"Procédé et dispositif de contrôle de droits dans une organisation muiti- sites"
La présente invention se rapporte à un système de contrôle particulièrement adapté aux entreprises ou organisations réparties sur une pluralité de sites. L'invention s'applique, en particulier, et ce de façon non restrictive, au contrôle de droits d'accès ou d'utilisation de différents services dans des sites répartis tels que les ports, les aéroports ou les grandes entreprises. Afin de contrôler l'accès à des sites dits sécurisés ou à différents services, on connaît l'utilisation de cartes personnelles, par exemple à microcircuit (appelées également "cartes à puce"), ces cartes étant utilisées en combinaison avec un lecteur de cette carte. De telles cartes sont par exemple : - des cartes de contrôle d'accès que l'on vient glisser dans une fente prévue à cet effet d'un lecteur à l'entrée d'un bâtiment ; - des cartes de crédit ; - des cartes de fidélisation... L'utilisation de ces cartes dans une organisation à proprement parler multi sites et comportant un site principal et des sites dépendants (ou rattachés) à ce site principal n'est cependant pas satisfaisante. En effet, si l'on s'intéresse plus particulièrement aux cartes de crédit et de fidélisation utilisables dans une chaîne d'hypermarchés, on s'aperçoit que ces cartes ne permettent pas de contrôler l'accès à des services en fonction des sites dans lesquels elles sont utilisées. Bien entendu, on connaît aussi des cartes pouvant être utilisées pour accéder à des services proposés par différentes entreprises, ces entreprises étant généralement liées entre elles par des accords commerciaux. On connaît par exemple des cartes de membres d'un club de sport, permettant d'obtenir auprès d'une entreprise tierce, des locations de voitures à des tarifs préférentiels.
Néanmoins, les différents services offerts par cette carte sont totalement disjoints. Il est en particulier impossible, depuis un site du club de sport d'invalider l'accès au service de location de voitures, et vice versa. L'invention permet de palier ces inconvénients. A cet effet, elle propose un système de contrôle de droits susceptibles d'être utilisés dans un site principal et au moins un site secondaire, ce système comportant : a) une carte à microcircuit, de préférence sans contact, qui comporte : - une première zone mémoire comportant : • des données d'authentification d'un propriétaire de la carte ; • un premier champ pour un premier identifiant de site ; et • des droits principaux du propriétaire dans Ie site principal ; - au moins une deuxième zone mémoire associée audit au moins un site secondaire et comportant : • un deuxième champ pour un deuxième identifiant de site ; et • des droits temporaires du propriétaire dans le site secondaire ; et b) un lecteur de cette carte, ce lecteur comportant : - un identifiant ; - des premiers moyens de contrôle adaptés à : . • authentifier un utilisateur de la carte à partir des données d'authentification et d'informations non contenues dans la carte et obtenues à partir de l'utilisateur de cette carte ; et • empêcher toute utilisation de la carte par cet utilisateur en cas d'échec d'authentification ; et - des deuxièmes moyens de contrôle adaptés à : • autoriser la modification des données d'authentification, et à valider les droits principaux si l'identifiant du lecteur est identique au contenu du premier champ ;
• empêcher la modification des données d'authentification, et valider les droits temporaires si l'identifiant du lecteur est identique au contenu du deuxième champ ; et • empêcher toute utilisation de la carte par l'utilisateur dans les autres cas. Ce système de contrôle de droit est particulièrement adapté à être utilisé dans une organisation multi sites car il repose sur une organisation mémoire de la carte à microcircuit permettant de dissocier l'utilisation de la carte dans un site principal (première zone mémoire) et son utilisation dans un ou plusieurs site(s) secondaire(s) (deuxième zone mémoire) rattaché(s) à ce site principal. En effet, le lecteur de la carte permet, en sus de l'authentification de l'utilisateur de la carte, la validation ou l'invalidation de droits associés au site dans lequel la carte est utilisée. Plus précisément, ce lecteur permet de valider des droits dits "principaux" lorsque Ia carte est utilisée dans le site principal de l'organisation multi sites et des droits dits "temporaires" lorsque la carte est utilisée dans un des sites secondaires rattaché à ce site principal. Surtout, les deuxièmes moyens de contrôle précités ne permettent la modification des données de l'utilisation de la carte- que lorsque la carte est utilisée dans le site, principal auquel elle est rattachée. Selon cette caractéristique, la carte selon l'invention ne peut être invalidée qu'à partir d'un lecteur du site principal. Dans un mode préféré de réalisation du système de contrôle selon l'invention, les données d'authentification comportant des données biométriques du propriétaire de la carte, préférentiellement au moins une empreinte digitale, et ou, les données nécessaires a la reconnaissance faciale du possesseur de la carte : - les premiers moyens de contrôle sont adaptés à authentifier l'utilisateur de la carte en comparant les données biométriques du propriétaire, contenues dans la carte, avec des données biométriques obtenues à partir de l'utilisateur. Cette caractéristique permet de renforcer la sécurité de la phase d'authentification de l'utilisateur de la carte.
On notera surtout, que, selon ce mode préféré de l'invention, les données biométriques sont, très avantageusement, contenues dans la carte (plus précisément dans la première zone mémoire). Ainsi, lorsque les données biométriques sont constituées par une empreinte digitale ou par des données permettant une reconnaissance faciale, toutes les données caractéristiques de l'empreinte digitale ou du visage du propriétaire de la carte sont mémorisées dans la carte elle-même. Ceci évite la mémorisation de données personnelles, dans une unité de stockage centralisée, du type d'un serveur par exemple. Cette caractéristique permet d'une part, d'accélérer considérablement l'authentification du propriétaire de la carte et, d'autre part, d'éviter l'autorisation express du propriétaire de la carte pour la sauvegarde de ses données personnelles, comme cela est régi par certaines réglementations nationales. Dans un mode préféré de réalisation, les premiers moyens de contrôle de la carte sont adaptés à comparer au moins une partie des données d'authentification avec des données contenues dans une liste d'interdiction accessible par le lecteur, et à empêcher toute utilisation de la carte par l'utilisateur en fonction du résultat de cette comparaison. Ainsi, la mise à jour de cette liste d'interdiction qui peut être centralisée et partagée par les différents lecteurs, permet d'empêcher toute utilisation de la carte dans le site principal mais aussi dans les sites secondaires. Le système de contrôle selon l'invention peut notamment être utilisé pour permettre l'accès physique de l'utilisateur de la carte à un site principal ou à un site secondaire. A cet effet, les droits principaux et temporaires mémorisés dans la première et la deuxième zones mémoires de la carte sont des droits d'accès à ces sites. Par exemple, dans ce mode d'utilisation de la carte, le lecteur peut être placé le long d'une porte d'entrée, d'un bureau, d'une salle de sport, et associé à des moyens de fermeture de cette porte. Dans un autre mode préféré de réalisation, les droits principaux, respectivement temporaires, comportent un droit d'utilisation d'un service dans le
site principal, respectivement secondaire, ces services pouvant être gratuits ou payants en fonction d'un profil du propriétaire mémorisé, pour chacun des sites. Par exemple, un moniteur de sport ne paye pas pour l'utilisation d'un service sur le site principal constitué pour son club mais paye dans les sites secondaires où il est détaché temporairement. . De façon similaire, si la carte est utilisée par exemple dans une organisation muiti ports, les droits principaux et temporaires de la carte peuvent permettre ou empêcher l'accès par l'utilisateur de la carte à des services de distribution d'énergie (électricité, essence), ou l'accès à certains services d'hygiène (type douches, sanitaires). Bien entendu, certains services peuvent être gratuits (accès aux toilettes) et d'autres payants (utilisation d'une borne d'eau). La gratuité ou le caractère payant d'accès à un tel service peut aussi être défini en fonction d'un profil d'un propriétaire mémorisé dans la carte. Par exemple, lorsque la carte est utilisée dans un complexe sportif, il peut être prévu que l'accès au vestiaire est gratuit pour les moniteurs et les membres de ce club, mais reste payant pour certains visiteurs de ce club. Dans un mode préféré de réalisation, ι le système de contrôle selon l'invention permet le paiement électronique des services payants des sites principaux et secondaires. A cet effet, la carte comporte deux porte-monnaie électroniques contenus dans la première et la deuxième zones mémoires, le lecteur comportant une grille tarifaire associant un coût d'utilisation du service payant au profil du propriétaire. Par exemple, l'accès à une cafétéria d'un club sportif, peut être à un coût avantageux pour le personnel de ce club sportif par rapport au tarif requis aux membres de ce club. Dans ce mode préféré de réalisation, Ie lecteur est adapté à modifier le solde du premier et du deuxième porte-monnaie électroniques. La carte à microcircuit est, dans ce mode de réalisation, une carte comportant trois fonctions principales, à savoir une fonction d'authentification de l'utilisateur de la carte, une fonction de sécurité et une fonction de paiement.
Préférentiellement, le premier et/ou le deuxième porte-monnaie électronique" est associé à une zone mémoire de redondance, à un compteur d'ordre et à un certificat cryptographique permettant de garantir l'intégrité du solde de ces porte-monnaie électroniques, même lorsque la carte est retirée du lecteur pendant la mise à jour de ce solde. Dans une variante de réalisation, la carte comporte une troisième zone mémoire pour mémoriser des transactions du premier porte monnaie et une quatrième zone mémoire pour mémoriser les transactions du second porte- monnaie électronique(s), Optionnellement, une cinquième zone mémoire, respectivement une sixième zone mémoire sont utilisées pour mémoriser au moins un événement choisi parmi les événements suivants : - accès au site principal, respectivement secondaire ; et - utilisation d'un service du site principal, respectivement secondaire. Ces caractéristiques permettent, avantageusement d'une part, d'effectuer des statistiques sur l'accès aux différents sites et sur l'utilisation de différents services mais aussi, de conserver un historique des transactions effectuées avec les porte-monnaie électroniques, notamment pour faciliter la comptabilité de l'utilisateur de la carte. Dans un mode préféré de réalisation, les différents lecteurs de la carte sont reliés entre eux par un réseau de télécommunications de type Internet ou de type Bluetooth. On privilégiera un réseau de type Bluetooth, lorsque les lecteurs sont rapprochés entre eux d'une distance de l'ordre de 50 mètres. Quoi qu'il en soit, la mise en réseau des différents lecteurs permet le partage de la liste d'interdiction précitée. Selon un deuxième et un troisième aspects, l'invention vise une carte à microcircuit, susceptible d'être utilisée dans un site principal, et au moins un site secondaire, et un dispositif de contrôle d'accès à un site pour lire une telle carte. La carte et le dispositif de contrôle précités présentent les mêmes avantages que ceux évoqués précédemment pour le système de contrôle et ne seront pas rappelés ici. Corrélativement, l'invention vise un procédé de contrôle dans un site comportant les étapes suivantes :
- lecture d'une carte à microcircuit par un dispositif de contrôle tels que décrit brièvement ci-dessus ; - authentification d'un utilisateur de la carte et empêchement de toute utilisation de la carte en cas d'échec d'authentification; - comparaison du contenu du premier champ de la carte avec l'identifiant du lecteur, autorisation de la modification des données d'authentification, et validation des droits principaux si l'identifiant du lecteur est identique^au contenu du premier champ ; - comparaison du contenu du deuxième champ de la carte avec l'identifiant du lecteur, empêchement de la modification, des données d'authentification, et validation des droits temporaires si l'identifiant du lecteur est identique au contenu du deuxième champ ; et - empêchement de toute utilisation de la carte dans les autres cas. Le procédé de contrôle présente lui aussi les mêmes avantages que le système de contrôle décrit brièvement ci-dessus. L'invention vise également l'utilisation d'un système de contrôle ou d'un procédé de contrôle tel que décrit brièvement ci-dessus, pour la gestion d'un port ou d'un aéroport. Dans cet exemple d'utilisation, le site principal est constitué par un premier port dans lequel le bateau d'un utilisateur est le plus souvent amarré, les sites secondaires étant constitués par d'autres ports, parfois visités par le propriétaire de ce bateau. Préférentiellement, les droits principaux et temporaires mémorisés dans la première zone et dans la deuxième zone mémoire de la carte conforme à l'invention sont, dans ce mode d'utilisation, constitués par des droits d'accès aux ports proprement dits, à des panes, à certains bureaux tels que la capitainerie, ou à des sanitaires. Les droits principaux et temporaires comportent aussi optionnellement des droits d'utilisation d'un service tel que l'utilisation de douches payantes. L'invention vise également l'utilisation d'un système de contrôle ou d'un procédé de contrôle tel que décrit brièvement ci-dessus pour la sécurisation d'une entreprise multi-sites.
Dans cette utilisation, les droits principaux et secondaires validés ou interdits par un procédé de contrôle conforme à l'invention peuvent être des droits d'accès à un site proprement dit, à un bâtiment ou à une salle, ainsi que des droits d'utilisation gratuits tel que l'accès à des sanitaires ou des droits d'utilisation d'un service payant comme par exemple l'accès au réfectoire. L'invention vise également l'utilisation d'un système de contrôle ou d'un procédé de contrôle tel que décrit brièvement ci-dessus pour la gestion d'un club de sport. Là encore, les droits principaux et temporaires pouvant être constitués par exemple par des droits d'accès à des bâtiments ou à des vestiaires, ainsi que des droits d'utilisation d'un service payant comme par exemple l'accès à un court de tennis. D'autres aspects et avantages de la présente invention apparaîtront plus clairement à la lecture de la description d'un mode particulier de réalisation qui va suivre, cette description étant donnée uniquement à titre d'exemples non limitatifs et faite en référence aux dessins annexés sur lesquels : - la figure 1 représente un système de contrôle selon l'invention dans un mode préféré de réalisation ; - la figure 2 représente, sous forme d'organigramme, les principales étapes d'un procédé de contrôle selon l'invention ; - la figure 3 représente un port sécurisé par un système de contrôle conforme à l'invention dans un mode préféré de l'invention ; - Ia figure 4 représente une entreprise multi sites sécurisée par un système de contrôle conformément à votre invention. - la figure 5 représente un club de sport sécurisé par un système de contrôle conforme à l'invention dans un mode préféré de réalisation ; et La figure 1 représente un système 1 de contrôle de droits conforme à l'invention dans un mode préféré de réalisation. Le système 1 de contrôle de droits représenté à la figure 1 comporte principalement une carte à microcircuit 100, de préférence sans contact et un lecteur 200 adapté à lire la carte 100. Le lecteur 200 constitue, au sens de l'invention, un dispositif de contrôle d'accès à un site S représenté sur la figure 1.
Les moyens de lecture RDC d'une carte à microcircuit 100 du lecteur 200 sont connus de l'homme du métier et ne seront pas décrits ici. Il peut s'agir de moyens à effet de champ lorsque la carte 100 est une carte sans contact ou encore, de moyens d'une lecture d'une carte à puce contact. La ligne tiretée 10 de Ia figure 1 représente la liaison établie entre la carte 100 et le lecteur 200 pour la lecture précitée. La carte à microcircuit 100 comporte une première zone mémoire M1. Cette première zone mémoire comporte un numéro NUM unique d'identification de la carte. Ce numéro NUM peut optionnellement être reporté sur la carte 100. La première zone mémoire M1 comporte des données d'authentification AUTH qui, dans le mode de réalisation décrit ici, consiste d'une part en des données personnelles PERSO (nom, prénom, adresse) et des données biométriques BIO du propriétaire de la carte 100. Préférentiellement, ces données biométriques BIO comportent au moins une empreinte digitale du propriétaire de la carte 100 et peuvent inclure des données pour une reconnaissance faciale du propriétaire. La première zone mémoire M1 comporte également un premier champ 1DC1 pour mémoriser un premier identifiant de site. Ce champ 1DC1 est prévu pour mémoriser l'identifiant d'un site principal SP d'utilisation de la carte 100 par son propriétaire. La première zone mémoire M1 comporte également des droits dits "principaux" DP du propriétaire dans le site principal SP. La carte à microcircuit 100, selon l'invention, comporte au moins une deuxième zone mémoire M2. Cette au moins une deuxième zone mémoire M2 comporte un deuxième champ IDC2 pour un deuxième identifiant de site. Ce deuxième champ IDC2 est destiné à mémoriser l'identifiant d'un site secondaire SS d'utilisation de la carte 100. Sur la figure 1 , seule une deuxième zone mémoire M2 est représentée par souci de simplification.
En pratique, la carte 100 comporte autant de deuxièmes zones mémoires M2 qu'il existe de sites secondaires SS pour permettre l'utilisation de la carte 100 dans ces différents sites. Bien entendu, si l'on souhaite utiliser la carte dans un site secondaire supplémentaire et qu'il n'y a plus de deuxième zone mémoire M2 disponible, il sera possible d'effacer le contenu d'une deuxième zone mémoire M2 déjà utilisée pour un autre site secondaire et d'associer cette zone à ce nouveau site. Quoi qu'il en soit, chaque deuxième zone mémoire M2 comporte des droits temporaires DT du propriétaire de la carte 100 dans le site secondaire SS associé à cette deuxième zone mémoire M2. Dans le mode préféré de réalisation décrit ici, les droits principaux DP mémorisés dans la première zone mémoire M1 et les droits temporaires DT mémorisés dans la deuxième zone mémoire M2 comportent respectivement un droit d'accès ACC_SP au site principal SP et un droit d'accès ACC_SS à un site secondaire SS. Dans le mode préféré de réalisation décrit ici, les droits principaux DP et les droits temporaires DT comportent respectivement un droit S_SP d'accès à un service dans le site principal SP et un droit S_SS d'accès à un service dans le site secondaire SS associé à la deuxième zone mémoire M2. Des exemples de services seront décrits ultérieurement en référence aux figures 3 à 5. Quoi qu'il en soit, les services précités S_SP et S_SS peuvent être gratuits ou payants en fonction d'un profil du propriétaire, ce profil PROF_P, respectivement PROF_S étant mémorisé dans chaque zone mémoire M1 pour le site principal SP, respectivement M2 pour le site secondaire SS de la carte 100. A cet effet, dans le mode de réalisation décrit ici, la carte à microcircuit 100 comporte deux porte-monnaie électroniques PME1 et PME2 respectivement dans la première zone mémoire M1 , et dans la deuxième zone mémoire M2 de Ia carte à microcircuit 100. Plus précisément, le premier porte-monnaie électronique PME1 est utilisé pour acquitter électroniquement des frais associés aux services utilisés dans le site principal SP.
De façon similaire, le deuxième porte-monnaie électronique PME2 est destiné à l'acquittement électronique des frais associés aux services utilisés dans le site secondaire SS associé à la deuxième zone mémoire M2. Préférentiellement, ce porte-monnaie électronique PME1 (respectivement PME2) comporte deux zones de redondances S1 et S2. Chacune des zones de redondance S1 et S2 contient un solde (SOLDE1, SOLDE2), un compteur d'ordre (CT1 , CT2), et un certificat cryptographique (CC1 , CC2). Ces zones mémoire de redondance, ces compteurs d'ordre et ces certificats permettent de garantir l'intégrité des soldes, du premier et du deuxième porte-rnonnaieélectroniques PME1 , PME2. Leur utilisation sera détaillée ultérieurement en référence à la figure 2. Dans Ie mode de réalisation décrit ici, Ia carte à microcircuit 100 selon l'invention comporte une troisième zone mémoire M3 pour mémoriser l'historique des transactions effectuées avec le premier porte-monnaie électronique PME1 , et une quatrième zone M4 pour mémoriser les transactions du deuxième porte- monnaie électronique PME2. Dans le mode de réalisation décrit ici, la carte à microcircuit 100 comporte également une cinquième et une sixième zones mémoires M5, respectivement M6, pour garder . trace de l'accès aux sites principal SP, respectivement secondaire SS et de l'utilisation des services S_SP du site principal SP, respectivement des services S-SS du site secondaire SS. L'utilisation de ces zones mémoires M3, M4, M5, et M6 d'historique est connue de l'homme du métier et ne sera pas décrite ici. II s'agit en effet d'une gestion classique d'un tampon circulaire pour la mémorisation d'un nombre prédéterminé des dernières transactions ou événements précités. Le dispositif de contrôle d'accès 200 permettant le contrôle des droits dans Ie site S représenté figure 1 , comporte un identifiant IDL. Lorsque la carte 100 est lue par le lecteur 200, trois cas peuvent se présenter : - il se peut que l'identifiant IDL du lecteur 200 soit égal au contenu du premier champ 1DC1 mémorisé dans la première zone mémoire M1 de la carte
100. Dans ce cas, le lecteur 200 considérera que le site S est un site principal SP d'utilisation de la carte 100 ; - il se peut que l'identifiant IDL du lecteur 200 soit égal au contenu du deuxième champ 1DC2 de la au moins une deuxième zone mémoire M2 de la carte 100. Dans ce cas, le lecteur 200 considérera que le site S est un site secondaire SS d'utilisation de la carte 100 ; et - il se peut que l'identifiant IDL du lecteur 200 soit différent du contenu des champs 1DC1 et IDC2 de la carte 100. Dans ce cas, le lecteur 200 considérera que le site S n'est ni le site principal SP ni un site secondaire SS d'utilisation de la carte 100 et rejettera toute utilisation de la carte 100 dans ce site S. Le lecteur 200 comporte des premiers moyens de contrôle CTL1, SCAN adaptés à authentifier l'utilisateur de la carte 100 à partir des données d'authentification AUTH et d'informations non contenues obtenues de l'utilisateur. Dans une première variante de réalisation, ces données obtenues à partir de l'utilisateur peuvent être par exemple des données personnelles (nom, prénom, ...) saisies au moyen d'un clavier ιdu lecteur 200, ces données personnelles saisies étant comparées avec les données personnelles PERSO du propriétaire de la carte 100 mémorisées dans la première zone mémoire M1 de cette carte. Dans le mode préféré de réalisation décrit ici, le lecteur 200 comporte un capteur SCAN adapté à obtenir des données biométriques du propriétaire de la carte et préférentiellement une empreinte digitale, et ou les données biométriques nécessaires à la reconnaissance faciale. Dans ce mode de réalisation préféré, les premiers moyens de contrôle SCAN sont adaptés à authentifier l'utilisateur de la carte 100 en comparant les données biométriques obtenues par le capteur SCAN avec les données d'authentification biométriques BIO mémorisées dans la première zone mémoire M1 de la carte 100. Quoi qu'il en soit, les premiers moyens de contrôle CTL1 , SCAN sont adaptés à empêcher toute utilisation de la carte 100 par l'utilisateur en cas d'échec d'authentification.
Le lecteur 200 comporte des deuxièmes moyens de contrôle adaptés à comparer l'identificateur IDL du lecteur 200 avec le contenu des premier et deuxième champs IDC1 , IDC2 de la carte 100 et à : - valider les droits principaux DP du propriétaire de la carte 100 dans le site S lorsque" l'identifiant IDL du lecteur 200 est égal au contenu du premier champ IDC1 de la carte 100 ; - valider les droits temporaires DT du propriétaire de la carte 100 dans le site S lorsque l'identifiant IDL du lecteur 200 est égal au contenu du deuxième champ IDC2 de la carte 100 ; et - empêcher l'utilisation de la carte 100 par l'utilisateur dans les autres cas. En outre, les deuxièmes moyens de contrôle CTL2 sont adaptés à autoriser la modification des données d'authentification AUTH de la carte 100, par exemple la modification des données personnelles DP de la carte uniquement lorsque l'identifiant IDL du lecteur 200 est égal au contenu du premier champ IDC1 de la carte 100. Dans le mode de réalisation décrit ici, le lecteur 200 comporte des moyens NET d'accès au réseau Internet sous la forme connue d'une carte réseau et de moyens logiciels mettant en œuvre-'notamment le protocole TCP/IP. Le lecteur 200 est ainsi apte à accéder à une liste d'interdictions BL partagée par les différents lecteurs conformes à l'invention 200, 200', 200" du système de contrôle 1 décrit ici. Cette liste d'interdictions BL comporte les numéros NUM des cartes devant être rejetées par le système de contrôle 1 conforme à l'invention, ces cartes appartenant par exemple à des utilisateurs indésirables. Dans cette variante de réalisation, les moyens de contrôle CTL1 sont adaptés à empêcher l'utilisation de la carte 100 par l'utilisateur lorsqu'ils reconnaissent, dans la liste BL, un numéro d'identification NUM mémorisé dans la première zone mémoire M1 de la carte 100. Dans un autre mode de réalisation, le lecteur 200 comporte des moyens BT de communication de type Bluetooth avec d'autres lecteurs 200', 200" du système de contrôle selon l'invention, par exemple pour l'échange d'une telle liste d'interdictions BL.
Dans le mode préféré de réalisation décrit ici, le lecteur 200 comporte des moyens LOCK permettant d'autoriser ou interdire l'accès au site S en fonction des droits d'accès validés par les moyens de contrôle CTL1 , CTL2. Ces moyens LOCK d'autorisation ou d'interdiction d'accès peuvent par exemple commander une serrure du site S. De la même façon, le dispositif de contrôle 200 comporte, dans le mode décrit ici, des moyens USE d'autorisation ou d'interdiction d'utilisation d'un service du site S en fonction des droits validés par les moyens de contrôle CTL1 et CTL2 de la carte précitée. L'utilisation des moyens de contrôle d'accès et d'autorisation d'un service seront détaillés ultérieurement dans différents modes d'utilisation du système de contrôle selon l'invention en référence aux figures 3 à 5. Dans le mode préféré de réalisation décrit ici, le lecteur 200 comporte une grille tarifaire TAB_ENG qui associe un coût T1 , T2 d'utilisation d'un service payant du site S, à un profil P1 , P2 de l'utilisateur de la carte 100. Dans ce mode de réalisation, le lecteur 200 comporte des moyens MAJ de mise à jour des soldes SOLDE1 et SOLDE2 du premier et du deuxième porte-monnaie électroniques PME1 , PME2 de la1 carte 100. De façon évidente, les moyens MAJ de mise à jour sont adaptés à débiter le premier porte-monnaie électronique PME1 lorsque le lecteur 200 reconnaît le site S comme étant le site principal SP d'utilisation de la carte 100 et le deuxième porte-monnaie électronique PME2 lorsque le lecteur 200 reconnaît Ie site S comme un site secondaire d'utilisation de la carte 100. Dans le mode préféré de réalisation décrit ici, le lecteur 200 comporte en outre des moyens CALC adaptés à vérifier l'intégralité du solde SOLDE1 , SOLDE2 des premier et deuxième porte-monnaieélectroniques PME1 , PME2 mémorisés dans la carte 100, à partir des certificats CC1 , CC2 précités. L'utilisation de ces certificats sera décrite ultérieurement à la figure 2. La figure 2 représente les principales étapes E5 à E140 d'un procédé de contrôle d'accès à un site S conforme à l'invention, dans un mode préféré de réalisation.
Dans la suite de la description, on supposera que ce procédé est mis en œuvre pour contrôler l'accès d'un utilisateur porteur d'une carte 100 à un site S protégé par un lecteur 200. Au cours d'une première étape E5 de lecture, le lecteur 200 lit les données de Ia carte 100. Dans le mode décrit ici, cette carte 100 comporte dans les zones mémoires M1 , respectivement M2 un registre DP, respectivement DT dont le contenu est représentatif des droits principaux DP, respectivement temporaires DT du propriétaire de la carte. L'étape E5 de lecture est suivie par un test E20 de comparaison au cours duquel on compare Ie contenu du premier champ IDC1 de la carte 100 avec l'identifiant IDL du lecteur 200. Lorsque ces valeurs sont égales, le résultat du test E20 de comparaison est positif. Ce test E20 de comparaison est alors suivi d'une étape E25 d'autorisation principale au cours de laquelle on autorise la modification des données d'authentification AUTH par le lecteur 200. En pratique, cela revient à affecter une variable MOD_AUTH mémorisée dans la mémoire du lecteur 200 avec la valeur "Y". Au cours de cette même étape E25 d'autorisation principale, on valide les droits principaux DP mémorisés dans la première zone mémoire M1 de la carte 100 comme étant des droits de l'utilisateur de la carte 100 dans le site S. En pratique, cela revient à recopier dans une variable D du lecteur 200 le contenu de la variable DP. De même une variable PROF est valorisée avec la valeur du registre PROF_P. Cette variable PROF représente le profil de la personne sur le site S. En revanche, si le contenu du premier champ IDC1 est différent de l'identifiant IDL du lecteur 200, le résultat du test E20 de comparaison est négatif. Ce test est alors suivi par un deuxième test E30 de comparaison au cours duquel on compare le contenu du deuxième champ IDC2 de la carte 100 avec l'identifiant IDL du lecteur 200.
Si ces valeurs sont différentes, le deuxième test de comparaison E30 est suivi par une étape de rejet E100 au cours de laquelle on rejette la carte 100, interdisant ainsi toute utilisation de celle-ci. En revanche, si ces valeurs sont égales, le deuxième test de comparaison E30 est suivi par une étape E35 d'autorisation limitée au cours de laquelle on refuse la modification des données AUTH d'authentification de la carte 100 en affectant la valeur "N" à la variable MOD_AUTH précitée. L'homme du métier comprendra que le contenu de la variable MOD_AUTH peut être utilisé ultérieurement avant toute tentative de modification des données d'authentification AUTH de la carte 100 par le lecteur 200. Au cours de cette même étape d'autorisation limitée E35, on recopie, dans la variable D, les droits temporaires DT mémorisés dans la deuxième zone mémoire M2 de la carte 100. De même la variable PROF est valorisée avec la valeur de PROF_S. Les étapes E25 d'autorisation principale et E35 d'autorisation limitée sont suivies par une étape E50 de consultation au cours de laquelle on vérifie que le numéro NUM de la carte 100 ne figure pas dans la liste d'interdiction BL accessible par le lecteur 200. Tout échec entraîne le rejet de la carte (E100 "Carte refusée"). Si le numéro de la carte 100 figure dans la liste d'interdiction BL, le résultat du test E50 de consultation est négatif. Ce test est alors suivi par l'étape E100 de rejet déjà décrite. Dans le cas contraire, l'étape E50 de consultation est suivie par un test E70 de contrôle d'accès au cours duquel on vérifie si l'accès au site S auquel est relié le lecteur 200 est autorisé en fonction du contenu de la variable D représentatif des droits de l'utilisateur. Dans le cas contraire, le test E70 de contrôle d'accès est suivi par l'étape E100 de rejet déjà décrite. Si le contenu de la variable D est représentatif d'une autorisation d'accès au site S, le test E70 de contrôle d'accès est suivi par un test E80 de contrôle de données biométriques au cours duquel on compare des données biométriques obtenues à partir de l'utilisateur de la carte, par exemple au moyen d'un capteur
SCAN tel que décrit précédemment, avec les données biométriques BIO mémorisées dans la carte 100 conforme à l'invention. Dans d'autres variantes de réalisation, on peut remplacer ce test E80 de contrôle de données biométriques par la vérification d'un nom saisi au clavier du lecteur 200 vis-à-vis d'une partie au moins des données personnelles DP mémorisées dans la carte 100. Quoi qu'il en soit, lorsque ce test E80 de contrôle de données biométriques ou de vérification de données personnelles PERSO échoue, il est suivi par une l'étape de rejet E100 déjà décrite au cours de laquelle on rejette l'utilisation de la carte 100. Dans le cas contraire, le test E80 de contrôle de données biométriques est suivi par un test E90 de détermination d'un prix au cours duquel on détermine si le service ou l'accès est payant ou non pour le titulaire de la carte 100, en fonction du contenu de la variable D. Si l'accès est gratuit, le test E90 de détermination d'un prix est suivi par une étape E140 d'autorisation d'accès, la carte 100 est autorisée. Sinon, le service devant être "facturé", le test E90 de détermination d'un prix est suivi par une étape E110 de calcul du coût de ce service. A cet effet, on associe, à partir d'une grille tarifaire TAB_ENG mémorisée dans la carte 200, un coût d'utilisation T1 , T2 du service ENG, en fonction du contenu de la variable PROF. L'étape E110 de calcul du coût est suivie par une étape E120 de débit au cours de laquelle on débite le porte-monnaie électronique PME1 , PME2 de la façon décrite ci-après. Dans le mode préféré de réalisation décrit ici, la première zone de redondance S1 des porte-monnaie électroniques PME1 , PME2 est initialisée avec un solde SOLDE1 nul, un compteur CT1 nul, et un certificat CC1 correct, c'est-à-dire compatible avec le SOLDE1 et le compteur CT1. A l'initialisation, les deuxièmes zones de redondance S2 du premier et du deuxième porte-monnaie électroniques PME1 , PME2 sont effacées. Ceci a pour conséquence que le certificat CC2 n'est pas compatible avec le solde SOLDE2 et le compteur CT2.
A chaque mise à jour d'un porte-monnaie électronique PME1 , PME2, on commence par déterminer la zone de redondance S1 ou S2 dont le certificat est correct. Au vu de ce qui précède, il est évident qu'à la première mise à jour d'un porte-monnaie électronique, lorsque celui-ci est créditée, la zone de redondance trouvée correspond à la première zone de redondance S1. La mise à jour d'un porte-monnaie électronique PME1 ou PME2 consiste à écrire dans l'autre zone de redondance le nouveau solde SOLDE1 , SOLDE2, à incrémenter le compteur CT1 , CT2, et à recalculer le certificat CC1 , CC2. Lorsque cette zone de redondance est remplie, l'autre zone de redondance est effacée. On comprend ainsi que si la carte 100 est retirée du lecteur 200 pendant la modification du solde SOLDE1 , SOLDE2, il se peut que chacun des certificats CC1 , CC2 soit correct. Dans ce cas, c'est la zone de redondance S1 , S2 dans le compteur CT1 , CT2 est le plus élevé qui doit être retenue, l'autre zone de redondance étant alors effacée. L'étape E120 de débit permet ainsi d'assurer l'intégrité des porte- monnaieinformatiques PME1 et PME2. Quoi qu'il en soit, l'étape E120 de débit est suivie par une étape E140 au cours de laquelle on permet physiquement l'accès au site conformément à la décision prise au cours de l'étape E70 de contrôle d'accès. En pratique, cette étape 140 consiste à ouvrir un moyen de fermeture contrôlant l'accès à une salle, à un bâtiment, ou au site lui-même ou un contrôle d'accès permettant l'utilisation d'un service déterminé. Nous allons maintenant décrire en référence aux figures 3 à 5 l'utilisation d'un système de contrôle conforme à l'invention dans un port, dans une entreprise et dans un club de sport. La figure 3 représente un système de contrôle d'accès mis en œuvre dans un site principal constitué par un port conformément à la présente invention. Ce port comporte une barrière 301 dont l'ouverture peut être autorisée en fonction des droits principaux ou temporaires du propriétaire d'une carte 100 conforme à l'invention.
Lorsque l'utilisateur de cette carte désire accéder au port, il insère ou approche sa carte 100 d'un lecteur 200 contrôlant cette barrière. De la même façon, la carte 100 permet l'accès à un pane contrôlé par un lecteur 302 à l'entrée de ce pane. Elle permet aussi le contrôle d'accès à des sanitaires et à la capitainerie, respectivement protégé par des fermetures 303 et 304. Dans l'exemple décrit ici, la carte 100 comporte également des droits d'utilisation de bornes d'énergie 305 et d'accès aux sanitaires 306 tels que des douches, l'utilisation de ces services étant payante dans l'exemple décrit ici. La figure 4 représente l'utilisation d'un système de contrôle selon l'invention pour la sécurisation d'une entreprise. Sur la figure 4, on a représenté un site (principal ou secondaire) d'une telle entreprise. Ce site comporte plusieurs lecteurs 200 associés à l'entrée d'un parking 401 , d'un hall 402, d'un bureau de la direction 403, d'une unité de production 404, d'un couloir 405, d'une salle administrative 406 et d'un bâtiment de stockage 407. Cette carte 100 comporte également des droits d'accès à des services gratuits comme par exemple l'accès des sanitaires 408 ou à des services payants comme l'accès au réfectoire 409. La figure 5 représente l'utilisation d'un système de contrôle conforme à l'invention pour la sécurisation d'un club de sport. La salle de sport représentée à la figure 5 comporte une porte d'entrée sécurisée par un lecteur 501 , un bureau administratif 502 sécurisé par un lecteur 200 et des lecteurs 200 contrôlant l'utilisation de courts de tennis 503, 503', 503" D'autres utilisations du système et de procédé de contrôle de la présente invention peuvent être réalisées pour contrôler différents types de droits d'un propriétaire de la carte dans un site principal et des sites secondaires d'utilisation de cette carte, ces sites étant protégés par des lecteurs conformes à l'invention. La carte à microcircuit 100 est particulièrement avantageuse car elle permet de remplir trois fonctions distinctes, à savoir des fonctions de contrôle d'accès permettant l'ouverture, voire la fermeture de certaines zones des sites principaux et temporaires, des moyens d'authentification de l'utilisateur de la
carte préférentiellement à partir de données biométriques et des moyens de paiement constitués par des porte-monnaie électroniques sécurisés embarqués dans la carte.