WO2005066904A1 - Module electronique notamment pour terminal de paiement electronique - Google Patents

Module electronique notamment pour terminal de paiement electronique Download PDF

Info

Publication number
WO2005066904A1
WO2005066904A1 PCT/EP2004/053566 EP2004053566W WO2005066904A1 WO 2005066904 A1 WO2005066904 A1 WO 2005066904A1 EP 2004053566 W EP2004053566 W EP 2004053566W WO 2005066904 A1 WO2005066904 A1 WO 2005066904A1
Authority
WO
WIPO (PCT)
Prior art keywords
secure
electronic
microprocessor
module according
microcontroller
Prior art date
Application number
PCT/EP2004/053566
Other languages
English (en)
Inventor
Jérôme SOUFFLET
Original Assignee
Thales
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales filed Critical Thales
Priority to EP04804909A priority Critical patent/EP1695298A1/fr
Publication of WO2005066904A1 publication Critical patent/WO2005066904A1/fr

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0866Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means by active credit-cards adapted therefor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0873Details of the card reader
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0873Details of the card reader
    • G07F7/088Details of the card reader the card reader being part of the point of sale [POS] terminal or electronic cash register [ECR] itself
    • G07F7/0886Details of the card reader the card reader being part of the point of sale [POS] terminal or electronic cash register [ECR] itself the card reader being portable for interacting with a POS or ECR in realizing a payment transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2143Clearing memory, e.g. to prevent the data from being stolen

Definitions

  • Electronic module especially for electronic payment terminal
  • the present invention belongs to the field of electronic transactions. It relates to an electronic module able to be used for example in an electronic payment device.
  • An electronic payment device is a device for making electronic payments. Electronic payments are often made using a bank or credit card, such as a smart card (also known as a microprocessor card) or a magnetic stripe card.
  • An electronic payment device generally comprises means for reading a smart card with or without contact, a microprocessor, a keyboard in particular for entering a confidential code, and a display screen.
  • Electronic payment terminals (EPTs) are electronic payment devices that allow complete electronic payment until the printing of a ticket. There are simpler electronic payment devices, called confidential code entry boxes (known as "PIN-Pad” in Anglo-Saxon literature), which only allow authentication of the holder of a smart card.
  • electronic payment devices are subject to banking security standards. Electronic payment devices must be certified by recognized organizations to demonstrate compliance with these banking security standards. A certification translates in practice by the allocation of serial numbers, a serial number being assigned to each hardware component and software component of the device. Examples include the EMV security standards defined by the financial institutions EUROPAY, MASTERCARD and VISA. A first certification, called “EMV Level 1”, relates to communication with the smart card. A second certification, called “EMV Level 2”, concerns the processing of applications. Each hardware or software evolution of an electronic payment device requires a new certification. The plaintiff posed the problem of accelerating the certification of payment devices electronic, when an evolution concerns insecure software components.
  • a secure software component is a software component that processes confidential data.
  • an electronic payment application may include secure software components and non-secure software components.
  • hybrid devices making it possible to carry out not only electronic payments, but also tasks unrelated to electronic payment (electronic agenda, spreadsheet, word processing, etc.), the applications making it possible to perform these tasks. with no secure software components.
  • a hybrid device can be trained by a personal electronic assistant (known by the acronym PDA in the English literature) equipped with a smart card reader, and used to make electronic payments.
  • PDA personal electronic assistant
  • the invention makes it possible to accelerate the certification of electronic transaction devices when an evolution relates to insecure components.
  • the subject of the invention is an electronic module able to be used in an electronic transaction device, the electronic module comprising at least: - an anti-intrusion device, delimiting a secure area, configured to detect physical intrusions in the secure area, romance
  • a program memory in the secure area, in which is stored at least one secure software component of an electronic transaction application, - a microprocessor, in the secure area, connected to the program memory, intended to execute the component secure software,
  • the electronic transaction application further comprises a non-secure software component intended to operate in interaction by exchanging non-confidential data with the secure software component, said non-confidential data being exchanged via the interface communication, the non-secure software component being intended to be executed by the external processing unit.
  • the module further comprises means for securing software, at the transport layer of the IP model, the communication link intended to be connected to the communication interface, so as to guarantee the confidentiality of the data exchanged on this link with the microprocessor.
  • the electronic module further comprises a smart card interface, connected to the microprocessor so as to transmit requests from the microprocessor to a smart card and responses from the card to the microprocessor during the execution of the secure application.
  • the program memory and the microprocessor are an integral part of a microcontroller.
  • the electronic module further comprises at least one interface for a secure memory card, connected to the secure microcontroller, for storing secret information in a secure memory card.
  • the electronic module further comprises means for authenticating a smart card holder (8, 9), connected to the secure microcontroller, the execution of the secure application implementing a method for authenticating a smart card holder, the authentication method using said means for authenticating a holder.
  • the authentication means comprise input means, connected to the secure microcontroller, the input means being configured to receive secret information entered by the carrier.
  • the authentication means further comprise display means, connected to the secure microcontroller, the display means being configured to allow the display of information for the wearer during activation. implementation of the authentication process.
  • the display means are formed by a screen or a matrix of individually controllable light elements.
  • the authentication means are biometric means making it possible to authenticate a carrier by comparison of physiological characteristics of the carrier with data stored in the chip card.
  • the electronic module further comprises a magnetic stripe card interface, connected to the secure microcontroller, to allow the reading of a magnetic stripe card by the secure microcontroller.
  • the secure microcontroller further comprises a random access memory, in which secret information is intended to be stored.
  • secret information is intended to be stored permanently in the RAM, the microcontroller being intended to be powered permanently, the electronic module comprising means for erasing or altering the content of the RAM. on command.
  • the means for erasing or altering the content of the random access memory comprise a wired logic function of the secure microcontroller.
  • the random access memory is formed by a register.
  • the secure microcontroller is configured so that any intrusion detection activates the command to erase or alter the content of the RAM.
  • the invention has the advantage of making it possible to simply combine secure functions (electronic payment for example) with non-secure functions within the same device. It also allows the use of the same electronic payment module in different electronic payment devices, such as an electronic payment terminal and a confidential code entry box. It makes it possible to add electronic payment functions simply and in a modular way to a personal electronic assistant, while guaranteeing a level of security at least equal to that of conventional electronic payment terminals.
  • FIG. 1 an example of an electronic module according to invention, in the form of a block diagram
  • FIG. 2 an example of an electronic payment terminal integrating a module according to the invention
  • FIG. 3 an example of a confidential code entry unit integrating a module according to the invention
  • Figure 4 an example of the programs stored in a permanent memory of a microcontroller of a module according to the invention
  • - Figure 5 an example of secure microcontroller according to an advantageous embodiment of the invention in which secret information, intended to be erased in the event of an intrusion, is permanently stored in a back-up RAM
  • FIG. 6 an example of di an analogy between an external processing unit and a secure microcontroller during authentication of the wearer.
  • An electronic module 1 comprises hardware and software components.
  • the hardware components can be mounted on an electronic card.
  • the hardware components include for example a secure microcontroller 2 to which other peripheral components are connected.
  • the peripheral components include, for example, a smart card interface 3 and a communication interface 4.
  • the electronic module also comprises an anti-intrusion device 53 (see FIG. 5), delimiting a determined area around the secure components of the electronic module, and in particular around the secure microcontroller 2 and its secure links.
  • the function of the anti-intrusion device is to detect any attempt at physical intrusion into this zone, hereinafter called "secure zone". It can take the form of a flexible circuit, having one or more conductive tracks which meander.
  • the secure microcontroller is a box that includes permanent memory, random access memory, and a microprocessor. Permanent memory allows data to be stored without power supply. Permanent memory is used to store software components, ie applications or parts of applications. An application is software that allows you to perform a particular task. An application can comprise several parts operating in interaction by exchanging data, these parts being executed by different microprocessors. Otherwise, the permanent memory contains at least one secure software component intended to be executed by the microprocessor. The secure software component forms part or all of an electronic transaction application, such as an electronic payment application.
  • the permanent memory can be a non-modifiable memory (known under the name of ROM, acronym for "Read Only Memory”), a reprogrammable memory, or an association of these memories.
  • a reprogrammable memory is a memory that can be erased and reprogrammed, such as a FLASH or EEPROM memory (acronym of the Anglo-Saxon expression “Electrically Erasable Programmable Read Only Memory”).
  • the random access memory makes it possible to store data during the execution of the applications, in particular of the secure software component.
  • RAM is also known by the acronym RAM, from the Anglo-Saxon expression “Ra ⁇ dom Access Memory”.
  • the smart card interface 3 comprises for example a connector intended to establish electrical connections with the contacts of a smart card.
  • the smart card interface 3 includes an antenna formed by a magnetic loop, the antenna being intended to exchange radio frequency information with a smart card without contact.
  • the smart card interface is connected to an input / output port of the secure microcontroller.
  • the communication interface 4 makes it possible to establish communication between the secure microcontroller 2 and the outside, that is to say with processing units external to the electronic module 1.
  • the external processing unit can for example be a microprocessor an electronic assistant or a computer external to the device integrating the module 1.
  • the external processing unit can also be a microprocessor external to the module, but internal to the device integrating the module 1.
  • the external processing unit can be a microprocessor of an electronic payment terminal integrating module 1, this microprocessor being external to module 1.
  • the communication interface is a standardized interface, synchronous or asynchronous, such as SPI (acronym of the English expression -saxon "Serial Peripheral Interface"), USB or UART.
  • the electronic module comprises several different communication interfaces, each one being connected to the secure microcontroller. This allows greater interoperability of the electronic module.
  • the electronic module includes an SPI interface, a USB interface and two UART interfaces.
  • the electronic module. Includes other peripheral components.
  • the electronic module thus comprises one or more interfaces for secure memory cards 10, connected to the secure microcontroller 2, for storing secret information in secure memory cards.
  • the electronic module further comprises means for authenticating a card holder to chip, connected to the secure microcontroller.
  • the execution of the secure software component implements a method for authenticating a smart card holder, the authentication method using said means for authenticating a holder.
  • the authentication means comprise input means 9, connected to the secure microcontroller, the input means being configured to receive secret information entered by the wearer.
  • the secret information can for example be a confidential code, the authentication method being based on the knowledge of this confidential code by the holder.
  • the input means can include a keyboard for example.
  • the authentication means of the electronic module further comprise display means 8, connected to the secure microcontroller.
  • the display means are configured to allow the display of information for the wearer during the implementation of the authentication process.
  • the information displayed may include, for example, an invitation to enter a confidential code. They may also include stars or other symbols, a star being displayed each time a character or number of the confidential code is entered by the holder.
  • the display means can be formed by a screen, such as a liquid crystal screen.
  • the display means can be formed by an array of individually controllable light elements, such as an array of light emitting diodes (LEDs).
  • the display means can be replaced by an interface to an external screen or any other display means.
  • the external screen can be connected via a layer of wires to this interface.
  • the connection between the interface and the external screen must then be secure (anti-intrusion detection), so as to ensure that the information displayed on the screen is indeed that transmitted by the secure microcontroller to the interface.
  • the authentication means are biometric means making it possible to authenticate a wearer by comparison of characteristics physiological of the wearer with data stored in the smart card.
  • the electronic module further comprises a magnetic stripe card interface 7, connected to the secure microcontroller, to allow the reading of a magnetic stripe card by the secure microcontroller.
  • the magnetic stripe interface comprises discrete components, such as a magnetic read head 7a and an integrated circuit 7b, the read head being connected to the integrated circuit, the integrated circuit being connected to the secure microcontroller.
  • the integrated circuit can be a decoder, such as an F2F decoder, that is to say a circuit having the function of shaping the signals coming from the read head before their transmission to the secure microcontroller.
  • the electronic module further comprises one or more memories 5, 6.
  • the memories 5, 6 can be memories of the FLASH or RAM type. The memories are connected to the secure microcontroller.
  • An electronic module according to the invention can be used to perform the electronic payment functions of an electronic payment terminal 20. It is thus possible to certify the electronic module to banking security standards independently of the other hardware components. and or software of the electronic payment terminal. These other hardware components can for example comprise a printer, this printer being intended for printing tickets.
  • the electronic payment terminal 20 can comprise an electronic card 21 and a link 22 connected to the communication interface 4 of the electronic module 1.
  • the electronic card 21 comprises a processing unit independent of the secure microcontroller, the processing unit allowing '' run insecure software components.
  • the processing unit can be a microprocessor for example.
  • Such insecure software components can be part of an electronic payment application, the secure software components of this application being executed by the secure microcontroller, the non-secure software components using the secure software components (see the example in FIG. 6).
  • FIG. 3 An electronic module according to the invention can be used to carry out the electronic payment functions of a box for entering confidential code 30.
  • the box can comprise the electronic module 1 alone.
  • the link 31 between the confidential code box 30 and a point of sale terminal (for printing tickets and recording the transactions) is then connected to the communication interface 4 of the electronic module. Thanks to the invention, it is thus possible to use the same electronic module in an electronic payment terminal and in a confidential code entry box.
  • the communication interface, 4 (see FIG. 1) is intended to be connected to an external processing unit (for example a microprocessor), which is not necessarily secure.
  • This processing unit can be an integral part of the electronic payment device in which the electronic module is placed, as in the example shown in FIG. 2.
  • This processing unit can, on the contrary, be external to the electronic payment device itself. same, as in the example shown in Figure 3.
  • the microcontroller comprises one or more permanent memories 40 in which are stored software components.
  • FIG. 4 represents a practical embodiment in which the microcontroller comprises two permanent memories: a reprogrammable memory of the EEPROM type and a non-modifiable memory (ROM).
  • the different software components can be divided into layers, each layer comprising software components offering services to software components of an upper layer.
  • a first layer 41 the lowest, can be stored in the ROM memory.
  • This first layer includes a software primer, called "boot” in Anglo-Saxon literature. It may also include complementary services, such as cryptography services.
  • a second layer 42 higher than the first, comprises interface drivers, called “drivers” in the Anglo-Saxon literature. For example, it can include an interface driver for the screen 8, for the keyboard 9, and for the memories 5, 6.
  • a third layer 43 superior to the second, comprises a real-time operating system, also called the kernel.
  • the operating system provides the hardware resources (interfaces, memories ...) to the applications of the last layer, and manages the multitasking operation.
  • a fourth layer 44 higher than the third, comprises an application manager. The application manager directs messages from the .interfaces to the appropriate applications in the last layer.
  • the fifth and last layer 45 higher than the fourth, comprises applications or parts of applications intended to perform a particular task. It can include part of an electronic payment application. Reference may be made to FIG. 6 for an example of the operation of such an application. Reference is now made to FIG.
  • the secure microcontroller further comprises a random access memory 52, in which secret information is intended to be stored.
  • the RAM can be formed by a register of the secure microcontroller.
  • the secret information can be cryptographic keys for example. This information is deleted in the event of a power failure.
  • the memory being a random access memory, the erasure or the degradation of its information can be faster.
  • the microcontroller can be powered by a main power supply 55, such as batteries or a transformer from alternating current to low voltage direct current.
  • the electrical supply of the random access memory is saved. In other words, the random access memory is supplied by a reserve of electrical energy 11 making it possible to supply the random access memory when the main supply 55 is cut.
  • the electrical energy reserve 11 can be a lithium battery, a battery or any other appropriate energy reserve.
  • Secret information can thus be permanently stored in the backed up RAM. This secret information will be kept in the event of the main power supply 55 being cut, for example when the batteries are changed.
  • a tilting device 56 which is an integral part of the secure microcontroller, can make it possible to switch between the main power supply 55 and the electrical energy reserve 11, in particular to supply the backup RAM memory of the microcontroller.
  • the energy reserve 11 is an integral part of the electronic module according to the invention. In this way, electronic modules can be stored before being delivered and integrated into electronic payment devices, secret keys already being stored in the backed up RAM of the secure microcontroller.
  • the energy reserve of the electronic module likewise makes it possible to store this terminal without batteries, secret keys being stored in the secure microcontroller.
  • the electronic module includes means for erasing or altering the content of the RAM on command. These means may include a wired logic function 51 of the secure microcontroller.
  • the secure microcontroller is configured so that any intrusion detection activates the command to erase or alter the content of the RAM.
  • FIG. 6 is shown an example of dialogue between two parts of a payment application.
  • the first part is an insecure software component 67, that is to say that does not use any secret data.
  • the non-secure software component is executed by the external processing unit.
  • the non-secure software component allows for example the management of a printer, the management of a modem, the management of radio communication means, etc.
  • the second part is a secure software component 68, executed by the secure microcontroller.
  • the secure software component implements the payment functions themselves.
  • the authentication of the holder of a smart card will now be described.
  • the non-secure component 67 sends a request 61 to the secure component 68, this request being an order to enter a transaction amount.
  • the secure component 68 displays an invitation message on the screen, such as "amount?", And waits for a keyboard entry. After entering an amount, the secure component 68 sends a response to the non-secure component 67, the response containing the amount entered using the keyboard.
  • the non-secure component 67 then sends a request 63 to the secure component 68, this request 63 comprising an order to enter the carrier code, and the amount to be displayed, this amount being the amount transmitted with the response 62.
  • the secure component 68 displays the amount and an invitation message, such as "code:”, and waits for a keyboard entry. After entering the code, the secure component sends a response to the non-secure component 67. This response does not include the code entered, but an indication whether this code has been entered or not. Thus, the non-secure component 67 does not process any secret information.
  • the non-secure component if the code has been entered, then sends a request 65 to the secure component, this request 65 comprising an order of presentation of the entered code to the smart card.
  • the secure component presents the code entered on the card and waits for the card to respond. After receiving the response from the card, the secure component sends a response 66 to to the non-secure component 67, this response indicating whether the code entered is correct or not.
  • a payment application based on the use of a track card can operate on the same principle, that is to say from two software components, one secure and the other not, the secure software component being executed. by the secure microcontroller and exchanging non-secure data with the non-secure software component.
  • the secure software component may in particular carry out card reading operations, inputting the transaction amount, and encrypting a data block of an electronic transaction, said data block containing the information read from the card, the amount of the transaction, the time and date, and of the merchant's identification data (merchant number issued by the bank where his bank account is domiciled).
  • the information leaving the secure microcontroller is only transmitted on the communication interface 4 if the request requesting this information has been previously signed and authenticated by the secure microcontroller.
  • the information transmitted on the interface to the microcontroller can contain a text intended for. be displayed. This text can for example be an invitation to enter a confidential code, such as "Code?". If this message is not signed, no information will be sent back. This avoids any fraudulent use of the electronic module.
  • the information transmitted on the interface to the microcontroller can contain a message code, this message code corresponding to a message to be displayed. For example, a table of predetermined messages can be stored in a memory of the secure microcontroller. If the message code is of the type an invitation to enter confidential information, then no information is transmitted in return.
  • the message code is of the type an invitation to enter the amount of the transaction
  • the information entered following the display of this message can be transmitted in return.
  • the nature (confidential or non-confidential) of the information entered it is possible to determine the nature (confidential or non-confidential) of the information entered.
  • no secret information confidential code, biometric information, etc.
  • the module according to the invention can be used for applications other than electronic payment. It generally applies to electronic transactions requiring a certain level of security. Mention may in particular be made of access control with badges, encryption of documents, certification of electronic data, electronic signature, etc.
  • the communication link connected to the communication interface 4 can be secure in software, at the transport layer of the IP model (acronym for the English expression "Internet Protocol").
  • IP model for the English expression "Internet Protocol”
  • a merchant using a terminal incorporating such a module can thus exchange data with a bank via a secure Internet link.
  • the electronic module includes secret keys and programs, stored in a memory located in the secure area.
  • the programs allow you to implement encryption algorithms, such as RSA, SHA, DIFFIE-HELLMAN, MD5. They are used to secure a communication link of the Ethernet type in terms of confidentiality of the information exchanged on this link.
  • the Ethernet type link connects the communication interface 4 (USB, SPI, UART ...) of the secure module to an IP gateway.
  • the IP gateway can be implemented by means of a box, such as the MISTRAL box from the company THALES E-SECURITY or a box from the company CISCO.
  • programs can communicate by implementing a protocol of the SSL type, acronym of the Anglo-Saxon expression “Secure Socket Layer”.
  • an electronic transaction software component of the secure module can communicate with a software component of a box. remote to which the module is connected, this communication implementing an application-to-application security protocol of the SSL type.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

La présente invention appartient au domaine des transactions électronique, et notamment au domaine du paiement électronique réalisé au moyen d'une carte à microprocesseur, encore appelée carte à puce. Elle concerne un module électronique (1) apte à être utilisé dans un dispositif de transaction électronique. Le module comprend au moins - un dispositif anti-intrusion, délimitant une zone sécurisée, configuré pour détecter les intrusions physiques dans la zone sécurisée, - une mémoire de programme (6), dans la zone sécurisée, dans laquelle est mémorisée au moins un composant logiciel sécurisé d'une application de transaction électronique, - un microprocesseur (2), dans la zone sécurisée, relié à la mémoire de programme, destiné à exécuter le composant logiciel sécurisé, - une interface de communication (4) reliée au microprocesseur, l'interface de communication étant destinée à relier le microprocesseur à une unité de traitement extérieure au module de manière à échanger des données avec le microprocesseur. Un module électronique selon l'invention peut être utilisé pour réaliser les fonctions monétiques d'un terminal de paiement électronique. On peut ainsi certifier le module électronique aux normes de sécurité bancaires indépendamment des autres composants matériels et/ou logiciels du terminal de paiement électronique.

Description

Module électronique notamment pour terminal de paiement électroniαue
La présente invention appartient au domaine des transactions électroniques. Elle concerne un module électronique apte à être utilisé par exemple dans un dispositif de paiement électronique. Un dispositif de paiement électronique est un dispositif permettant de réaliser des paiements électroniques. Les paiements électroniques sont souvent réalisés en utilisant une carte bancaire ou de crédit, telle qu'une carte à puce (connue encore sous le nom de carte à microprocesseur) ou une carte à piste magnétique. Un dispositif de paiement électronique comporte généralement des moyens de lecture d'une carte à puce avec ou sans contact, un microprocesseur, un clavier notamment pour la saisie d'un code confidentiel, et un écran de visualisation. Les terminaux de paiement électronique (TPE) sont des dispositifs de paiement électronique qui permettent de réaliser un paiement électronique complet jusqu'à l'impression d'un ticket. Il existe des dispositifs de paiement électroniques plus simples, appelés boîtiers de saisie de code confidentiel (connus sous le nom de "PIN- Pad" dans la littérature anglo-saxonne), qui permettent uniquement d'authentifier le porteur d'une carte à puce lors d'un paiement électronique. Quoiqu'il en soit, les dispositifs de paiement électroniques sont soumis à des normes de sécurité bancaire. Les dispositifs de paiement électronique doivent être certifiés par des organismes reconnus pour prouver le respect de ces normes de sécurité bancaire. Une certification se traduit en pratique par l'attribution de numéros de série, un numéro de série étant attribué à chaque composant matériel et composant logiciel du dispositif. On peut citer par exemple les normes de sécurité EMV définies par les institutions financières EUROPAY, MASTERCARD et VISA. Une première certification, appelée "EMV Level 1", concerne la communication avec la carte à puce. Une seconde certification, appelée "EMV Level 2", concerne le traitement des applications. Chaque évolution matérielle ou logicielle d'un dispositif de paiement électronique nécessite une nouvelle certification. La demanderesse s'est posé le problème d'accélérer la certification de dispositifs de paiement électronique, lorsqu'une évolution concerne des composants logiciels non sécurisés. Un composant logiciel sécurisé est un composant logiciel qui traite des données confidentielles. En effet, une application de paiement électronique peut comprendre des composants logiciels sécurisés et des composants logiciels non sécurisés. D'autre part, il existe des dispositifs hybrides, permettant de réaliser non seulement des paiements électroniques, mais aussi des tâches sans rapport avec la monétique (agenda électronique, tableur, traitement de texte...), les applications permettant de réaliser ces tâches ne comportant aucun composant logiciel sécurisé. On peut citer par exemple la demande de brevet français n° 2 812744 déposée le 4 août 2000 qui décrit des exemples de dispositifs hybrides. Un dispositif hybride peut être formé par un assistant électronique personnel (connu sous l'acronyme PDA dans la littérature anglo-saxonne) équipé d'un lecteur de carte à puce, et utilisé pour réaliser des paiements électroniques. L'invention permet d'accélérer la certification de dispositifs de transaction électronique lorsqu'une évolution concerne des composants non sécurisés. A cet effet, l'invention a pour objet un module électronique apte à être utilisé dans un dispositif de transaction électronique, le module électronique comprenant au moins : - un dispositif anti-intrusion, délimitant une zone sécurisée, configuré pour , détecter les intrusions physiques dans la zone sécurisée, „
- une mémoire de programme, dans la zone sécurisée, dans laquelle est mémorisée au moins un composant logiciel sécurisé d'une application de transaction électronique, - un microprocesseur, dans la zone sécurisée, relié à la mémoire de programme, destiné à exécuter le composant logiciel sécurisé,
- une interface de communication reliée au microprocesseur, l'interface de communication étant destinée à relier le microprocesseur à une unité de traitement extérieure au module de manière à échanger des données avec le microprocesseur. Selon un mode de réalisation avantageux, l'application de transaction électronique comprend en outre un composant logiciel non sécurisé destiné à fonctionner en interaction en échangeant des données non confidentielles avec le composant logiciel sécurisé, lesdites données non confidentielles étant échangées par l'intermédiaire de l'interface de communication, le composant logiciel non sécurisé étant destiné à être exécuté par l'unité de traitement externe. Selon un mode de réalisation avantageux, le module comprend en outre des moyens pour sécuriser de façon logicielle, au niveau de la couche transport du modèle IP, le lien de communication destiné à être relié à l'interface de communication, de manière à garantir la confidentialité des données échangées sur ce lien avec le microprocesseur. Selon un mode de réalisation avantageux, le module électronique comprend en outre une interface carte à puce, reliée au microprocesseur de manière à transmettre des requêtes du microprocesseur vers une carte à puce et des réponses de la carte vers le microprocesseur lors de l'exécution de l'application sécurisée. Selon un mode de réalisation avantageux, la mémoire de programme et le microprocesseur font partie intégrante d'un microcontrôleur. Selon un mode de réalisation avantageux, le module électronique comprend en outre au moins une interface pour carte à mémoire sécurisée, reliée au microcontrôleur sécurisé, pour mémoriser des informations secrètes dans une carte à mémoire sécurisée. Selon un mode de réalisation avantageux, le module électronique comprend en outre des moyens d'authentification d'un porteur de carte à puce (8, 9), reliés au microcontrôleur sécurisé, l'exécution de l'application sécurisée mettant en œuvre un procédé d'authentification d'un porteur de carte à puce, le procédé d'authentification utilisant lesdits moyens d'authentification d'un porteur. Selon un mode de réalisation avantageux, les moyens d'authentification comprennent des moyens de saisie, reliés au microcontrôleur sécurisé, les moyens de saisie étant configurés pour recevoir des informations secrètes saisies par le porteur. Selon un mode de réalisation avantageux, les moyens d'authentification comprennent en outre des moyens de visualisation, reliés au microcontrôleur sécurisé, les moyens de visualisation étant configurés pour permettre l'affichage d'informations à l'attention du porteur lors de la mise en œuvre du procédé d'authentification. Selon un mode de réalisation avantageux, les moyens de visualisation sont formés par un écran ou une matrice d'éléments lumineux commandables individuellement. Selon un mode de réalisation avantageux, les moyens d'authentification sont des moyens biométriques permettant d'authentifier un porteur par comparaison de caractéristiques physiologiques du porteur avec des données mémorisées dans la carte à puce. Selon un mode de réalisation avantageux, le module électronique comprend en outre une interface carte à piste magnétique, reliée au microcontrôleur sécurisé, pour permettre la lecture d'une carte à piste magnétique par le microcontrôleur sécurisé. Selon un mode de réalisation avantageux, le microcontrôleur sécurisé comporte en outre une mémoire vive, dans laquelle des informations secrètes sont destinées à être mémorisées. Selon un mode de réalisation avantageux, des informations secrètes sont destinées à être mémorisées de façon permanente dans la mémoire vive, le microcontrôleur étant destiné à être alimenté de façon permanente, le module électronique comportant des moyens pour effacer ou altérer le contenu de la mémoire vive sur commande. Selon un mode de réalisation avantageux, les moyens pour effacer ou altérer le contenu de la mémoire vive comprennent une fonction logique câblée du microcontrôleur sécurisé. Selon un mode de réalisation avantageux, la mémoire vive est formée par un registre. Selon un mode de réalisation avantageux, le microcontrôleur sécurisé est configuré de sorte que toute détection d'intrusion active la commande pour effacer ou altérer le contenu de la mémoire vive. L'invention présente l'avantage de permettre de combiner simplement des fonctions sécurisées (paiement électronique par exemple) avec des fonctions non sécurisées au sein d'un même dispositif. Elle permet en outre l'utilisation d'un même module de paiement électronique dans différents dispositifs de paiements électroniques, tels qu'un terminal de paiement électronique et un boîtier de saisie de code confidentiel. Elle permet d'ajouter simplement et de façon modulaire des fonctions monétiques à un assistant électronique personnel, tout en garantissant un niveau de sécurité au moins égal à celui des terminaux de paiement électroniques conventionnels. D'autres caractéristiques et avantages de l'invention apparaîtront à la lecture de la description détaillée suivante présentée à titre d'illustration non limitative et faite en référence aux figures annexées, lesquelles représentent : la figure 1 , un exemple de module électronique selon l'invention, sous la forme d'un schéma synoptique, la figure 2, un exemple de terminal de paiement électronique intégrant un module selon l'invention, la figure 3, un exemple de boîtier de saisie de code confidentiel intégrant un module selon l'invention, la figure 4, un exemple des programmes mémorisés dans une mémoire permanente d'un microcontrôleur d'un module selon l'invention, - la figure 5, un exemple de microcontrôleur sécurisé selon un mode de réalisation avantageux de l'invention dans lequel des informations secrètes, destinées à être effacées en cas d'intrusion, sont mémorisées de façon permanente dans une mémoire vive secourue, la figure 6, un exemple de dialogue entre une unité de traitement externe et un microcontrôleur sécurisé lors d'une authentification du porteur.
On se réfère maintenant à la figure 1. Un module électronique 1 selon l'invention comporte des composants matériels et logiciels. Les composants matériels peuvent être montés sur une carte électronique. Les composants matériels comprennent par exemple un microcontrôleur sécurisé 2 auquel sont reliés d'autres composants périphériques. Les composants périphériques comprennent par exemple une interface carte à puce 3 et une interface de communication 4. Le module électronique comprend en outre un dispositif anti- intrusion 53 (voir figure 5), délimitant une zone déterminée autour des composants sécurisés du module électronique, et en particulier autour du microcontrôleur sécurisé 2 et de ses liaisons sécurisées. Le dispositif antiintrusion a pour fonction de détecter toute tentative d'intrusion physique dans cette zone, appelée par la suite "zone sécurisée". Il peut prendre la forme d'un circuit souple, présentant une ou plusieurs pistes conductrices qui serpentent. Ce circuit souple enveloppe les composants à protéger (zone sécurisée) du module électronique. La rupture ou la modification électrique (mise à un potentiel fixe, court-circuit...) d'une piste permet de détecter une intrusion. Le microcontrôleur sécurisé est un boîtier qui comprend une mémoire permanente, une mémoire vive, et un microprocesseur. La mémoire permanente permet de conserver des données sans alimentation électrique. La mémoire permanente est destinée à mémoriser des composants logiciels, c'est à dire des applications ou des parties d'applications. Une application est un logiciel permettant de réaliser une tâche particulière. Une application peut comprendre plusieurs parties fonctionnant en interaction en échangeant des données, ces parties étant exécutées par des microprocesseurs différents. Quoiqu'il en soit, la mémoire permanent contient au moins un composant logiciel sécurisé destiné à être exécuté par le microprocesseur. Le composant logiciel sécurisé forme une partie ou l'intégralité d'une application de transaction électronique, telle qu'une application de paiement électronique. La mémoire permanente peut être une mémoire non modifiable (connue sous le nom de ROM, acronyme pour "Read Only Memory"), une mémoire reprogrammable, ou une association de ces mémoires. Une mémoire reprogrammable est une mémoire pouvant être effacée et reprogrammée, telle qu'une mémoire FLASH ou EEPROM (acronyme de l'expression anglo-saxonne "Electrically Erasable Programmable Read Only Memory"). La mémoire vive permet de stocker des données pendant l'exécution des applications, notamment du composant logiciel sécurisé. La mémoire vive est connue encore sous l'acronyme RAM, issu de l'expression anglo-saxonne "Raπdom Access Memory". L'interface carte à puce 3 comporte par exemple un connecteur destiné à établir des liaisons électriques avec les contacts d'une carte à puce. De manière alternative, l'interface carte à puce 3 comporte une antenne formée par une boucle magnétique, l'antenne étant destinée à échanger des informations radio-fréquences avec une carte à puce sans contact. Quoiqu'il en soit, l'interface carte à puce est reliée à un port d'entrée/sortie du microcontrôleur sécurisé. L'interface de communication 4 permet d'établir une communication entre le microcontrôleur sécurisé 2 et l'extérieur, c'est à dire avec des unités de traitements externes au module électronique 1. L'unité de traitement externe peut être par exemple un microprocesseur d'un assistant électronique ou d'un ordinateur externe au dispositif intégrant le module 1. L'unité de traitement externe peut aussi être un microprocesseur externe au module, mais interne au dispositif intégrant le module 1. Ainsi, l'unité de traitement externe peut être un microprocesseur d'un terminal de paiement électronique intégrant le module 1, ce microprocesseur étant externe au module 1. Avantageusement, l'interface de communication est une interface normalisée, synchrone ou asynchrone, telle que SPI (acronyme de l'expression anglo-saxonne "Sériai Peripheral Interface"), USB ou UART. De manière avantageuse, le module électronique comporte plusieurs interfaces de communications différentes, chacune étant reliée au microcontrôleur sécurisé. Ceci permet une plus grande inter-opérabiiité du module électronique. Par exemple le module électronique comporte une interface SPI, une interface USB et deux interfaces UART. Avantageusement, le module électronique ..comprend d'autres composants périphériques. Selon un mode de réalisation avantageux, le module électronique comprend ainsi une ou plusieurs interfaces pour carte à mémoire sécurisées 10, reliées au microcontrôleur sécurisé 2, pour mémoriser des informations secrètes dans des cartes à mémoires sécurisées. Ceci permet de disposer de mémoires additionnelles par rapport à la mémoire interne (permanente ou vive) du microcontrôleur sécurisé, ces mémoires additionnelles étant elles-mêmes sécurisées. Les interfaces pour cartes à mémoires sécurisées peuvent être au nombre de quatre par exemple. Les cartes à mémoire sécurisées peuvent être des cartes SAM (acronyme de l'expression anglo-saxonne "Secure Access Module"). Les informations secrètes qui y sont mémorisées peuvent être des clefs secrètes d'un acquéreur bancaire, tel que VISA, MASTERCARD ou EUROPAY. Selon un mode de réalisation avantageux, le module électronique comprend en outre des moyens d'authentification d'un porteur de carte à puce, reliés au microcontrôleur sécurisé. L'exécution du composant logiciel sécurisé met en œuvre un procédé d'authentification d'un porteur de carte à puce, le procédé d'authentification utilisant lesdits moyens d'authentification d'un porteur. Selon un premier mode de réalisation avantageux, les moyens d'authentifications comprennent des moyens de saisie 9, reliés au microcontrôleur sécurisé, les moyens de saisie étant configurés pour recevoir des informations secrètes saisies par le porteur. Les informations secrètes peuvent être par exemple un code confidentiel, le procédé d'authentification étant basé sur la connaissance de ce code confidentiel par le porteur. Les moyens de saisies peuvent comprendre un clavier par exemple. Dans un mode de réalisation pratique, les moyens d'authentification du module électronique comprennent en outre des moyens de visualisation 8, reliés au microcontrôleur sécurisé. Les moyens de visualisation sont configurés pour permettre l'affichage d'informations à l'attention du porteur lors de la mise en œuvre du procédé d'authentification. Les informations affichées peuvent comprendre par exemple une invitation à saisir un code confidentiel. Elles peuvent comprendre en outre des étoiles ou autres symboles, une étoile étant affichée à chaque fois qu'un caractère ou chiffre du code confidentiel est saisi par le porteur. Les moyens de visualisation peuvent être formés par un écran, tel qu'un écran à cristaux liquides. De manière alternative, les moyens de visualisation peuvent être formés par une matrice d'éléments lumineux commandables individuellement, telle qu'une matrice de diodes électroluminescentes (DEL). Dans un autre mode de réalisation pratique, les moyens de visualisations peuvent être remplacés par une interface vers un écran externe ou tout autre moyen de visualisation. L'écran externe peut être relié par l'intermédiaire d'une nappe de fils à cette interface. La liaison entre l'interface et l'écran externe doit alors être sécurisée (détection antiintrusion), de manière à s'assurer que les informations affichées à l'écran sont bien celles transmises par le microcontrôleur sécurisé à l'interface. Selon un second mode de réalisation avantageux (non représenté), les moyens d'authentifications sont des moyens biométriques permettant d'authentifier un porteur par comparaison de caractéristiques physiologiques du porteur avec des données mémorisées dans la carte à puce. Selon un mode de réalisation avantageux indépendant des précédents, le module électronique comprend en outre une interface carte à piste magnétique 7, reliée au microcontrôleur sécurisé, pour permettre la lecture d'une carte à piste magnétique par le microcontrôleur sécurisé. L'interface à piste magnétique comprend des composants discrets, tels que une tête de lecture magnétique 7a et un circuit intégré 7b, la tête de lecture étant reliée au circuit intégré, le circuit intégré étant relié au microcontrôleur sécurisé. Le circuit intégré peut être un décodeur, tel qu'un décodeur F2F, c'est à dire un circuit ayant pour fonction de mettre en forme les signaux issus de la tête de lecture avant leur transmission au microcontrôleur sécurisé. Selon un mode de réalisation avantageux, le module électronique comprend en outre une ou plusieurs mémoires 5, 6. Les mémoires 5, 6 peuvent être des mémoires de type FLASH ou RAM. Les mémoires sont reliées au microcontrôleur sécurisé. Elles permettent d'augmenter la capacité mémoire du microcontrôleur sécurisé. Elles peuvent être utilisées par des composants logiciels exécutés par le microcontrôleur sécurisé, ces composants logiciels n'utilisant pas de d'informations secrètes ou utilisant des informations secrètes cryptées. On se réfère maintenant à la figure 2. Un module électronique selon l'invention peut être utilisé pour réaliser les fonctions monétiques d'un terminal de paiement électronique 20. On peut ainsi certifier le module électronique aux normes de sécurité bancaires indépendamment des autres composants matériels et ou logiciels du terminal de paiement électronique. Ces autres composants matériels peuvent comprendre par exemple une imprimante, cette imprimante étant destinée à imprimer des tickets. Le terminal de paiement électronique 20 peut comprendre une carte électronique 21 et une liaison 22 reliée à l'interface de communication 4 du module électronique 1. La carte électronique 21 comprend une unité de traitement indépendante du microcontrôleur sécurisé, l'unité de traitement permettant d'exécuter des composants logiciels non sécurisés. L'unité de traitement peut être un microprocesseur par exemple. De tels composants logiciels non sécurisés peuvent faire partie d'une application monétique, les composants logiciels sécurisés de cette application étant exécutés par le microcontrôleur sécurisé, les composants logiciels non sécurisés faisant appel aux composants logiciels sécurisés (voir l'exemple figure 6). On se réfère maintenant à la figure 3. Un module électronique selon l'invention peut être utilisé pour réaliser les fonctions monétiques d'un boîtier de saisie de code confidentiel 30. Le boîtier peut comprendre le module électronique 1 seul. La liaison 31 entre le boîtier code confidentiel 30 et un terminal point de vente (pour imprimer des tickets et enregistrer les transactions) est alors reliée à l'interface de communication 4 du module électronique. On peut ainsi grâce à l'invention utiliser un même module électronique dans un terminal de paiement électronique et dans un boîtier de saisie de code confidentiel. On peut ainsi réaliser une certification du module électronique, cette certification bénéficiant à la fois au terminal de paiement électronique et au boîtier de saisie de code confidentiel. Il est en outre possible grâce à l'invention de développer une gamme de produits monétiques, comprenant par exemple des assistants électroniques personnels intégrant des fonctions monétiques, cette gamme de produits ayant un cœur monétique commun, formé par le module électronique selon l'invention. L'interface de communication ,4 (voir la figure 1) est destinée à être reliée à une unité de traitement (par exemple un microprocesseur) externe, non nécessairement sécurisée. Cette unité de traitement peut faire partie intégrante du dispositif de paiement électronique dans lequel est placé le module électronique, comme dans l'exemple représenté à la figure 2. Cette unité de traitement peut, au contraire, être externe au dispositif de paiement électronique lui-même, comme dans l'exemple représenté à la figure 3. On se réfère maintenant à la figure 4. Le microcontrôleur comprend une ou plusieurs mémoires permanentes 40 dans lesquelles sont mémorisés des composants logiciels. La figure 4 représente un mode de réalisation pratique dans lequel le microcontrôleur comprend deux mémoires permanentes : une mémoire reprogrammable de type EEPROM et une mémoire non modifiable (ROM). Les différents composants logiciels peuvent être répartis en couches, chaque couche comprenant des composants logiciels offrant des services à des composants logiciels d'une couche supérieure. Une première couche 41 , la plus basse, peut être mémorisée dans la mémoire ROM. Cette première couche comprend une amorce logicielle, appelée "boot" dans la littérature anglo-saxonne. Elle peut comprendre en outre de services complémentaires, tels que des services de cryptographie. Une seconde couche 42, supérieure à la première, comprend des pilotes d'interfaces, appelés "drivers" dans la littérature anglo-saxonne. Par exemple, elle peut comprendre un pilote d'interface pour l'écran 8, pour le clavier 9, et pour les mémoires 5, 6. Cette seconde couche, ainsi que les autres couches supérieures, peuvent être mémorisées dans la mémoire EEPROM, ce qui permet le cas échéant de modifier le contenu lors d'évolutions logicielles. Une troisième couche 43, supérieure à la seconde, comprend un système d'exploitation temps réel, appelé encore noyau. Le système d'exploitation fournit les ressources matérielles (interfaces, mémoires...) aux applications de la dernière couche, et gère le fonctionnement multi-tâches. Une quatrième couche 44, supérieure à la troisième, comprend un gestionnaire d'applications. Le gestionnaire d'application dirige les messages provenant des .interfaces vers les applications appropriées de la dernière, couche. La cinquième et dernière couche 45, supérieure à la quatrième, comprend des applications ou des parties d'applications destinées à exécuter une tâche particulière. Elle peut comprendre une partie d'une application de paiement électronique. On pourra se référer à la figure 6 pour un exemple de fonctionnement d'une telle application. On se réfère maintenant à la figure 5. Selon un mode de réalisation avantageux, le microcontrôleur sécurisé comporte en outre une mémoire vive 52, dans laquelle des informations secrètes sont destinées à être mémorisées. La mémoire vive peut être formée par un registre du microcontrôleur sécurisé. Les informations secrètes peuvent être des clefs cryptographiques par exemple. En cas de coupure d'alimentation, ces informations sont effacées. De plus, la mémoire étant une mémoire vive, l'effacement ou la dégradation de ses informations peut être plus rapide. Le microcontrôleur peut être alimenté par une alimentation électrique principale 55, telle que des batteries ou un transformateur de courant alternatif en courant continu basse tension. Selon un mode de réalisation avantageux, l'alimentation électrique de la mémoire vive est secourue. En d'autres termes, la mémoire vive est alimentée par une réserve d'énergie électrique 11 permettant d'alimenter la mémoire vive lorsque l'alimentation principale 55 est coupée. La réserve d'énergie électrique 11 peut être une pile au Lithium, une batterie ou toute autre réserve d'énergie appropriée. Des informations secrètes peuvent ainsi être mémorisées de façon permanente dans la mémoire vive secourue. Ces informations secrètes seront conservées en cas de coupure de l'alimentation électrique principale 55, lors d'un changement de batteries par exemple. Un dispositif de basculement 56, faisant partie intégrante du microcontrôleur sécurisé, peut permettre de réaliser une commutation entre l'alimentation principale 55 et la réserve d'énergie électrique 11, pour alimenter notamment la mémoire vive secourue du microcontrôleur. Selon un mode de réalisation avantageux, la réserve d'énergie 11 fait partie intégrante du module électronique selon l'invention. De cette manière, des modules électroniques peuvent être stockés avant d'être livrés et intégrés à des dispositifs de paiements électroniques, des clefs secrètes étant déjà mémorisées dans la mémoire vive secourue du microcontrôleur sécurisé. Lorsqu'un module électronique est intégré à un terminal de paiement électronique, la réserve d'énergie du module électronique permet de la même façon de stocker ce terminal sans batteries, des clefs secrètes étant mémorisées dans le microcontrôleur sécurisé. De plus, le module électronique comporte des moyens pour effacer ou altérer le contenu de la mémoire vive sur commande. Ces moyens peuvent comprendre une fonction logique câblée 51 du microcontrôleur sécurisé. Afin de répondre à des normes de sécurités imposant de détruire toute information secrète en cas d'intrusion, le microcontrôleur sécurisé est configuré de sorte que toute détection d'intrusion active la commande pour effacer ou altérer le contenu de la mémoire vive. Si plusieurs dispositifs anti-intrusion 53 sont utilisés, on peut combiner les signaux issus de ces dispositifs à l'entrée d'une fonction logique 54 du microcontrôleur sécurisé, cette fonction logique délivrant un signal de sortie unique après un traitement logique des signaux d'entrée, le signal de sortie formant la commande pour effacer ou altérer le contenu de la mémoire vive. On se réfère maintenant à la figure 6 sur laquelle est représenté un exemple de dialogue entre deux parties d'une application de paiement. La première partie est un composant logiciel non sécurisé 67, c'est à dire qui n'utilise aucune donnée secrète. Le composant logiciel non sécurisé est exécuté par l'unité de traitement externe. Le composant logiciel non sécurisé permet par exemple la gestion d'une imprimante, la gestion d'un modem, la gestion de moyens de communication radio... La seconde partie est un composant logiciel sécurisé 68, exécuté par le microcontrôleur sécurisé. Le composant logiciel sécurisé met en œuvre les fonctions de paiement elles-mêmes. On décrit maintenant Pauthentification du porteur d'une carte à puce. Le composant non sécurisé 67 envoie une requête 61 au composant sécurisé 68, cette requête étant un ordre de saisie d'un montant de transaction. Le composant sécurisé 68 affiche à l'écran un message d'invitation, tel que "montant ?", et attend une saisie au clavier. Après la saisie d'un montant, le composant sécurisé 68 envoie une réponse au composant non sécurisé 67, la réponse contenant le montant saisi au clavier. Le composant non sécurisé 67 envoie ensuite une requête 63 au composant sécurisé 68, cette requête 63 comprenant un ordre de saisie du code porteur, et le montant à afficher, ce montant étant le montant transmis avec la réponse 62. Le composant sécurisé 68 affiche le montant et un message d'invitation, tel que "code :", et attend une saisie au clavier. Après la saisie du code, le composant sécurisé envoie une réponse au composant non sécurisé 67. Cette réponse ne comporte pas le code saisi, mais une indication si ce code a été saisi ou non. Ainsi, le composant non sécurisé 67 ne traite aucune information secrète. Le composant non sécurisé, si le code a été saisi, envoie ensuite une requête 65 au composant sécurisé, cette requête 65 comprenant un ordre de présentation du code saisi à la carte à puce. Le composant sécurisé présente le code saisi à la carte et attend la réponse de la carte. Après avoir reçu la réponse de la carte, le composant sécurisé envoie une réponse 66 à au composant non sécurisé 67, cette réponse indiquant si le code saisi est correct ou non. Une application de paiement basée sur l'utilisation d'une carte à piste peut fonctionner selon le même principe, c'est à dire à partir de deux composants logiciels, l'un sécurisé et l'autre non, le composant logiciel sécurisé étant exécuté par le microcontrôleur sécurisé et échangeant des données non sécurisées avec le composant logiciel non sécurisé. Le composant logiciel sécurisé pourra notamment effectuer des opérations lecture de carte, de saisie du montant de la transaction, et de chiffrement d'un bloc de données d'une transaction électronique, ledit bloc de données contenant les informations lues sur la carte, le montant de la transaction, l'heure et la date, et des données d'identification du commerçant (n° de commerçant délivré par la banque où son compte bancaire est domicilié). Selon un mode de réalisation avantageux, les informations sortant du microcontrôleur sécurisé ne sont transmises sur l'interface de communication 4 que si la requête demandant ces informations a été au préalable signé et authentifié par le microcontrôleur sécurisé. Tout message non authentifié, mal ou non signé, ne fait sortir aucune information saisie en clair, ni à l'écran, ni sur un canal de communication. En effet, les informations transmises sur l'interface vers le microcontrôleur peuvent contenir un texte destiné à. être affiché. Ce texte peut être par exemple une invitation à saisir un code confidentiel, telle que "Code ?". Si ce message n'est pas signé, aucune information ne sera transmise en retour. On évite ainsi toute utilisation frauduleuse du module électronique. Selon un autre mode de réalisation, les informations transmises sur l'interface vers le micracontrôleur peuvent contenir un code de message, ce code de message correspondant à un message à afficher. Par exemple, une table de messages prédéterminés peut être mémorisée dans une mémoire du microcontrôleur sécurisé. Si le code de message est du type une invitation à saisir une information confidentielle, alors aucune information n'est transmise en retour. Par contre, si le code de message est du type une invitation à saisir le montant de la transaction, alors les informations saisies suite à l'affichage de ce message peuvent être transmises en retour. Dans ce mode de réalisation particulier, il n'est pas nécessaire de signer ce type d'information. En effet, en fonction du code du message à afficher, il est possible de déterminer la nature (confidentielle ou non confidentielle) des informations saisies. Ainsi, si une application non autorisée est exécutée par l'unité de traitement externe, aucune information secrète (code confidentiel, information biométrique...) ne pourra être récupérée. Le module selon l'invention peut être utilisé pour d'autres applications que le paiement électronique. Il s'applique de façon générale aux transactions électroniques nécessitant un certain niveau de sécurité. On peut citer notamment le contrôle d'accès avec des badges, le chiffrement de documents, la certification de données électroniques, la signature électronique... Selon un mode de réalisation avantageux, le lien de communication relié à l'interface de communication 4 peut être sécurisé de façon logicielle, au niveau de la couche transport du modèle IP (acronyme de l'expression anglo-saxonne "Internet Protocol"). Ainsi, un commerçant utilisant un terminal intégrant un tel module peut ainsi échanger des données avec une banque par une liaison Internet sécurisée. A cet effet, le module électronique comprend des clefs secrètes et des programmes, mémorisés dans une mémoire située dans la zone sécurisée. Les programmes permettent de mettre en œuvre des algorithmes de chiffrement, tels que RSA, SHA, DIFFIE-HELLMAN, MD5. Ils sont utilisés pour sécuriser un lien de communication du type Ethernet en terme de confidentialité des informations échangées sur ce lien. Le lien du type Ethernet relie l'interface de communication 4 (USB, SPI, UART...) du module sécurisé à une passerelle IP. La passerelle IP peut être réalisée au moyen d'un boîtier, tel que le boîtier MISTRAL de la société THALES E-SECURITY ou un boîtier de la société CISCO. On obtient ainsi un lien dit "IP sec", abréviation de l'expression anglo-saxonne "Internet Protocol secured". De part et d'autre du lien de communication sécurisé, des programmes peuvent communiquer en mettant en œuvre un protocole du type SSL, acronyme de l'expression anglo-saxonne "Secure Socket Layer". En d'autres termes, un composant logiciel de transaction électronique du module sécurisé peut communiquer avec un composant logiciel d'un boîtier distant auquel est relié le module, cette communication mettant en œuvre un protocole de sécurisation d'application à application du type SSL.

Claims

REVENDICATIONS
1. Module électronique (1 ) apte à être utilisé dans un dispositif de transaction électronique, caractérisé en ce que le module électronique comprend au moins :
- un dispositif anti-intrusion, délimitant une zone sécurisée, configuré pour détecter les intrusions physiques dans la zone sécurisée,
- une mémoire de programme (6), dans la zone sécurisée, dans laquelle est mémorisée au moins un composant logiciel sécurisé d'une application de transaction électronique,
- un microprocesseur (2), dans la zone sécurisée, relié à la mémoire de programme, destiné à exécuter le composant logiciel sécurisé,
- une interface de communication (4) reliée au microprocesseur, l'interface de communication étant destinée à relier le microprocesseur à une unité de traitement extérieure au module de manière à échanger des données avec le microprocesseur.
2. Module électronique selon la revendication 1 dans lequel l'application de transaction électronique comprend en outre un composant logiciel non sécurisé destiné à fonctionner en interaction en échangeant des données non confidentielles avec le composant logiciel sécurisé, lesdites données non confidentielles étant échangées par l'intermédiaire de l'interface de communication (4), le composant logiciel non sécurisé étant destiné à être exécuté par l'unité de traitement externe.
3. Module électronique selon la revendication 1 comprenant des moyens pour sécuriser de façon logicielle, au niveau de la couche transport du modèle IP, le lien de communication destiné à être relié à l'interface de communication (4), de manière à garantir la confidentialité des données échangées sur ce lien avec le microprocesseur (2).
4. Module selon la revendication 1 comprenant en outre une interface carte à puce (3), reliée au microprocesseur de manière à transmettre des requêtes du microprocesseur vers une carte à puce et des réponses de la carte vers le microprocesseur lors de l'exécution de l'application sécurisée.
5. Module selon la revendication 1 dans lequel la mémoire de programme et le microprocesseur font partie intégrante d'un microcontrôleur.
6. Module selon la revendication 1 comprenant en outre au moins une interface pour carte à mémoire sécurisée (10), reliée au microcontrôleur sécurisé (2), pour mémoriser des informations secrètes dans une carte à mémoire sécurisée.
7. Module selon la revendication 1 comprenant en outre des moyens d'authentification d'un porteur de carte à puce (8, 9), reliés au microcontrôleur sécurisé, l'exécution de l'application sécurisée mettant en œuvre un procédé d'authentification d'un porteur de carte à puce, le procédé d'authentification utilisant lesdits moyens d'authentification d'un porteur.
8. Module selon la revendication 7, dans lequel les moyens d'authentification comprennent des moyens de saisie (9), reliés au microcontrôleur sécurisé, les moyens de saisie étant configurés pour recevoir des informations secrètes saisies par le porteur.
9. Module selon la revendication 8 dans lequel les moyens d'authentification comprennent en outre des moyens de visualisation (8), reliés au microcontrôleur sécurisé, les moyens de visualisation étant configurés pour permettre l'affichage d'informations à l'attention du porteur lors de la mise en œuvre du procédé d'authentification.
10. Module selon la revendication 9 dans lequel les moyens de visualisation sont formés par un écran ou une matrice d'éléments lumineux commandables individuellement.
11. Module selon la revendication 7, dans lequel les moyens d'authentification sont des moyens biométriques permettant d'authentifier un porteur par comparaison de caractéristiques physiologiques du porteur avec des données mémorisées dans la carte à puce.
12. Module selon la revendication 1, comprenant en outre une interface carte à piste magnétique (7), reliée au microcontrôleur sécurisé, pour permettre la lecture d'une carte à piste magnétique par le microcontrôleur sécurisé.
13. Module selon la revendication 1, dans lequel le microcontrôleur sécurisé comporte en outre une mémoire vive (52), dans laquelle des informations secrètes sont destinées à être mémorisées.
14. Module selon la revendication 13, dans lequel des informations secrètes sont destinées à être mémorisées de façon permanente dans la mémoire vive, le microcontrôleur étant destiné à être alimenté de façon permanente, le module électronique comportant des moyens (54, 51) pour effacer ou altérer le contenu de la mémoire vive sur commande.
15. Module selon la revendication 14 dans lequel les moyens pour effacer ou altérer le contenu de la mémoire vive comprennent une fonction logique câblée (51) du microcontrôleur sécurisé.
16. Module selon la revendication 14 dans lequel la mémoire vive est formée par un registre.
17. Module selon la revendication 14 dans lequel le microcontrôleur sécurisé est configuré de sorte que toute détection d'intrusion active la commande pour effacer ou altérer le contenu de la mémoire vive.
PCT/EP2004/053566 2003-12-19 2004-12-17 Module electronique notamment pour terminal de paiement electronique WO2005066904A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP04804909A EP1695298A1 (fr) 2003-12-19 2004-12-17 Module electronique notamment pour terminal de paiement electronique

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0315025 2003-12-19
FR0315025A FR2864286B1 (fr) 2003-12-19 2003-12-19 Module electronique notamment pour terminal de paiement electronique

Publications (1)

Publication Number Publication Date
WO2005066904A1 true WO2005066904A1 (fr) 2005-07-21

Family

ID=34630357

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2004/053566 WO2005066904A1 (fr) 2003-12-19 2004-12-17 Module electronique notamment pour terminal de paiement electronique

Country Status (3)

Country Link
EP (1) EP1695298A1 (fr)
FR (1) FR2864286B1 (fr)
WO (1) WO2005066904A1 (fr)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103038785A (zh) * 2010-05-31 2013-04-10 金雅拓股份有限公司 具有显示器屏幕的银行卡
TWI505208B (zh) * 2013-04-30 2015-10-21 Partner Tech Corp 可攜式電子收費系統與方法

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9760881B2 (en) * 2013-04-30 2017-09-12 Partner Tech Corp Portable e-pay system and method
FR3008524B1 (fr) * 2013-07-12 2017-05-05 Compagnie Ind Et Financiere Dingenierie Ingenico Dispositif de paiement electronique presentant des moyens de blocage de l'acces a la memoire fiscale.
FR3008517B1 (fr) * 2013-07-12 2016-12-23 Compagnie Ind Et Financiere Dingenierie Ingenico Terminal de paiement integrant des fonctions de caisse enregistreuse
JP5861069B2 (ja) * 2014-03-27 2016-02-16 パナソニックIpマネジメント株式会社 可搬型決済端末装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6065679A (en) * 1996-09-06 2000-05-23 Ivi Checkmate Inc. Modular transaction terminal
FR2812744A1 (fr) * 2000-08-04 2002-02-08 Dassault Automatismes Dispositif de paiement electronique au moyen d'un appareil consommateur et d'un appareil commercant communiquant par une liaison sans fil
EP1271427A2 (fr) * 2001-06-27 2003-01-02 Fujitsu Limited Dispositif de terminal de transactions

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6065679A (en) * 1996-09-06 2000-05-23 Ivi Checkmate Inc. Modular transaction terminal
FR2812744A1 (fr) * 2000-08-04 2002-02-08 Dassault Automatismes Dispositif de paiement electronique au moyen d'un appareil consommateur et d'un appareil commercant communiquant par une liaison sans fil
EP1271427A2 (fr) * 2001-06-27 2003-01-02 Fujitsu Limited Dispositif de terminal de transactions

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103038785A (zh) * 2010-05-31 2013-04-10 金雅拓股份有限公司 具有显示器屏幕的银行卡
CN103038785B (zh) * 2010-05-31 2016-11-09 金雅拓股份有限公司 具有显示器屏幕的银行卡
TWI505208B (zh) * 2013-04-30 2015-10-21 Partner Tech Corp 可攜式電子收費系統與方法

Also Published As

Publication number Publication date
FR2864286B1 (fr) 2006-03-10
EP1695298A1 (fr) 2006-08-30
FR2864286A1 (fr) 2005-06-24

Similar Documents

Publication Publication Date Title
US9674705B2 (en) Method and system for secure peer-to-peer mobile communications
Fancher In your pocket: smartcards
US8266441B2 (en) One-time password credit/debit card
CN103282923B (zh) 验证令牌与便携式计算设备的整合
CN1344396B (zh) 便携式电子的付费与授权装置及其方法
CN103270524B (zh) 验证令牌与移动通信设备的整合
EP2370940B1 (fr) Objet portable comportant un afficheur et application à la réalisation de transactions électroniques
CN102118251B (zh) 基于多界面安全智能卡的网上银行远程支付的安全认证方法
EP1791292B1 (fr) Personnalisation d'un circuit électronique
CN101107635A (zh) 安全信用卡适配器
WO2019020824A1 (fr) Procédé d'authentification d'une transaction financière dans une cryptomonnaie basée sur une chaîne de blocs, carte à puce intelligente, et infrastructure d'authentification de chaîne de blocs
EP1390921B1 (fr) Terminal electronique de paiement, carte a puce adaptee a un tel terminal et procede de chargement d'une cle secrete dans un tel terminal
CN101465019A (zh) 实现网络认证的方法及系统
FR2779018A1 (fr) Terminal et systeme pour la mise en oeuvre de transactions electroniques securisees
EP1791291A1 (fr) Personnalisation d'une carte bancaire pour d'autres applications
CN105117963A (zh) 基于数字签名的装置和方法
US20190043039A1 (en) Transaction recording
AU2022291589A1 (en) Limited operational life password for digital transactions
CN101223729B (zh) 对移动支付设备进行更新
WO2007131956A1 (fr) Procede pour securiser une transaction par carte a puce, terminal d'ecriture pour securiser une telle transaction, et carte a puce securisee
WO2005066904A1 (fr) Module electronique notamment pour terminal de paiement electronique
EP2118825B1 (fr) Entité électronique portable et procède de communication
EP1354288B1 (fr) Procede utilisant les cartes de paiement electroniques pour securiser les transactions
WO2012004025A1 (fr) Dispositif multiprocesseurs autonomes interconnectes, et procede de personnalisation adapte
Kim et al. Smart cards: Status, issues, and US adoption

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NA NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): BW GH GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LT LU MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 2004804909

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: DE

WWW Wipo information: withdrawn in national office

Country of ref document: DE

WWP Wipo information: published in national office

Ref document number: 2004804909

Country of ref document: EP