PROCEDE ET DISPOSITIF D'ATTRIBUTION D'UN CODE D'AUTHENTIFICATION
La présente invention concerne l'attribution à un utilisateur d'un code d'authentification servant à vérifier l'identité de celui-ci lors de l'accès à un système sécurisé tel qu'un ordinateur, un réseau de communication, des terminaux de paiement, etc. Cette invention concerne notamment la sécurisation des transactions commerciales acquittées au moyen de cartes bancaires et en particulier les transactions électroniques effectuées sur le réseau Internet.
De nombreux systèmes sécurisés, tels que par exemple les systèmes bancaires, nécessitent pour les faire fonctionner une étape préalable d'authentification de l'utilisateur. Cette étape consiste généralement à fournir un mot de passe connu du seul utilisateur et de l'autorité d'authentification.
Ainsi, la sécurité des transactions effectuées au moyen de cartes de paiement repose aujourd'hui sur un tel élément à savoir le contrôle de l'authenticité du titulaire de la carte à travers la signature électronique que constitue la saisie d'un mot de passe encore appelé PIN code (PIN étant l'acronyme anglais de Personnal Identification Number) formé d'une suite ordonnée de quatre chiffres.
L'attribution classique d'un mot de passe nécessaire à accéder à un système sécurisé est à la discrétion d'une autorité émettrice coopérant avec ledit système sécurisé. Cette autorité
génère pour chaque utilisateur un mot de passe et l'impose à ce dernier.
En pratique dans le cas des cartes de paiement, le mot de passe ainsi généré est généralement transmis à son destinataire par et/ ou à travers un réseau de communication de données du genre service postal. Le support de paiement et son mot de passe associé sont transmis séparément et de façon non synchrone afin d'améliorer la sécurité de la transmission.
Une telle méthode pour délivrer des codes d'authentification se trouve aujourd'hui inadaptée au développement des systèmes sécurisés nécessitant l'utilisation d'un code d'authentification, en particulier sur Internet, et au besoin de pouvoir disposer rapidement d'un code d'authentification pour pouvoir les utiliser. Ainsi, pour sécuriser l'usage de moyen de paiement telles que des cartes de crédit pour régler des transactions sur Internet, il est envisagé de fournir aux utilisateurs des mots de passe valables pour une transaction. Un tel service n'a de sens que s'il est possible de fournir un mot de passe quasiment instantanément audit utilisateur.
Il est bien évidemment possible de substituer l'envoi par la poste du mot de passe à l'utilisateur par sa communication à travers des réseaux de télécommunication tel que le téléphone ou l'Internet. Une telle communication du mot de passe comporte toutefois le risque qu'un tiers puisse intercepter une telle communication et utilise ensuite frauduleusement une telle information. La parade consistant à sécuriser la communication en
ayant recours à des algorithmes de cryptage du type à clé secrète ou à clé publique a pour inconvénient de complexifîer l'équipement requis pour obtenir de cette façon les mots de passe.
La présente invention se propose de pallier ces inconvénients en proposant une méthode selon laquelle il est possible d'attribuer rapidement un code d'authentification à un utilisateur sans que ce dernier nécessite l'usage de moyens techniques complexes ni l'emploi d'algorithme de cryptage /décryptage et de plus sans communication directe dudit code d'authentification entre l'autorité d'authentification et l'utilisateur.
Elle porte sur un procédé d'attribution d'un code d'authentification à un utilisateur par une autorité d'authentification.
Selon une définition générale de l'invention, l'autorité d'authentification communique audit utilisateur une pluralité d'éléments susceptibles de former ledit code d'authentification, chaque élément étant identifié par un code d'identification correspondant, ledit utilisateur choisi le ou les éléments formant ledit code d'authentification et ledit utilisateur communique à ladite autorité le(s)dit(s) code(s) d'identification correspondant(s) au(x)dit(s) élément(s) choisi(s).
En pratique, la pluralité d'éléments susceptibles de former le code d'authentification est constituée d'éléments appartenant au groupe formé par des représentations de concepts, des représentations alphanumériques, des pictogrammes, des images,
des combinaisons de représentations graphiques et alphanumériques et analogues.
De préférence, les codes d'identification appartiennent au groupe formé par des représentations alphanumériques et analogues.
Selon un autre aspect de l'invention, l'autorité d'authentification communique à l'utilisateur les éléments susceptibles de former le code d'authentification au cours d'une session de communication à travers un réseau de communication de données de type internet, téléphonique, ou analogue.
Pour conférer un degré de sécurité supplémentaire, chaque code d'identification est en outre couplé à un numéro de session relatif à la session au cours de laquelle l'autorité d'authentification communique à l'utilisateur les éléments susceptibles de former le code d'authentification tandis que l'utilisateur communique en outre à l'autorité le numéro de session associé audit code d'identification.
Avantageusement, le numéro de session varie périodiquement à une cadence choisie.
Par exemple, le changement du numéro de session a lieu à chaque attribution d'un code d'authentification ou à l'intérieur d'une fenêtre temporelle choisie.
La présente invention a également pour objet un dispositif pour la mise en œuvre du procédé selon l'invention.
D'autres caractéristiques et avantages de l'invention apparaîtront à la lumière de la description détaillée ci-après, et des dessins dans lesquels la figure unique représente schématiquement l'architecture d'un dispositif d'accès à un service transactionnel sécurisé mettant en oeuvre le procédé selon l'invention.
En référence à la figure unique, on a représenté l'architecture du dispositif selon l'invention articulée de préférence mais non limitativement sur des réseaux de communication disjoints, afin de limiter le risque d'interception frauduleuse.
Par exemple, l'un des réseaux de communication est celui formé par le réseau Internet RI. Ce genre de réseau est utilisé ici entre un ordinateur 2 mis à la disposition de l'utilisateur 1 et un serveur d'attribution de mots de passe 4 géré par une autorité d'authentification 7. Un autre réseau de communication peut être formé par le réseau téléphonique RT, de type fixe ou mobile. Ce type de réseau est utilisé ici entre un poste téléphonique 5 mis à la disposition de l'utilisateur 1 et un serveur vocal 6, géré par ladite autorité d'authentification 7.
Le serveur d'attribution 4 peut être différent du serveur vocal 6, le serveur d'attribution 4 est alors relié au serveur vocal 6 via une liaison sécurisée 9 à travers un réseau de communication sécurisé RS.
Les fonctions du serveur d'attribution 4 et du serveur vocal 6 peuvent être réalisées par un seul et même dispositif, l'utilisateur communiquant alors avec le serveur unique d'attribution/ autorisation de préférence à travers plusieurs réseaux de communications et plusieurs intermédiaires.
Bien évidemment, l'invention peut s'appliquer à d'autres réseaux de communication de données.
Dans la figure unique, l'utilisateur 1 est installé devant un ordinateur 2, par exemple de type ordinateur personnel. L'ordinateur
2 est susceptible de se connecter au réseau Internet RI via une liaison
3 afin d'accéder à un site de type marchand par exemple. Ce site peut être géré par un fournisseur de services ou de produits ou analogues.
De préférence, l'utilisateur 1 dispose, pour payer la transaction, d'une carte de paiement 8 (réelle ou virtuelle) obtenue auprès d'un organisme financier accrédité.
Selon la procédure de paiement retenue, l'utilisateur 1, doit fournir des informations d'identification tel qu'un mot de passe. Pour obtenir ce mot de passe, l'utilisateur 1 se connecte à l'autorité d'authentification 7 par l'intermédiaire du serveur d'attribution 4 et du serveur vocal 6, selon le processus détaillé ci-dessous.
Ce processus permet notamment d'attribuer un mot de passe de façon rapide, automatique, interactive et sécurisée. L'utilisateur va ainsi se faire attribuer le mot de passe MP (PWI, PW2, PW3, PW4).
Lorsque l'utilisateur 1 se décide à acheter pour un montant donné, un produit ou un service offert à la vente sur le site marchand précité, il déclenche alors une commande en désignant de façon appropriée les références et le prix du produit qu'il souhaite acquérir ainsi que le mode de paiement choisi à savoir son numéro de carte 8.
Le site marchand communique alors à travers la liaison sécurisée 9 du réseau de communication RS avec l'autorité d'authentification 7 qui coopère par ailleurs avec l'organisme financier en charge de la carte 8 (l'autorité 7 et cet organisme financier peuvent d'ailleurs ne faire qu'un) afin de transmettre des données relatives à la transaction, par exemple les caractéristiques de la commande, de telle sorte que le poste d'autorisation (autorité d'authentification 7) contrôle la transaction, et plus particulièrement le paiement.
L'autorité d'authentification 7 peut adresser à l'utilisateur une facture électronique portant les références du produit commandé et du site marchand 4. En réponse, l'utilisateur doit donner des données confidentielles pour valider la transaction, notamment un identifiant et le mot de passe MP correspondant de la carte de paiement de l'utilisateur.
Selon l'invention, l'attribution d'un code d'authentification telle qu'un mot de passe à un utilisateur se passe en deux temps. Dans un premier temps, l'utilisateur choisit lui-même son mot de passe et dans un second temps, l'utilisateur communique ce mot de passe sous forme codée à l'autorité d'authentification pour enregistrement.
La première étape du procédé, à savoir le choix fait par l'utilisateur de son mot de passe s'effectue par l'intermédiaire d'un premier réseau de communication, ce réseau étant quelconque et en particulier, ce réseau pouvant être constitué par le réseau Internet comme illustré dans le présent exemple de réalisation de l'invention.
En effet, le choix du mot de passe fait par l'utilisateur ne s'effectue pas ex nihilo mais à partir d'informations préalablement communiquées par l'autorité d'authentification. Ces informations consistent essentiellement dans la présentation des éléments, référencés PWi, susceptibles d'être choisis comme mot de passe par l'utilisateur ainsi que dans des codes d'identification, référencés ICi, de ces éléments PWi.
Selon l'exemple de réalisation de l'invention illustré, pour choisir son mot de passe, l'utilisateur se connecte donc par l'intermédiaire du réseau Internet à un serveur approprié géré par l'autorité d'authentification. En se connectant à ce serveur d'authentification, l'utilisateur va pourvoir accéder à une ou plusieurs pages qui vont s'afficher sur l'écran de son ordinateur et sur lesquelles l'autorité d'authentification a présenté plusieurs éléments PWi susceptibles d'être choisis par l'utilisateur pour former son mot de passe.
Conformément à l'invention, le mot de passe est choisi librement par l'utilisateur à partir des informations fournies par l'autorité d'authentification. Il est toutefois à noter que l'autorité d'authentification peut introduire certaines règles aptes à diversifier
le choix des mots de passe par exemple en imposant qu'un mot de passe soit constitué par un nombre prédéterminé d'éléments.
Les éléments présentés sur l'écran d'ordinateur de l'utilisateur et susceptibles d'être choisis pour former un mot de passe peuvent être quelconques, c'est-à-dire des chiffres, des nombres, des lettres, des mots, des images, des pictogrammes ou bien encore des concepts.
Un concept est la représentation générale abstraite d'un objet ou d'un ensemble d'un objet qui se définit selon sa compréhension (l'alphabet est formé de l'ensemble des lettres) et selon son extension (l'alphabet se compose des lettres a, b, c, d, ... , z).
Chaque terme utilisé est de préférence un mot ayant un sens parfaitement délimité, n'admettant pas d'équivoque (par exemple : animal, être humain, vélo, soleil, lune, etc.).
A chaque terme est associé des représentations facilement identifiables que se soit sous la forme de dessins, photos ou pictogrammes ou bien encore sous la forme de phrases à l'intérieur desquelles se trouve le mot.
L'attribution de concepts comme mot de passe présente l'immense avantage d'être particulièrement bien adaptée à l'intelligence humaine. Il est en effet très facile à un utilisateur de retenir une combinaison de concepts (par exemple "femme" et "chat") plutôt qu'une combinaison arbitraire de lettre et de chiffres qui est très difficile à mémorisée (par exemple "AZ23EF3E1").
Inversement, retrouver à partir des représentations (images, dessins, textes) choisies par l'utilisateur son mot de passe et donc la combinaison de concepts associée est une tâche extrêmement difficile pour les éventuels pirates pour lesquels les outils informatiques existants sont d'une aide limitée. En effet, la reconnaissance automatique des formes est encore balbutiante tout comme l'est l'analyse conceptuelle des mots d'une phrase. De plus la moindre photographie ou image renferme un nombre élevé de concepts.
Selon l'invention, à chaque élément PWi représenté sur l'écran de l'utilisateur correspond un code d'identification ICi qui sert à identifier ledit élément. Ce code ICi d'identification est déterminé de façon appropriée par l'autorité d'authentification de telle façon qu'il ne soit pas possible de déduire l'élément PWi correspondant à un code donné ICi.
Dans le cas d'une sélection d'un ensemble de concepts, l'utilisateur 1 choisit des concepts liés à des images apparaissant sur son écran et provenant par exemple d'une base de données 10. En pratique, l'utilisateur 1 navigue dans une arborescence d'images, où pour chaque image, on associe une liste de concepts qu'elle contient.
Par exemple, dans le cas d'une première pluralité d'éléments conceptuels représentés par des images, chaque représentation graphique de chaque concept PWi est liée à un numéro ICi qui l'identifie. L'utilisateur 1 prend alors connaissance de tous les concepts PWi qui lui sont présentés et choisis parmi ceux-ci le ou les
concepts qu'il retient comme étant son secret ou mot de passe MP.
L'utilisateur 1 note précieusement la liste de ces concepts PWj formant son mot de passe et des codes d'identification ICj associés. Ainsi, l'utilisateur ayant choisi les éléments PWI, PW2, PW3 et PW4 pour former son mot de passe, note les codes correspondants ICI,
IC2, IC3 et IC4.
L'utilisateur n'a plus alors qu'à faire enregistrer son mot de passe en appelant l'autorité d'authentification via de préférence un second réseau de communication distinct du premier, tel que par exemple le réseau téléphonique RT, en s'identifiant et en communiquant le mot de passe qu'il a . choisi en identifiant les éléments choisis PWI, PW2, PW3 et PW4 par leurs codes correspondants ICI, IC2, IC3 et IC4.
Ainsi pour qu'un tiers puisse connaître le mot de l'utilisateur (formé en l'espèce de la combinaison PWI , PW2, PW3, et PW4), il faut qu'il soit capable de capter la communication de l'utilisateur vers l'autorité d'authentification et qu'il sache à quoi correspondent les codes ICI , IC2, IC3 et IC4, c'est-à-dire qu'il est également eu accès à la session de connexion de l'utilisateur au serveur d'autorisation.
Pour augmenter la sécurité d'un tel système, le code d'identification des éléments PWi est modifiée régulièrement par le serveur d'autorisation de sorte qu'entre deux connexions ou sessions successives, ou en variante à l'intérieur d'une même
session, un même élément PWi peut recevoir des codes distincts ICi,j et ICi,k.
L'utilisateur est donc invité à préciser lors de l'enregistrement de son mot de passe les références NS de la session, référence NS formée par un code par exemple alphanumérique (par exemple du type NNNN constitué par un nombre à quatre digits), session lors de laquelle il a relevé la ou les références sélectionnées de l'élément ou des éléments formant sont mot de passe.
Ainsi, l'utilisateur qui a choisi les éléments PWI à PW4 lors de la session référencée 2135 devra communiquer les informations suivantes à l'autorité d'authentification :. 2135 ; ICI, IC2, IC3 et IC4.
Ainsi, les codes d'identification ICi (ici la liste des numéros de concepts) se trouvent être diversifiés par les numéros de session NSi associés respectivement à chaque numéro de concept.
Par convention, le couple formé par les codes d'identification ICj
(par exemple ICI à IC4) et le numéro de session associé NSj, constitue un chiffrage MPC du mot de passe MP, dans lequel le numéro de session NSj constitue la clé de diversification ou de chiffrement des codes d'identification du mot de passe MP.
En variante, si les codes évoluent au cours d'une même session, l'utilisateur sera donc invité à préciser lors de l'enregistrement de son mot de passe, non plus la référence de la session, mais les références des pages écran, référence formée par
un code par exemple alphanumérique (par exemple du type AAANNNN avec A lettre et N chiffre), pages écrans sur lesquelles il a relevé la ou les références sélectionnées. Bien évidemment à chaque modification des codes correspond une modification du code de référence de la page.
Ainsi, l'utilisateur qui a choisi les éléments PWI et PW2 sur la page écran référencée XXX2135, puis l'élément PW3 sur la page AZE8213 et enfin l'élément PW4 sur la page YQQ2319 devra communiquer les informations suivantes à l'autorité d'authentification : IC1 ,XXX2135 ; IC2,XXX2135 ; IC3,AZE8213 et IC4,YQQ2319.
Le tiers souhaitant espionner le mot de passe choisi par l'utilisateur doit donc non seulement surveiller la ligne téléphonique de ce dernier mais encore enregistrer l'ensemble des différentes pages écrans lues par l'utilisateur ou affichée par l'autorité d'authentification. Il s'agit là d'un travail qui suppose des capacités de surveillance hors de portée des traditionnels fraudeurs.
Pour l'autorité d'authentification, l'attribution des codes peut se faire de manière automatique à partir d'un algorithme de cryptage, ce qui permet ainsi de gérer de façon simple le décodage des mots de passe à partir des informations communiquées par les utilisateurs. Ainsi, il est possible de prévoir un premier logiciel SF1 qui génère le code ICi de l'élément PWi à partir de la référence de la page AAANNNN sur laquelle va s'afficher ce code ICi en regard de cet élément, tandis qu'un deuxième logiciel génère les références des pages, par exemple à partir de la date et de l'heure courante.
En variante l'affectation des codes ICi aux éléments PWi peut s'effectuer par l'intermédiaire de tables appropriées ou de cartographies indexées en fonction des références des pages d'affichage.
Pour communiquer avec l'autorité d'authentification, l'utilisateur peut donc utiliser un réseau de communication de type téléphonique RT. Dans ce cas, l'utilisateur 1 se sert d'un poste téléphonique 5 de type fixe ou mobile, afin d'entrer en connexion avec un serveur téléphonique 6, par exemple vocal, géré par l'autorité d'authentification.
Une fois la communication établie entre l'utilisateur 1 et le serveur vocal 6, ledit serveur 6 demande à l'utilisateur 1 d'entrer les codes ICj des éléments PWj choisis et la référence de la session NSj. La saisie de ces informations s'opère via le clavier de l'appareil téléphonique. Par exemple, les numéros des codes ICj sont séparés par un indicateur, tel que la touche * du poste téléphonique 5.
Lorsque la totalité des informations fournies par l'utilisateur sont introduites, l'utilisateur 1 presse une touche, par exemple la touche # de l'équipement de communication 5.
En pratique, l'autorité d'authentification, via le serveur vocal 6, demande à l'utilisateur d'entrer des données d'identification confidentielles ID qui permettent d'identifier et d'authentifier l'utilisateur.
Ces données d'identification confidentielles ID peuvent être par exemple un numéro de compte bancaire, un numéro de code banque, ainsi que d'autres données telles le montant d'une ligne du relevé bancaire à une date choisie.
Bien évidemment de son côté, l'autorité d'authentification détient déjà les données d'identification confidentielles ID de l'utilisateur 1.
Le fait d'utiliser des réseaux de communication (de préférence distincts et disjoints) pour échanger des informations entre l'autorité d'authentification et l'utilisateur, dont les flux sont suffisamment intenses et banalisés, rend très difficile une interception frauduleuse, résultant d'un espionnage systématique.
Par ailleurs, lors de l'attribution du mot de passe, l'utilisateur navigue dans une arborescence de pages, qui ne renseigne en aucune manière sur les choix de l'utilisateur puisque ce dernier mémorise ses choix dans son cerveau ou bien sur un bout de papier.
De plus, une interception des éléments PWi au niveau de l'ordinateur de l'utilisateur n'est pas possible car l'ensemble des éléments qui sont visualisés lors de l'attribution du mot de passe, sont susceptibles d'être éligibles, sans distinction pour l'intercepteur frauduleux.
De plus, rien ne permet de garantir à l'entité frauduleuse qui a enregistré la session que cette session sera utilisée. De même, rien ne renseigne l'entité frauduleuse de l'instant où sera utilisée ladite
session. Il en résulte que l'entité frauduleuse doit enregistrer l'ensemble des sessions et des données pour en déduire les données confidentielles, ce qui est difficilement envisageable avec les moyens actuels.