il a l'habitude de voir, il est à même de se rendre compte qu'un problème est survenu (substitution et remplacement du terminal). Par ailleurs, les techniques préalablement mentionnées peuvent avantageusement être mixées : pour une même série de terminaux, certains peuvent afficher une image distinctive, tandis que d'autre peuvent jouer un son et encore d'autres peuvent procéder à l'allumage et à l'extinction de touches sur le clavier de saisie. De manière complémentaire, le choix de la technique d'identification à utiliser peut être fait par le terminal lui-même lors de la première mise en service de celui-ci. Dès lors, il devient extrêmement difficile et hasardeux, pour un pirate, de tenter de reproduire ce code d'identification. De manière alternative, le choix de la technique d'identification à utiliser peut être fait par le commerçant, lors d'une phase de paramétrage du terminal (lorsque le terminal est passé en mode de personnalisation) La seule restitution d'un code (image, texte, son, liste de touches, impression), bien que présentant un nouveau niveau de sécurisation du terminal, peut cependant ne pas être suffisante. Il peut être nécessaire de disposer d'une sécurisation renforcée (toujours en lien avec la restitution de ce code d'identification) qui assure que le remplacement du terminal par un autre terminal ne s'est pas également accompagné d'une copie du code d'identification par le pirate, rendant de facto la technique proposée moins sécurisée. Ainsi, pour permettre d'augmenter encore la sécurisation de la technique proposée, le code d'identification est enregistré, dans un mode de réalisation, en mémoire sécurisée. Il est en effet fréquent que les terminaux de paiement disposent d'une mémoire sécurisée. Une telle mémoire est ainsi un prérequis pour obtenir une certification, par exemple une certification PCl/PED. En plus de cette mémoire sécurisée, les terminaux de paiement certifiés disposent d'un processeur sécurisé et d'une enceinte sécurisée. Toute tentative d'introduction ou d'altération de cette enceinte est détectée et le terminal passe en mode "sécurisé", ce qui entraine en règle générale d'une part un effacement de la mémoire sécurisée et d'autre part une mise hors fonction du terminal. Ainsi, dans ce mode de réalisation, le code d'identification est inséré en mémoire sécurisée du terminal. Selon une caractéristique particulière, le code d'identification est directement inséré dans cette mémoire (par exemple un texte, un son, une séquence de touche ou une image est directement copiée dans cette mémoire). Dans ce cas, le terminal se contente de lire le contenu de cette mémoire et de le restituer selon la forme convenue. Selon une caractéristique particulière, des algorithmes (sous forme exécutables) et/ou des paramètres permettant de recréer ce code d'identification sont insérés dans cette mémoire sécurisée. Dans ce cas, le terminal lit les paramètres et/ou l'algorithme et restitue le résultat de l'application de ces paramètres et/ou de l'exécution de ces algorithmes. Cette deuxième solution peut être avantageuse pour répondre à des problématiques de taille de mémoire : lorsqu'il s'agit d'une image, par exemple, le stockage de celle-ci en mémoire sécurisée peut consommer trop de mémoire. Il peut être plus avantageux de n'insérer que des paramètres en mémoire sécurisée et de disposer d'un algorithme en mémoire non sécurisée, algorithme auquel on fournit les paramètres. L'inverse peut aussi être mis en oeuvre : les algorithmes sont enregistrés en mémoire sécurisée tandis que les paramètres sont enregistrés en mémoire non sécurisée. Alternativement ou de manière combinatoire, une clé générée par le terminal, et enregistrée en mémoire sécurisée peut être utilisée pour chiffrer l'identifiant. Ainsi, préalablement à la restitution de l'identifiant, cette clé est utilisée par le processeur sécurisée pour déchiffrer l'identifiant. Dans ce cas, la restitution peut être réalisée en deux phases : la première phase de déchiffrement de l'identifiant est mise en oeuvre par exemple par le processeur sécurisé tandis que la deuxième phase est mise en oeuvre par le processeur standard. La manière dont cette sécurisation du code d'identification est réalisée dépend donc de la quantité de mémoire disponible, au sein du terminal, pour remplir cette fonction et du moment auquel l'insertion du code d'identification est réalisée : lorsque l'insertion est réalisée en usine ou lors d'un paramétrage initial, celle-ci peut être faite en mémoire sécurisée. Lorsque l'insertion est faite par le commerçant, celle-ci peut être limitée à un accès en mémoire non sécurisée. Cela peut également dépendre de l'architecture du terminal et donc de la manière dont les composants (plus particulièrement les composants sécurisées) sont agencés. Par ailleurs, il est envisagé plusieurs possibilités de transmission d'une requête d'identification, au terminal (ou aux composants internes du terminal, tels qu'un processeur). La première possibilité consiste à réaliser une combinaison de touches sur le clavier du 30 terminal. Cette combinaison de touches déclenche la transmission de la requête d'identification au processeur du terminal. Le terminal met alors en oeuvre les étapes nécessaires à la restitution de l'identifiant. Selon une caractéristique particulière, cette combinaison de touches est personnalisée. Cela signifie qu'au moment de l'insertion de l'identité du terminal (cette insertion est décrite par la suite), le commerçant effectue également un choix quant à la combinaison de touches à mettre en oeuvre pour restituer l'identifiant du terminal. La sécurité est ainsi renforcée, car quand bien même un pirate réussirait à obtenir l'identifiant du terminal, il faudrait également que celui-ci obtienne la combinaison de touches nécessaire à la restitution de celui-ci, ce qui peut s'avérer plus problématique. La deuxième possibilité consiste à solliciter un serveur, par exemple un serveur connecté au terminal par l'intermédiaire d'un réseau de communication. C'est alors ce serveur qui transmet au processeur du terminal, la requête d'identification. Préalablement à cette transmission, une communication sécurisée est mise en place entre le terminal et le serveur. Ceci offre deux avantages : d'une part le serveur peut également vérifier l'identité du terminal, par rapport à une base de données de terminaux qu'il possède, ce qui offre une sécurisation supplémentaire; d'autre part l'utilisateur n'a pas à effectuer de manipulation complexe sur le terminal : une simple pression sur une touche suffit. Dans un autre mode de réalisation, c'est le serveur seul qui prend la décision de la restitution de l'identité du terminal, par exemple quand celui-ci est inactif ou en veille. Cela permet de décharger complètement l'utilisateur de cette tâche. C'est intéressant pour faire en sorte que l'utilisateur n'oublie pas de vérifier l'identité du terminal. Ainsi, telle que décrite en relation avec la figure 1, la méthode objet de la présente technique comprend : une étape de réception (10) d'une requête d'identification dudit terminal (ReqID) ; une étape de restitution (40) d'une donnée représentative d'une identité (IDent) dudit terminal (DrldT), à partir d'une structure de données (DStruct) contenant ladite identité dudit terminal. De manière complémentaire et optionnellement, la méthode comprend en outre : une étape d'obtention (20) d'au moins une clé de chiffrement (CyphK) ; une étape de déchiffrement (30), à l'aide de ladite clé de chiffrement (CyphK), de ladite structure de données (DStruct) contenant ladite identification dudit terminal.
On présente, dans la suite, un mode de réalisation de la technique proposée. Ce mode de réalisation constitue bien entendu un exemple et ne peut être considéré comme ayant un quelconque caractère limitatif. 5.2. Description d'un mode de réalisation Dans ce mode de réalisation, présenté en relation avec la figure 2, la méthode utilisée pour se prémunir du remplacement frauduleux du terminal consiste à provoquer l'affichage, sur l'écran de celui-ci, d'un texte ou d'une image connu du commerçant. Celui-ci peut ainsi vérifier rapidement que le terminal qu'il utilise est bien le sien, et pas un terminal piraté. Plus particulièrement, dans ce mode de réalisation, la requête d'identification (ReqID) est transmise au processeur (MP) du terminal par la pression (15) d'une touche (Tc) particulière du clavier (KeyBd). La pression de cette touche provoque une transmission de la requête d'identification au processeur en charge de ca traitement (par exemple le processeur sécurisé). Selon une caractéristique particulière, l'appui sur cette touche et la fonction d'affichage qui y est associée, n'est utilisable qu'en cas d'inactivité du terminal (par exemple quand le terminal est en veille, posé sur son socle : ceci permet de limiter les possibilités, pour un attaquant, de connaître l'identité du terminal). Sur réception de la requête, le processeur (MP) du terminal accède (21) aux données (DStruct) représentatives de l'identifiant, enregistrées au sein du terminal. Au besoin, le terminal déchiffre ces données (par exemple en utilisant une clé de chiffrement). Le terminal affiche (41) ensuite l'identifiant à l'écran (ScrT). 5.3. Méthode d'insertion de l'identifiant. On présente, en relation avec la figure 3, une méthode d'insertion de l'information d'identification (ou identifiant dans un terminal. Comme explicité préalablement, le principe est que l'identifiant, une fois inséré dans le terminal ne peut plus être retiré (en tout cas pas par le commerçant). L'identifiant, en tant que tel, n'est pas nécessaire au fonctionnement du terminal. Cependant, une fois que le commerçant a d'inséré l'identifiant, celui-ci ne peut plus être ôté par lui. L'étape préalable de cette méthode d'insertion est de disposer d'un identifiant à insérer (11d). Celui-ci peut se présenter sous la forme d'une image, d'un texte ou d'un son dans un fichier (DStruct). L'insertion en tant que telle est mise en oeuvre par la succession d'étapes suivantes : une étape d'activation (100), comprenant l'activation d'un mode spécial du terminal (Term) permettant l'adjonction d'un identifiant. Ce mode d'adjonction ne peut être mis en oeuvre qu'une seule fois. Lorsqu'il est activé, ce mode d'adjonction ouvre la voie au chargement du fichier (DStruct) au sein du terminal. L'utilisateur procède donc au chargement (200) de son fichier (DStruct) (par l'intermédiaire d'une clé USB par exemple). Lors de l'étape suivante, dite étape de chiffrement (300), le terminal génère une clé de chiffrement (CyphK). Cette clé est générée une seule fois, par le terminal lui-même. Elle est unique pour le terminal. Cette clé est utilisée pour chiffrer (400) le fichier chargé en mémoire. Dès lors le fichier d'origine, tel que chargé, est supprimé. Optionnellement, l'insertion se termine par une demande de confirmation (500) faite à l'utilisateur. Cette demande permet d'éviter les fausses manipulations. Ainsi, cette méthode permet d'adjoindre un identifiant qui est connu de l'utilisateur et de lui seul. Dès lors la sécurité du terminal est encore augmentée. La méthode peut se terminer par un redémarrage automatique du terminal. À l'issue de cette phase de redémarrage (et de toutes les autres phases de démarrage ultérieure), l'identifiant de l'utilisateur est affiché durant un court instant afin de permettre une visualisation rapide de l'identifiant. L'étape de chargement du fichier peut être remplacée, dans le cas d'un code de touches au clavier (KeyBd), par la demande qui est faite à l'utilisateur de saisir, par deux fois, la succession de touches qu'il souhaite voir allumé). Alternativement, une étape supplémentaire de sélection du mode d'identification du terminal (texte, image, son, impression ou succession de touche) peut être exécutée par le terminal pour requérir le choix d'identification de l'utilisateur.
Postérieurement, lors d'un fonctionnement normal, l'utilisateur peut utiliser une ou plusieurs touches du clavier (KeyBd) du terminal pour provoquer la transmission d'une requête d'affichage. Dès lors, que ce soit lors d'un démarrage ou lors de l'appui sur une succession de touches, le terminal utilise la clé unique préalablement générée (et stockée en mémoire sécurisée) pour déchiffrer le fichier comprenant l'identifiant et restituer celui-ci. Les situations suivantes sont également gérées par le terminal: lorsque le fichier d'identification est présent mais que la clé de chiffrement est absente, la situation est interprétée comme une première personnalisation par le terminal. Dès lors, une clé est générée et le fichier d'identification est chiffré. lorsque la clé est présente mais que le fichier de personnalisation est manquant (ou que ce fichier ne peut pas être déchiffré correctement), le terminal interprète la situation comme une tentative de fraude. Le terminal passe alors en mode sécurisé (il est bloqué). Bien entendu, il est également possible de réinitialiser le terminal. Cela peut par exemple être fait à partir d'un serveur, ledit serveur étant le serveur du gestionnaire de groupes de terminaux. Cette procédure requiert l'authentification, par le terminal, du serveur distant opérant au titre de la réinitialisation. Dans ce cas, un algorithme d'authentification asymétrique est utilisé entre le serveur et le terminal. Le serveur requiert alors, auprès du terminal, l'effacement du fichier d'authentification et de la clé unique générée à cet effet. 5.4. Architecture de terminal On présente, en relation avec la figure 4, une architecture simplifiée d'un terminal apte à mettre en oeuvre la technique décrite. Un tel terminal comprend une mémoire 41, une unité de traitement 42 équipée par exemple d'un microprocesseur, et pilotée par le programme d'ordinateur 43, mettant en oeuvre au moins une partie du procédé tel que décrit. Dans au moins un mode de réalisation, la technique décrite est mise en oeuvre sous la forme d'une application logicielle. Dans un autre mode de réalisation, la technique décrite est mise en oeuvre sous une forme purement matérielle, à l'aide de processeurs et d'interface spécialement créés à cet effet. Un tel terminal comprend un dispositif de mesure d'une position de terminal, selon l'invention : des moyens de réception d'une requête d'identification dudit terminal ; des moyens de restitution d'une donnée représentative d'une identité dudit terminal, à partir d'une structure de données contenant ladite identification dudit terminal. Ces moyens sont pilotés par le microprocesseur, à l'aide du programme chargé dans la mémoire du terminal. Les moyens de restitution se présentent sous la forme d'un écran, d'un clavier à rétroéclairage, d'un haut-parleur ou encore d'une imprimante. Ces moyens peuvent, en fonction du mode de réalisation, être mis en oeuvre soit successivement soit unitairement, par exemple en fonction d'un choix de configuration effectué par l'utilisateur, qui permet d'augmenter la sécurité. Les moyens de réception de la requête se présentent comme le clavier du terminal ou encore comme une interface réseau qui permet de recevoir ces instructions en provenance du réseau de communication.5