FR3033659A1 - Touche securisee de clavier analogique, procede et module de detection d'intrusion, terminal de paiement electronique, programme et support d'enregistrement correspondants - Google Patents
Touche securisee de clavier analogique, procede et module de detection d'intrusion, terminal de paiement electronique, programme et support d'enregistrement correspondants Download PDFInfo
- Publication number
- FR3033659A1 FR3033659A1 FR1552057A FR1552057A FR3033659A1 FR 3033659 A1 FR3033659 A1 FR 3033659A1 FR 1552057 A FR1552057 A FR 1552057A FR 1552057 A FR1552057 A FR 1552057A FR 3033659 A1 FR3033659 A1 FR 3033659A1
- Authority
- FR
- France
- Prior art keywords
- electronic payment
- payment terminal
- keyboard
- dome
- intrusion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims description 80
- PWPJGUXAGUPAHP-UHFFFAOYSA-N lufenuron Chemical compound C1=C(Cl)C(OC(F)(F)C(C(F)(F)F)F)=CC(Cl)=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F PWPJGUXAGUPAHP-UHFFFAOYSA-N 0.000 title 1
- 239000002184 metal Substances 0.000 claims abstract description 32
- 229910052751 metal Inorganic materials 0.000 claims abstract description 32
- 238000000034 method Methods 0.000 claims description 17
- 230000009849 deactivation Effects 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 6
- 230000007420 reactivation Effects 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 4
- 239000012811 non-conductive material Substances 0.000 claims description 3
- 238000003780 insertion Methods 0.000 description 14
- 230000037431 insertion Effects 0.000 description 14
- 238000005259 measurement Methods 0.000 description 9
- 230000008859 change Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 239000008188 pellet Substances 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 229910052802 copper Inorganic materials 0.000 description 3
- 239000010949 copper Substances 0.000 description 3
- 239000000463 material Substances 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000007257 malfunction Effects 0.000 description 2
- 238000001465 metallisation Methods 0.000 description 2
- 230000005355 Hall effect Effects 0.000 description 1
- 239000003990 capacitor Substances 0.000 description 1
- 230000001143 conditioned effect Effects 0.000 description 1
- 230000000994 depressogenic effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000007769 metal material Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000007935 neutral effect Effects 0.000 description 1
- 229910052755 nonmetal Inorganic materials 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/83—Protecting input, output or interconnection devices input devices, e.g. keyboards, mice or controllers thereof
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Input From Keyboards Or The Like (AREA)
- Cash Registers Or Receiving Machines (AREA)
Abstract
L'invention concerne une ouche sécurisée de clavier d'un terminal de paiement électronique, la touche sécurisée comprenant en sa partie inférieure un dôme métallique relié à la masse du circuit imprimé dudit clavier analogique, le dôme présentant une partie non métallique en son sommet.
Description
1. Touche sécurisée de clavier analogique, procédé et module de détection d'intrusion, terminal de paiement électronique, programme et support d'enregistrement correspondants 1. Domaine de l'invention L'invention se rapporte au domaine des terminaux de paiement électronique et plus particulièrement à la sécurisation de tels terminaux de paiement lors de la saisie de données sensibles, telles que les chiffres d'un code confidentiel, via leur clavier à signaux analogiques (noté ci-après « clavier »). 2. Art Antérieur Classiquement, et comme illustré par exemple en figures la et lb (respectivement en vue en coupe et en vue de dessus), une touche d'un clavier d'un terminal de paiement électronique est constituée d'un cabochon 11 recouvrant un actuateur 12 venant en appui, en sa partie inférieure, sur un dôme métallique 13, lui même relié à la masse du circuit imprimé du clavier. Lorsqu'un utilisateur appuie sur une touche, l'actuateur appuie sur le dôme, qui se déforme, comme cela est illustré sur la figure la qui représente d'une part, en traits pleins, la touche en position de repos et d'autre part, en pointillés, la touche en position appuyée. Une des attaques classiques contre un terminal de paiement électronique consiste à espionner les données saisies via le clavier, et en particulier les chiffres correspondant par exemple à un code confidentiel saisi par un utilisateur pour sécuriser une transaction. Pour ce faire, une attaque possible consiste à insérer, entre les cabochons des touches et le circuit imprimé, plus précisément entre l'actuateur et le dôme, un élément « espion » (par exemple un circuit imprimé souple, des micros interrupteurs ou micros « switchs » en anglais, ou encore des détecteurs à effets hall) qui récupère l'information relative à un appui sur une touche, afin d'en déduire les chiffres saisis par l'utilisateur.
Certaines solutions ont donc été proposées pour tenter de limiter ces attaques, par exemple en diminuant fortement la taille du clavier, de façon à rendre plus difficile l'insertion de ces éléments espions, ou encore en mettant en oeuvre des techniques de détection du démontage du clavier, ce démontage étant souvent nécessaire pour insérer ces éléments espions. Cependant, ces solutions nécessitent des modifications conséquentes de l'architecture du clavier, par l'ajout de modules de détection par exemple, et ne permettent pas de répondre à l'ampleur constatée de la fraude, les éléments espions devenant à leur tour de plus en plus petits et leurs techniques d'insertion de plus en plus discrètes.
3033659 2 Il existe donc un besoin pour une technique de sécurisation de la saisie de chiffres sur un clavier d'un terminal de paiement électronique permettant de contrer les attaques consistant à insérer un ou plusieurs éléments espions dans, ou sous, une ou plusieurs touches d'un tel clavier, tout en étant simple et peu couteuse à mettre en oeuvre. 5 3. Résumé de l'invention L'invention concerne une touche sécurisée de clavier d'un terminal de paiement électronique, ladite touche sécurisée comprenant en sa partie inférieure un dôme métallique relié à la masse du circuit imprimé dudit clavier analogique. Selon les différents modes de réalisation de l'invention, le dôme présente une partie non 10 métallique en son sommet. Ainsi, l'invention propose une solution nouvelle et inventive de la détection de l'insertion d'un élément espion dans un clavier à signaux analogiques d'un terminal de paiement électronique, basée sur la modification du dôme métallique (par exemple un dôme ressort convexe connu) constituant la partie inférieure d'une touche d'un tel clavier, de sorte à détecter 15 l'insertion d'un élément espion au-dessus du dôme selon le même principe que la détection d'un appui-touche. Ainsi, l'insertion d'un élément espion au-dessus de ce dôme modifié peut être détectée via des mesures de capacités, comme pour la détection d'un appui touche. Pour ce faire, le dôme métallique ainsi modifié de la touche sécurisée présente une 20 surface non métallique en son sommet, modifiant les mesures de capacité entre ce dôme modifié et un élément de référence dans le circuit imprimé du clavier, lorsqu'un élément espion est inséré au-dessus de ce dôme modifié. En effet, selon une technique bien connue, la détection d'un appui-touche peut se faire par la détection d'un changement de capacité entre le dôme métallique de la touche et un 25 élément de référence situé dans le circuit imprimé du clavier, par exemple une pastille de cuivre. Or, si un élément espion est inséré au-dessus du dôme d'une touche classique, il n'est pas détecté par cette technique, le dôme faisant écran. En revanche, selon l'invention, le sommet non métallique du dôme permet de prendre en considération un élément espion inséré au-dessus du dôme car cette insertion modifie automatiquement la capacité entre le dôme modifié et 30 l'élément de référence dans le circuit imprimé du clavier.
3033659 3 Le module de détection d'appuis touches, mis en oeuvre dans le circuit imprimé d'un clavier d'un terminal de paiement électronique, permet alors également de détecter l'insertion d'un élément étranger au fonctionnement du clavier, par exemple un élément espion. La solution de l'invention, selon ses différents modes de réalisation, ne nécessite donc pas 5 de mise en oeuvre matérielle particulière puisqu'elle utilise des moyens déjà mis en oeuvre pour la détection des appuis touches. Seules des adaptations de « paramétrage », au niveau des seuils de détection ou des valeurs de capacités de référence par exemple, sont nécessaires pour mettre en oeuvre la détection d'insertion d'éléments espions, en plus de la détection d'appuis touches. Ces adaptations peuvent être mises en oeuvre via un calibrage particulier du ou des détecteurs 10 capacitifs utilisés. Selon un aspect particulier de l'invention, la partie non métallique du sommet du dôme est mise en oeuvre par au moins un moyen appartenant au groupe comprenant : - un évidement du sommet du dôme ; - une partie en matière non conductrice.
15 Ainsi, selon un mode de réalisation de l'invention, le dôme métallique modifié est évidé en son sommet, de manière à ce qu'un élément qui serait inséré au-dessus de ce dôme soit détecté selon le principe de la détection de changement de valeur de capacité utilisé pour la détection d'un appui touche. Il est à noter que la forme et la taille de la partie évidée sont choisies de sorte à permettre 20 le fonctionnement classique de la touche ainsi sécurisée, c'est-à-dire de sorte que l'actuateur de la touche repose toujours sur le dôme pour être en mesure de l'enfoncer lors d'un appui touche d'un utilisateur. Selon un autre mode de réalisation de l'invention, le sommet du dôme métallique modifié est constitué par exemple d'une matière plastique, en remplacement de la matière métallique, de 25 manière à ce qu'un élément qui serait inséré au-dessus de ce dôme soit détecté selon le principe de la détection de changement de valeur de capacité utilisé pour la détection d'un appui touche, tout en assurant le fonctionnement classique de la touche ainsi sécurisée, le sommet en matière plastique se comportant d'un point de vue mécanique de la même manière qu'un sommet métallique d'un dôme classique (l'actuateur de la touche repose sur le dôme modifié de la même 30 manière que sur un dôme entièrement métallique). Une variante de ce mode de réalisation peut consister en un dôme entièrement non métallique sur lequel une métallisation partielle est appliquée, laissant le sommet non métallisé.
3033659 4 L'invention concerne également un procédé de détection d'une intrusion dans un clavier d'un terminal de paiement électronique, ledit clavier comprenant au moins une touche sécurisée selon les différents modes de réalisation de l'invention. Le procédé de détection, selon les différents modes de réalisation de l'invention, 5 comprend une étape de détection d'une intrusion lorsqu'une valeur absolue d'une différence entre : - une capacité mesurée pour un ensemble comprenant le dôme métallique de ladite au moins une touche sécurisée et au moins un élément de référence correspondant dans le circuit imprimé du clavier et 10 - au moins une capacité de référence excède un seuil prédéterminé. Ainsi, selon ce mode de réalisation de l'invention, toute variation de la capacité mesurée pour un ensemble constitué du dôme métallique et d'un élément de référence prédéterminé correspondant est détectée et si cette variation excède un seuil prédéterminé, une intrusion est 15 suspectée. Pour ce faire, un détecteur capacitif peut être mis en oeuvre, et, grâce à un calibrage adéquat, l'insertion d'un élément espion au-dessus du dôme métallique de la touche sécurisée est détectée et identifiée comme ne correspondant pas à un appui touche. Par exemple, le détecteur capacitif se base sur plusieurs valeurs de capacité de référence (une valeur correspondant à un 20 état relâché de la touche, une valeur correspondant à un état appuyé de la touche) et est apte à détecter toute valeur de capacité distincte de ces valeurs de référence et pouvant être interprétée comme la conséquence d'une insertion d'un élément espion dans le clavier. Par exemple, le procédé de détection comprend, lorsqu'une intrusion est détectée lors de l'étape de détection, une étape de génération d'une alarme en fonction d'au moins un niveau de 25 sécurité prédéterminé. Ainsi, selon ce mode de réalisation de l'invention, lorsqu'une variation de capacité est identifiée comme pouvant être due à l'insertion d'un élément espion dans le clavier, une alarme est générée. La génération de cette alarme peut dépendre d'un niveau de sécurité prédéterminé tenant compte à la fois d'une tolérance pour un taux de fausse détection d'intrusion et d'une 30 exigence de sécurité. Par exemple, une première détection d'une intrusion peut tout d'abord générer un message/flag d'erreur et lorsque deux flags d'erreur sont générés alors la fraude suspectée est 3033659 5 confirmée et une alarme est générée. Ceci permet de ne générer une alarme que lorsqu'au moins deux touches du clavier subissent une intrusion (ou bien lorsque deux appuis successifs sur une même touche révèlent une suspicion d'intrusion), et donc d'éviter de générer une fausse alarme lorsqu'une seule touche présente un défaut de fonctionnement ponctuel qui pourrait être 5 interprété comme une intrusion. En effet, une telle fraude par insertion d'un élément espion n'est efficace que si toutes les touches du clavier servant à saisir des chiffres sont espionnées, l'objectif étant de pirater le code confidentiel saisi par l'utilisateur. Par exemple, l'alarme générée appartient au groupe comprenant : - une désactivation totale du terminal de paiement électronique ; 10 - une désactivation des touches alphanumériques du clavier analogique du terminal de paiement électronique ; - un message d'erreur émis par le terminal de paiement électronique ; Ainsi, selon ce mode de réalisation de l'invention, différents types d'alarme peuvent être mis en oeuvre, comme par exemple une désactivation totale du terminal de paiement 15 électronique, ou seulement une désactivation des touches alphanumériques ou encore une émission d'un message d'erreur, pas exemple affiché sur l'écran du terminal de paiement électronique, ou transmis à un terminal de communication identifié comme relié au terminal de paiement électronique. Ces différents types d'alarme permettent d'adapter le procédé de détection au niveau de 20 sécurité choisi, ainsi qu'aux méthodes mises en oeuvre pour agir en cas de détection d'une intrusion. Selon une caractéristique particulière, le procédé de détection comprend une étape de réactivation du terminal de paiement électronique à l'aide d'un code de réactivation prédéterminé.
25 Ainsi, selon ce mode de réalisation de l'invention, la possibilité est donnée à un utilisateur du terminal de paiement électronique, par exemple le commerçant en possession du terminal de paiement électronique, de réactiver ce dernier suite à une détection d'une intrusion, notamment dans le cas de fausse détection. Par exemple, si le commerçant, après avoir reçu une alarme relative à une intrusion 30 suspectée, s'est assuré que le terminal de paiement électronique était intègre et que la détection d'une intrusion était une fausse alarme, il peut réactiver son terminal de paiement électronique pour le remettre en service rapidement. Pour ce faire, il utilise par exemple un code de 3033659 6 réactivation qu'il transmet au terminal de paiement électronique via une connexion spécifique, notamment lorsque le terminal de paiement électronique est totalement désactivé. L'invention concerne également un module de détection d'une intrusion dans un clavier d'un terminal de paiement électronique, le clavier comprenant au moins une touche sécurisée 5 selon les différents modes de réalisation de l'invention et le module de détection comprend des moyens de détection d'une intrusion lorsqu'une valeur absolue d'une différence entre : - une capacité mesurée, via des moyens de mesure de capacité, pour un ensemble comprenant ledit dôme métallique de ladite au moins une touche sécurisée et au moins un élément de référence correspondant dans ledit circuit imprimé dudit clavier 10 et - au moins une capacité de référence excède un seuil prédéterminé. Un tel module de détection est donc intégré par exemple à un clavier de terminal de paiement électronique comprenant au moins une touche sécurisée selon les différents modes de 15 réalisation de l'invention. L'invention concerne également un terminal de paiement électronique comprenant au moins une touche sécurisée et un module de détection d'intrusion selon les différents modes de réalisation de l'invention. L'invention concerne encore un programme d'ordinateur téléchargeable depuis un réseau 20 de communication et/ou stocké sur un support lisible par ordinateur et/ou exécutable par un microprocesseur, comprenant des instructions de code de programme pour l'exécution d'un procédé de détection selon les différents modes de réalisation de l'invention, lorsque ce programme est exécuté par un processeur. L'invention concerne également un support d'enregistrement lisible par un ordinateur sur 25 lequel est enregistré un programme d'ordinateur comprenant des instructions pour l'exécution des étapes du procédé de détection selon les différents modes de réalisation de l'invention. 4. Figures D'autres caractéristiques et avantages de l'invention apparaîtront plus clairement à la lecture de la description suivante d'un mode de réalisation préférentiel, donné à titre de simple 30 exemple illustratif et non limitatif, et des dessins annexés, parmi lesquels : les figures la et lb, déjà commentées en relation avec l'art antérieur, présentent une touche d'un clavier analogique respectivement en vue en coupe et de dessus ; 3033659 7 les figures 2a et 2b présentent une touche d'un clavier analogique respectivement en vue en coupe et de dessus, selon un mode de réalisation particulier de l'invention ; les figures 3a et 3b présentent une touche d'un clavier analogique respectivement en vue en coupe et de dessus, avec un élément espion inséré, selon un mode de réalisation 5 particulier de l'invention ; la figure 4 illustre les principales étapes du procédé de détection d'intrusion, selon un mode de réalisation de l'invention ; les figures 5 et 6 illustrent deux exemples d'architecture simplifiée d'un module de détection d'intrusion, selon un mode de réalisation particulier de l'invention. 10 5. Description 5.1. Principe général Le principe général de l'invention consiste à modifier la structure du dôme métallique d'une touche de clavier d'un terminal de paiement électronique de façon à permettre une détection d'intrusion dans le clavier par détection d'une valeur de capacité, ou d'une variation de 15 capacité, non conforme par rapport à au moins une référence. Pour ce faire, les moyens de détection capacitifs mis en oeuvre dans le clavier pour la détection d'appuis touches sont adaptés de façon à permettre également une détection d'insertion d'un élément espion au-dessus de ce dôme à structure modifiée. Par exemple, cette modification de structure du dôme métallique consiste à remplacer 20 une partie du sommet du dôme par une matière non conductrice ou à évider une partie du sommet du dôme, de façon à ce qu'un élément métallique inséré au-dessus du dôme modifie une valeur de capacité mesurée. Ainsi, cette structure modifiée du dôme métallique permet de s'affranchir d'un des inconvénients principaux des techniques antérieures basée du des détecteurs capacitifs, lié au fait 25 que ce dôme métallique constitue un écran lorsqu'un élément espion est inséré au-dessus et empêche sa détection de manière simple. Ainsi, l'invention, selon ses différents modes de réalisation, permet de détecter par exemple l'insertion d'un élément espion dans le clavier, au-dessus d'une touche, en utilisant des moyens déjà présents dans le clavier, pour la détection des appuis touches, et donc sans mise en 30 oeuvre matérielle supplémentaire. Il convient cependant, pour la mise en oeuvre de l'invention, d'adapter les moyens de détection capacitive dédié à la détection d'appuis touches de façon à les rendre aptes également 3033659 8 à la détection d'une intrusion, par exemple en modifiant leurs paramètres de calibration (c'est-à-dire le ou les seuils de détection, la ou les capacités de référence ...). Il est également possible de modifier la forme et/ou la taille de la « pastille » de cuivre insérée dans le circuit imprimé et permettant la détection des variations de capacité, ainsi que des liaisons reliant le dôme à la 5 masse du circuit imprimé du clavier. Par ailleurs, l'invention concerne également un procédé et un module de détection d'intrusion, mis en oeuvre dans un clavier de terminal de paiement électronique, basés sur une variation de capacité détectée lorsqu'un élément espion est inséré au-dessus du dôme métallique modifié d'une touche sécurisée du clavier.
10 Ainsi, selon des techniques actuelles connues, la détection d'appui touches sur un clavier d'un terminal de paiement électronique peut être mise en oeuvre par un ou plusieurs détecteurs capacitifs (intégré(s) au processeur du clavier ou bien constitué(s) par un circuit intégré spécifique). Par exemple, et comme illustré en figures la et lb déjà commentées en relation avec l'art 15 antérieur, ces techniques mettent en oeuvre d'une part un dôme métallique 13 relié à la masse 14 et d'autre part une pastille de cuivre 15 dans le circuit imprimé 16 du clavier. L'appui sur la touche par un utilisateur, via le cabochon 11 recouvrant la touche sur sa partie supérieure, entraîne un mouvement de l'actuateur 12 relié au dôme 13, diminuant ainsi la distance entre le dôme 13 et la pastille 15. Cette diminution de la distance entre le dôme 13 et la pastille 15 entraîne une 20 modification de la valeur de la capacité entre ces deux éléments (dôme et pastille), détectée par le(s) détecteur(s) capacitif(s) pour en déduire un appui touche. Cette détection de variation de capacité est ensuite traitée par un microprocesseur du clavier, de façon à interpréter les appuis touches effectués par l'utilisateur. 5.2. Description d'un mode de réalisation d'une touche sécurisée 25 On décrit maintenant, en relation avec les figures 2a, 2b, 3a et 3b, un mode de réalisation particulier de l'invention, dans lequel le dôme métallique 13 de la touche sécurisée présente une partie 13' non métallique en son sommet. Les figures 2a et 2b présentent, respectivement, une vue en coupe et une vue de dessus d'une touche sécurisée selon ce mode de réalisation de l'invention.
30 Les figures 3a et 3b présentent quant à elles, respectivement, les mêmes vues de la touche avec la présence d'un élément espion 30 inséré au-dessus du dôme 13 modifié. Cet 3033659 9 élément espion est représenté par un motif hachuré sur la figure 3b, au niveau de la partie 13' du dôme modifié. De plus, comme pour la figure la de l'art antérieur, les figures 2a et 3a représentent d'une part, en traits pleins, la touche sécurisée en position de repos (position dans laquelle le 5 dôme 13 est lui-même en position non contrainte ou peu contrainte), et d'autre part, en pointillés, la touche sécurisée en position appuyée (position dans laquelle le dôme 13 est en position contrainte et donc presque plat). Ainsi, sur les figures 2a et 2b, la partie 13' du dôme 13, située au sommet de celui-ci et présentant une forme concentrique par rapport à la base du dôme 13 (figure 2b), n'est pas 10 métallique, permettant ainsi la détection d'une variation de capacité liée à une insertion d'un élément espion 30 au-dessus de cette partie, comme illustré en figures 3a et 3b. Cette détection d'une variation est détaillée au paragraphe suivant, en relation avec le procédé de détection d'intrusion selon les différents modes de réalisation de l'invention. La partie 13' du sommet du dôme 13 modifié correspond, selon une première variante de 15 ce mode de réalisation, à un évidement, ou une ouverture. Cette première variante permet une implémentation très simple de la solution de l'invention, consistant simplement à évider le sommet d'un dôme métallique classique. Selon une deuxième variante de ce mode de réalisation, la partie 13' est constituée d'une matière plastique par exemple, permettant de mieux conserver toutes les caractéristiques 20 « mécaniques» du dôme lorsque l'actuateur 12 vient l'enfoncer suite à un appui sur la touche. Selon l'une quelconque de ces deux variantes de réalisation, la partie 13' est adaptée de sorte à permettre un fonctionnement classique de la touche sécurisée, d'un point de vue mécanique, c'est-à-dire de sorte à ne pas perturber la détection d'appuis touches. Pour ce faire, la forme et la taille de cette partie 13', ainsi que la matière dans la deuxième variante, sont choisies 25 de façon à ce que l'actuateur puisse prendre appui sur le dôme, à la fois en position de repos et en position d'appui touche. Toute autre mise en oeuvre de la modification de la structure du dôme métallique répondant à la problématique posée dans la présente demande de brevet (permettre une détection capacitive de l'insertion d'un élément espion au-dessus d'un dôme modifié d'une 30 touche sécurisée d'un clavier, en utilisant les moyens de détection d'un appui touche déjà mis en oeuvre dans le clavier) peut être envisagée, comme par exemple une pluralité de petits 3033659 10 évidements au sommet du dôme, ou encore un dôme non métallique (par exemple en plastique) sur lequel une métallisation partielle serait appliquée. 5.3. Description d'un mode de réalisation du procédé de détection d'intrusion On décrit maintenant, en relation avec la figure 4, les principales étapes du procédé de 5 détection d'une intrusion dans un clavier d'un terminal de paiement électronique, selon un mode de réalisation de l'invention dans lequel au moins une touche du clavier est sécurisée selon le mode de réalisation décrit précédemment, par modification de la structure du dôme métallique de la touche. On décrit tout d'abord ci-dessous un exemple connu, à titre informatif et non limitatif, de 10 mise en oeuvre du principe de détection capacitive des appuis touches dans un clavier d'un terminal de paiement électronique. Ce principe consiste par exemple à munir le terminal de paiement électronique d'un dispositif/module de détection permettant de surveiller l'environnement capacitif interne du terminal de paiement électronique, via un ou plusieurs détecteurs capacitifs composés d'au moins 15 deux parties. Ainsi, une modification de la capacité (c'est-à-dire une modification de la charge électrique) d'un tel détecteur est observée lorsqu'une des parties du détecteur est déplacée ou modifiée par rapport l'autre partie du détecteur. Par exemple, un détecteur capacitif comprend une première partie reliée électriquement au circuit imprimé du clavier (par exemple une pastille de cuivre 15 comme illustré sur les figures la, 2a et 3a), et une deuxième partie montée au sein 20 du clavier (par exemple un dôme métallique comme illustré sur les figures la, lb, 2a, 2b et 3a, 3b). De plus, le détecteur capacitif st configuré pour délivrer une capacité de référence en fonctionnement « normal » du clavier, à la fois en position de repos de la touche et en position appuyée. Ces valeurs de référence sont connues d'un microprocesseur de mesure capacitive, lui-même relié électriquement au support de mesure capacitive et configuré pour détecter une 25 variation de capacité du support de mesure capacitive. Des moyens de transmission d'une information représentative de variation de capacité sont également mis en oeuvre, lorsque une valeur absolue d'une différence entre une capacité mesurée, à un instant donné, et l'une des capacités de référence excède un seuil également prédéterminé. Pour pouvoir détecter un appui touche, le dispositif de détection doit être paramétré afin 30 de déterminer la valeur prédéterminée de la capacité de référence lorsque la touche est relâchée et lorsque la touche est appuyée. Par exemple, à la première mise sous tension du terminal de paiement électronique, une mesure de calibrage et un paramétrage sont réalisés afin d'identifier 3033659 11 une première valeur de référence, au repos, dans un environnement électromagnétique neutre, de la capacité du détecteur capacitif, ainsi qu'une seconde valeur de référence, dans le cas d'un appui touche, de la capacité du détecteur capacitif. En mode de fonctionnement standard, une variation de la capacité mesurée par rapport à ces capacités de référence est bien entendu 5 admise (il s'agit en quelque sorte d'une marge de mesure autorisée), pour permettre un fonctionnement normal du terminal de paiement électronique. Une valeur dite « delta » fixe les limites supérieures et inférieures dans lesquelles les capacités mesurées sont considérées comme valides. Les mesures sont effectuées périodiquement, soit à intervalle régulier, soit à des horaires prédéfinis (comme la nuit par exemple). Enfin, toutes les mesures sont pilotées par 10 l'intermédiaire d'un microprogramme associé au microprocesseur de mesure capacitive. Ce principe de détection d'appuis touches, ainsi que sa mise en oeuvre via un ou plusieurs détecteurs capacitifs, est donc également utilisé dans le cadre de la présente invention pour la détection d'intrusion dans le clavier, et en particulier pour la détection d'insertion d'élément(s) espion(s) au-dessus du dôme métallique modifié d'une ou plusieurs touches sécurisées du clavier.
15 On décrit ci-après les étapes du procédé mise en oeuvre pour une touche du clavier, étant entendu que ces étapes peuvent être mises en oeuvre pour une, plusieurs ou toutes les touches du clavier dès lors que celles-ci sont sécurisées selon les différents modes de réalisation de l'invention. Selon ce mode de réalisation de l'invention, une première étape 41 de calcul consiste à 20 calculer une valeur absolue d'une différence entre une capacité mesurée, à un instant t, et au moins une capacité de référence. Par exemple, un premier calcul est effectué par rapport à la valeur de référence au repos et un second calcul est effectué par rapport à la valeur de référence correspondant à un appui touche. Les deux valeurs absolues obtenues sont comparées à un seuil prédéterminé (dont la définition est décrite ci-dessous), lors d'une étape 42 de détection d'une 25 intrusion. Ainsi, si l'une, ou les deux valeurs absolues excèdent ce seuil, une intrusion est détectée et une étape 43 de génération d'une alarme est mise en oeuvre. Ces étapes sont par exemple mises en oeuvre par l'intermédiaire du microprocesseur de mesure capacitive utilisé pour la détection d'appuis touches, sans ajout de modules/éléments électroniques supplémentaires.
30 En revanche, le calibrage et le paramétrage, décrits ci-dessus, doivent être adaptés pour tenir compte de la structure modifiée du dôme de la touche sécurisée. En effet, les valeurs de référence utilisées pour la détection capacitive sont différentes lorsque le dôme présente une 3033659 12 structure modifiée (sommet non métallique) telle que décrite précédemment, et le seuil prédéterminé servant à la détection d'une intrusion doit également être adapté à la détection d'une intrusion. Ainsi, la solution de l'invention permet d'élargir la mise en oeuvre du principe de détection 5 capacitive pour la détection d'appuis touches, à la détection d'une intrusion dans le clavier, grâce à la sécurisation d'une ou plusieurs touches par modification de la structure du dôme métallique de cette ou ces touches. Une fois une intrusion détectée, par exemple pour une touche sécurisée spécifique, une alarme est générée, soit pour avertir un utilisateur du clavier, soit pour désactiver le clavier ou le 10 terminal de paiement électronique. La génération d'une alarme est paramétrable, au niveau du type de l'alarme, et peut être liée à la mise en oeuvre matérielle de la solution de l'invention, selon ses différents modes de réalisation, c'est-à-dire par exemple au nombre de touches sécurisées du clavier du terminal de paiement électronique. Pour ce faire, un niveau de sécurité peut être défini pour un terminal de paiement électronique donné, en fonction d'un compromis 15 entre un nombre de fausses alarmes toléré et une exigence de sécurité souhaitée. Ainsi, si toutes les touches du clavier sont sécurisées, par la modification structurelle du dôme métallique selon les modes de réalisation de l'invention, il est possible de ne générer une alarme que lorsqu'une intrusion est suspectée pour au moins deux touches sécurisées. Cela permet de limiter les fausses alarmes liées à un éventuel dysfonctionnement ponctuel d'une 20 touche, tout en alertant l'utilisateur dès qu'une deuxième intrusion vient corroborer une première intrusion suspectée. Dans ce cas, on peut envisager que la détection d'une première intrusion sur une première touche génère un message d'alerte interne au microprocesseur en charge du traitement de détection capacitive, et que dans le cas où un deuxième message d'alerte est généré, pour une intrusion suspectée sur une deuxième touche (ou la même première 25 touche), alors une alarme « externe » est générée, c'est-à-dire que l'utilisateur du terminal de paiement électronique (le commerçant par exemple) est averti d'un risque de fraude. Les différents types d'alarme envisageables sont détaillés ci-après. En revanche, si une partie seulement des touches du clavier est sécurisée (une ou plusieurs touches mais pas la totalité), il est préférable de générer une alarmer dès la première 30 intrusion détectée. La génération d'une alarme peut également prendre en considération le type des touches sécurisées, c'est-à-dire si une touche correspond à un chiffre, ou une fonction telle que validation, 3033659 13 annulation ... du clavier. En effet, il est primordial de sécuriser au maximum les touches numériques utilisées pour la saisie de données confidentielles telles qu'un code secret, par un utilisateur. Comme déjà indiqué ci-dessus, différents types d'alarme peuvent être mis en oeuvre, 5 lorsqu'une intrusion est détectée sur au moins une touche sécurisée d'un clavier d'un terminal de paiement électronique. Des alarmes de type « interne » consistent par exemple en la transmission d'un message d'erreur vers le microprocesseur en charge du traitement de détection capacitive (le microprocesseur associé au microprocesseur de mesure capacitive décrit ci-dessus), ou 10 l'incrémentation d'un compteur d'alarme ou encore la mise à 1 ou 0 d'un registre spécifique. Selon les différents modes de réalisation de l'invention, un nombre prédéterminé d'alarmes de type « interne » peut déclencher la génération d'une alarme de type « externe ». Ce type d'alarmes « externes » visent tout d'abord à prévenir l'utilisateur d'une éventuelle fraude mise en oeuvre au sein du clavier du terminal de paiement électronique, et, le 15 cas échéant, à empêcher les effets de la fraude, c'est-à-dire l'espionnage de données confidentielles en rendant inactif le terminal de paiement électronique. Ainsi de telles alarmes peuvent : alerter l'utilisateur, afin qu'il prenne les mesures de sécurité nécessaires ; désactiver automatiquement tout ou partie du clavier du terminal de paiement 20 électronique, c'est-à-dire rendre inactives toutes les touches ou seulement une partie des touches comme par exemple les touches numériques ; désactiver automatiquement tout ou partie du terminal de paiement électronique, c'est-à-dire empêcher tout fonctionnement du terminal de paiement électronique, ou uniquement certaines de ses fonctions.
25 Dans tous les cas, l'utilisateur est alerté, et dans certains cas, une mesure supplémentaire de désactivation empêchant le fonctionnement normal du terminal est mise en oeuvre. Dans ces derniers cas, il est prévu de pouvoir réactiver le terminal de paiement électronique, par exemple si l'utilisateur (le commerçant par exemple) a constaté que l'intrusion suspectée n'était pas avérée (cas d'une fausse alarme), ou si l'utilisateur a pu retirer le ou les 30 éléments espions préalablement insérés dans le clavier. Par mesure de sécurité, cette réactivation peut être conditionnée à la saisie d'un code confidentiel, par le commerçant par exemple, soit via le terminal de paiement électronique lui- 3033659 14 même si ce dernier n'est pas complètement désactivé, soit via une connexion entre le terminal de paiement électronique et un terminal de communication distant prédéterminé (par exemple la connexion prévue pour la configuration du terminal de paiement électronique, ou sa maintenance, ou encore la transmission des informations de transaction ...). Ainsi, seule une 5 personne habilitée à réactiver le terminal de paiement électronique peut effectivement requérir sa réactivation. 5.4. Architecture simplifiée d'un module de détection d'intrusion On décrit, en relation avec les figures 5 et 6, un exemple de module de détection d'intrusion, comprenant des moyens d'exécution du procédé décrit préalablement.
10 Ainsi, comme illustré en figure 5, un tel module 500, intégré par exemple à un clavier de terminal de paiement électronique comprenant au moins une touche sécurisée selon l'un des modes de réalisation de l'invention, comprend des moyens de détection (par exemple sous la forme d'un ou plusieurs sous-modules) d'une intrusion lorsqu'une valeur absolue d'une différence entre : 15 - une capacité mesurée, via des moyens de mesure de capacité, pour un ensemble comprenant ledit dôme métallique de ladite au moins une touche sécurisée et au moins un élément de référence correspondant dans ledit circuit imprimé dudit clavier et - au moins une capacité de référence 20 excède un seuil prédéterminé. On décrit maintenant ce module 500 en relation avec la figure 6. Par exemple, le module comprend une mémoire 61 constituée d'une mémoire tampon, une unité de traitement 62, équipée par exemple d'un microprocesseur, et pilotée par le programme d'ordinateur 63, mettant en oeuvre un procédé de détection d'intrusion selon les 25 différents modes de réalisation décrit précédemment. À l'initialisation, les instructions de code du programme d'ordinateur 63 sont par exemple chargées dans une mémoire avant d'être exécutées par le processeur de l'unité de traitement 62. L'unité de traitement 62 reçoit en entrée par exemple une valeur mesurée de capacité et au moins une valeur de capacité de référence. Le microprocesseur de l'unité de traitement 62 met 30 en oeuvre les étapes du procédé de détection d'intrusion, selon les instructions du programme d'ordinateur 63, pour générer une alarme.
Claims (10)
- REVENDICATIONS1. Touche sécurisée de clavier d'un terminal de paiement électronique, ladite touche sécurisée comprenant en sa partie inférieure un dôme métallique relié à la masse du circuit imprimé dudit clavier analogique, caractérisée en ce que ledit dôme présente une partie non métallique en son sommet.
- 2. Touche sécurisée selon la revendication 1, caractérisée en ce que ladite partie non métallique dudit sommet dudit dôme est mise en oeuvre par au moins un moyen appartenant au groupe comprenant : - un évidement dudit sommet dudit dôme ; - une partie en matière non conductrice.
- 3. Procédé de détection d'une intrusion dans un clavier d'un terminal de paiement électronique, ledit clavier comprenant au moins une touche sécurisée selon la revendication 1, caractérisé en ce qu'il comprend une étape de détection d'une intrusion lorsqu'une valeur absolue d'une différence entre : - une capacité mesurée pour un ensemble comprenant ledit dôme métallique de ladite au moins une touche sécurisée et au moins un élément de référence correspondant dans ledit circuit imprimé dudit clavier et - au moins une capacité de référence excède un seuil prédéterminé.
- 4. Procédé de détection selon la revendication 3, caractérisé en ce qu'il comprend, lorsqu'une intrusion est détectée lors de ladite étape de détection, une étape de génération d'une alarme en fonction d'au moins un niveau de sécurité prédéterminé.
- 5. Procédé de détection selon la revendication 4, caractérisé en ce que ladite alarme générée appartient au groupe comprenant : - une désactivation totale dudit terminal de paiement électronique ; - une désactivation des touches alphanumériques dudit clavier analogique dudit terminal de paiement électronique ; - un message d'erreur émis par ledit terminal de paiement électronique ;
- 6. Procédé de détection selon la revendication 5, caractérisé en ce qu'il comprend une étape de réactivation dudit terminal de paiement électronique à l'aide d'un code de réactivation prédéterminé. 3033659 16
- 7. Module de détection d'une intrusion dans un clavier d'un terminal de paiement électronique, ledit clavier comprenant au moins une touche sécurisée selon la revendication 1, caractérisé en ce qu'il comprend des moyens de détection d'une intrusion lorsqu'une valeur absolue d'une différence entre : 5 - une capacité mesurée, via des moyens de mesure de capacité, pour un ensemble comprenant ledit dôme métallique de ladite au moins une touche sécurisée et au moins un élément de référence correspondant dans ledit circuit imprimé dudit clavier et - au moins une capacité de référence 10 excède un seuil prédéterminé.
- 8. Terminal de paiement électronique comprenant au moins une touche sécurisée selon la revendication 1 et un module de détection d'intrusion selon la revendication 7.
- 9. Programme d'ordinateur téléchargeable depuis un réseau de communication et/ou stocké sur un support lisible par ordinateur et/ou exécutable par un microprocesseur, 15 caractérisé en ce qu'il comprend des instructions de code de programme pour l'exécution d'un procédé selon l'une quelconque des revendications 3 à 6 lorsque ce programme est exécuté par un processeur.
- 10. Support d'enregistrement lisible par un ordinateur sur lequel est enregistré un programme d'ordinateur comprenant des instructions pour l'exécution des étapes du 20 procédé selon l'une quelconque des revendications 3 à 6.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1552057A FR3033659B1 (fr) | 2015-03-12 | 2015-03-12 | Touche securisee de clavier analogique, procede et module de detection d'intrusion, terminal de paiement electronique, programme et support d'enregistrement correspondants |
| PCT/EP2016/055183 WO2016142487A1 (fr) | 2015-03-12 | 2016-03-10 | Touche sécurisée de clavier analogique, procédé et module de détection d'intrusion, terminal de paiement électronique, programme et support d'enregistrement correspondants |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1552057A FR3033659B1 (fr) | 2015-03-12 | 2015-03-12 | Touche securisee de clavier analogique, procede et module de detection d'intrusion, terminal de paiement electronique, programme et support d'enregistrement correspondants |
| FR1552057 | 2015-03-12 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| FR3033659A1 true FR3033659A1 (fr) | 2016-09-16 |
| FR3033659B1 FR3033659B1 (fr) | 2020-03-13 |
Family
ID=53514299
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR1552057A Active FR3033659B1 (fr) | 2015-03-12 | 2015-03-12 | Touche securisee de clavier analogique, procede et module de detection d'intrusion, terminal de paiement electronique, programme et support d'enregistrement correspondants |
Country Status (2)
| Country | Link |
|---|---|
| FR (1) | FR3033659B1 (fr) |
| WO (1) | WO2016142487A1 (fr) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4365120A (en) * | 1981-04-13 | 1982-12-21 | Kb Denver, Inc. | Illuminated keyboard |
| US20070204173A1 (en) * | 2006-02-15 | 2007-08-30 | Wrg Services Inc. | Central processing unit and encrypted pin pad for automated teller machines |
-
2015
- 2015-03-12 FR FR1552057A patent/FR3033659B1/fr active Active
-
2016
- 2016-03-10 WO PCT/EP2016/055183 patent/WO2016142487A1/fr active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4365120A (en) * | 1981-04-13 | 1982-12-21 | Kb Denver, Inc. | Illuminated keyboard |
| US20070204173A1 (en) * | 2006-02-15 | 2007-08-30 | Wrg Services Inc. | Central processing unit and encrypted pin pad for automated teller machines |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016142487A1 (fr) | 2016-09-15 |
| FR3033659B1 (fr) | 2020-03-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8136736B2 (en) | Slim electronic device with detector for unintentional activation | |
| EP2880585B1 (fr) | Authentification de personne par biométrie | |
| WO2015138232A1 (fr) | Utilisation améliorée de données biométriques | |
| WO2016198780A1 (fr) | Procédé de contrôle d'accès sécurisé avec lecteur et terminal mobile, notamment du type terminal téléphonique | |
| FR2964778A1 (fr) | Dispositif de protection d'un connecteur et d'un fil de communication d'un lecteur de carte a memoire. | |
| EP0776498B1 (fr) | Dispositif de clavier securise | |
| EP2118805B1 (fr) | Dispositif portable d'authentification | |
| EP2431899A1 (fr) | Dispositif de protection, procédé et produit programme d'ordonateur correspondant | |
| EP2431901A1 (fr) | Dispositif de protection, procédé et produit programme d'ordinateur correspondant | |
| EP1417651A1 (fr) | Dispositif et procede de reconnaissance d'au moins un individu, dispositif et systeme de controle d'acces et applications correspondantes | |
| US20180173903A1 (en) | Data device including ofn functionality | |
| FR2860643A1 (fr) | Dispositif anti-intrusion notamment pour terminal de paiement electronique | |
| FR3033659A1 (fr) | Touche securisee de clavier analogique, procede et module de detection d'intrusion, terminal de paiement electronique, programme et support d'enregistrement correspondants | |
| WO2017220899A1 (fr) | Procédé d'authentification avec un mot de passe comprenant un sel | |
| WO2017103526A1 (fr) | Procede d'elaboration d'un mot challenge, dispositif electronique, peripherique de consigne et systeme mettant en oeuvre ledit procede | |
| EP2829999B1 (fr) | Dispositif de sécurisation d'un clavier capacitif et terminal correspondant | |
| WO2024069087A1 (fr) | Smartphone intégrant un portefeuille matériel de stockage de clés cryptographiques mettant en œuvre un multiplexage matériel de l'afficheur du smartphone | |
| FR3140463A1 (fr) | Smartphone intégrant un portefeuille matériel de stockage de clés cryptographiques mettant en œuvre un multiplexage matériel de l'afficheur du smartphone | |
| FR3140462A1 (fr) | Smartphone intégrant un portefeuille matériel de stockage de clés cryptographiques mettant en œuvre un multiplexage logiciel de l'afficheur du smartphone | |
| FR2999000A1 (fr) | Systeme de securite d'identification pour etre humain | |
| FR3140464A1 (fr) | Commutation temporaire sûre d'un terminal dans un mode sécurisé pour traiter une transaction | |
| EP2564600B1 (fr) | Procede de detection d'une condition anormale de fonctionnement environnementale d'un element embarque dans un appareil et element correspondant | |
| FR3052897A1 (fr) | Procede mis en œuvre dans une entite electronique et entite electronique associee | |
| EP2622526A1 (fr) | Dispositif de protection, terminal de paiement électronique et tête de lecture magnétique correspondants | |
| WO2010115752A1 (fr) | Carte du type bancaire avec un interrupteur actionnable par un utilisateur |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PLFP | Fee payment |
Year of fee payment: 2 |
|
| PLSC | Publication of the preliminary search report |
Effective date: 20160916 |
|
| PLFP | Fee payment |
Year of fee payment: 3 |
|
| CD | Change of name or company name |
Owner name: INGENICO GROUP, FR Effective date: 20170912 |
|
| PLFP | Fee payment |
Year of fee payment: 4 |
|
| PLFP | Fee payment |
Year of fee payment: 5 |
|
| PLFP | Fee payment |
Year of fee payment: 6 |
|
| PLFP | Fee payment |
Year of fee payment: 7 |
|
| TP | Transmission of property |
Owner name: BANKS AND ACQUIRERS INTERNATIONAL HOLDING, FR Effective date: 20211202 |
|
| PLFP | Fee payment |
Year of fee payment: 8 |
|
| PLFP | Fee payment |
Year of fee payment: 9 |
|
| PLFP | Fee payment |
Year of fee payment: 10 |