PROCÉDÉ D'AUTHENTIFICATION Â DISTANCE D'UN UTILISATEUR
L'invention concerne un procédé d'authentification à distance d'un utilisateur par un fournisseur.
Les banques proposent à leurs clients de réaliser des prestations à distance, via le réseau internet ou le téléphone par exemple, sans exiger que les clients ne se déplacent pour rencontrer un agent bancaire. Pour accéder à distance aux services de la banque, un client doit préalablement décliner son identité, par exemple en communiquant un identifiant de 11 caractères, puis fournir un mot de passe normalement connu de lui seul et de sa banque. Classiquement le mot de passe est une suite de cinq caractères que l'utilisateur connaît par cœur. Le mot de passe est transmis dans son intégralité à la banque.
La banque vérifie alors dans ses bases de données si le mot de passe correspond à l'identifiant fourni. Si ce n'est pas le cas, une tentative d'usurpation d'identité est très probable et la demande de service est refusée. Si le mot de passe correspond à l'identifiant fourni, la banque autorise le client à accéder au service désiré, par exemple à consulter ses comptes.
La procédure d'authentification et d'identification décrite ci-dessus n'est cependant pas à l'abri d'un accès frauduleux dans le cas où un tiers serait parvenu à découvrir le couple « identifiant - mot de passe ». Certains services ne peuvent donc être rendus accessibles à distance sans mesures de sécurisation supplémentaires.
Par exemple, pour pouvoir effectuer à distance un virement ouvert, par exemple depuis une première banque vers une deuxième banque, le client doit préalablement se déplacer auprès de la première banque pour y faire enregistrer le Relevé d'Identité Bancaire (RIB) du numéro du compte de destination du virement. Cette procédure n'est pas satisfaisante pour le client qui a fait le choix d'une banque à distance.- D'autant -moins- que la banque ne possède pas nécessairement d'établissement à proximité du client.
Pour éviter ce problème, les banques ont donc recours à des tests d'authentification complémentaires pouvant être effectués à distance. Par exemple, l'agent bancaire demande à son correspondant sa date ou son lieu de naissance. La confidentialité de telles informations est cependant très limitée. Le nombre de tests
possible est également réduit. Le niveau de sécurité conféré par ces tests d'authentification complémentaires est donc faible.
Il existe donc un besoin pour un procédé d'authentification complémentaire simple à mettre en œuvre et fiable. Le but de l'invention est de satisfaire ce besoin. Selon l'invention, on atteint ce but au moyen d'un procédé d'authentification à distance d'un utilisateur par un fournisseur comportant les étapes suivantes : a) transmission, dudit utilisateur audit fournisseur, d'un identifiant, b) détermination, par ledit fournisseur, d'une règle de traitement applicable à un code constitué de caractères et à disposition dudit utilisateur et dudit fournisseur, c) transmission, dudit fournisseur audit utilisateur, de ladite règle de traitement, d) traitement dudit code par ledit utilisateur au moyen de ladite règle de traitement de manière à obtenir une première donnée d'authentification, e) transmission, dudit utilisateur audit fournisseur, de ladite première donnée d'authentification, et, indépendamment des étapes b) à e), f) récupération, par ledit fournisseur, dudit code, de préférence à partir dudit identifiant, g) traitement dudit code par ledit fournisseur au moyen de ladite règle de traitement de manière à obtenir une deuxième donnée d'authentification, et, après réception de ladite première donnée d'authentification et détermination de ladite deuxième donnée d'authentification, h) comparaison desdites première et deuxième données d'authentification par ledit fournisseur.
Le code à disposition de l'utilisateur et du fournisseur n'est donc pas transmis. Seul le résultat d'un traitement de ce code, selon une règle de traitement déterminée par le fournisseur, est transmis au fournisseur. Même en récupérant ce résultat, un tiers ne peut donc déterminer le code. La procédure d'authentification selon l'invention assure ainsi une très grande sécurité. Avantageusement, une authentification très fiable est donc possible à distance.
Pour mettre en œuvre le procédé selon l'invention, seul un code doit être distribué à l'utilisateur. Le procédé selon l'invention est donc avantageusement très simple et peu coûteux.
Le procédé selon l'invention comporte encore les caractéristiques préférées suivantes :
- Ledit code est propre audit utilisateur.
- Ledit code se présente sous la forme d'une série de caractères, de préférence d'une série de chiffres, de préférence imprimée sur une carte du type carte de crédit. - Ladite série de caractères comporte au moins 10 caractères, de préférence au moins 15 caractères, de préférence encore 16 caractères.
- Ladite règle de traitement est modifiée à chaque mise en oeuvre du procédé selon l'invention. De préférence, la règle de traitement est déterminée de manière aléatoire. - Ladite règle de traitement précise comment sélectionner au moins un caractère parmi lesdits caractères constituant ledit code. Ladite règle de traitement identifie ledit au moins un caractère à sélectionner en fournissant une position dudit au moins caractère dans ledit code.
- Ladite règle de traitement identifie une pluralité de caractères à sélectionner en fournissant leurs positions dans ledit code.
- La ou lesdites positions indiquée(s) par ladite règle de traitement (est) sont modifiée(s) à chaque mise en œuvre du procédé selon l'invention, le nombre de positions étant de préférence constant .
Ladite règle de traitement indique l'ordre dans lequel lesdits caractères sélectionnés doivent être ordonnés pour former ladite première donnée d'authentification.
- Selon ladite règle de traitement, lesdits caractères identifiés par leurs positions respectives dans . ledit code doivent être extraits dudit code et, lesdites positions étant fournies de manière ordonnée, lesdits caractères extraits doivent être ordonnés conformément à l'ordre desdites positions.
- A l'étape a), ledit utilisateur transmet en outre au fournisseur un mot de passe de manière qu'après réception dudit mot de passe, ledit fournisseur opère une authentification préalable dudit utilisateur au moyen dudit mot de passe. De
préférence les étapes b) à h) ne sont exécutées qu'en cas de succès de ladite authentification préalable.
Ledit fournisseur est un établissement bancaire ou un commerçant offrant des articles ou des prestations sur Internet. - Les communications entre ledit fournisseur et ledit utilisateur se font par voie électronique, par exemple via le réseau Internet, par voie orale, par exemple via un réseau téléphonique, ou par courrier.
- A l'étape h), si lesdites première et deuxième données d'authentification sont différentes, ledit fournisseur ne reconnaît pas ledit utilisateur comme acceptable.
- Après un nombre déterminé de tentatives d'authentification infructueuses, par exemple trois, ledit fournisseur refuse toute nouvelle tentative dudit utilisateur identifié par ledit identifiant.
- Toutes les communications entre le fournisseur et l'utilisateur sont cryptées.
D'autres caractéristiques et avantages de la présente invention apparaîtront à la lecture de la description qui va suivre et à l'examen de dessin annexé dans lequel
- la figure 1 représente un support d'un code d'authentification pouvant être utilisé pour la mise en œuvre d'un procédé selon l'invention ;
- la figure 2 représente schématiquement les étapes d'un procédé d'authentification selon l'invention.
On se reporte à présent à la figure 2. Sur cette figure, les lettres a) à h) correspondent aux étapes du procédé selon l'invention. Faisant suite à la réception d'une requête pour accéder à un service ou acheter un produit, un fournisseur 1 , par exemple une banque, procède à une première étape d'identification de l'utilisateur 2 ayant émis la requête. Au cours de cette première étape (étape a)), l'utilisateur 2 décline son identité, par exemple en communiquant au fournisseur 1 un identifiant Id, classiquement sous la forme d'une suite de 11 caractères, généralement des chiffres.
Un mot de passe confidentiel M, classiquement constitué d'une suite de cinq caractères mémorisée par l'utilisateur 2, peut être également demandé à l'utilisateur 2 afin que le fournisseur 1 puisse procéder à une authentification préalable. A cet effet, le fournisseur 1 vérifie si le mot de passe M reçu est bien celui fourni à titre
confidentiel à la personne identifiée par l'identifiant Id. Si ce n'est pas le cas, la demande de l'utilisateur 2 est refusée. Sinon, le fournisseur 1 met en œuvre le procédé d'authentification complémentaire selon l'invention de la manière suivante.
Préalablement à la mise en œuvre du procédé selon l'invention, un code personnalisé C doit avoir été communiqué à l'utilisateur, par exemple par courrier banalisé. Comme on le verra plus en détail dans la suite de la description, plus le code C est long, plus le nombre de « questions », appelées par la suite « règles de traitement », différentes que le fournisseur 1 peut poser à l'utilisateur 2 pour l'authentifier est élevé. Pour que le nombre de ces règles soit élevé, et donc la sécurité de l'authentification très fiable, le code C a donc une longueur qui ne le rend que difficilement mémorisable. De préférence, le code C contient au moins 10, de préférence au moins 15, de préférence encore 16 caractères ordonnés C1-C16. Le code C étant nécessaire à chaque occurrence du procédé d'authentification selon l'invention, il est de préférence fixé sur un support 12, par exemple sur une carte telle que celle représentée sur Ia figure 1.
De préférence, chaque utilisateur 2 possède une carte 12 portant un code C unique. Cette carte lui est personnelle et il ne doit pas en divulguer le code C. Hormis l'utilisateur 2, seul le fournisseur 1 a connaissance du code C et du lien entre le code C et l'utilisateur 2. A cet effet, le fournisseur peut maintenir une base de données 20 contenant l'ensemble des couples « code C - identifiant Id» de ses clients, un identifiant Id unique étant affecté à chaque client.
En cas de succès de la procédure d'authentification préalable, optionnelle, le fournisseur 1 détermine une règle de traitement R apte à extraire une information « cachée » dans le code C (étape b)). De préférence, la règle de traitement change à chaque mise en œuvre du procédé selon l'invention, de préférence de manière aléatoire. De préférence, les modifications apportées à la règle de traitement sont cependant mineures, de manière à ne pas désorienter l'utilisateur 2.
Puis le fournisseur 1 transmet à l'utilisateur 2 à authentifier la règle de traitement R, l'utilisateur 2 devant appliquer cette règle au code C qu'il détient de manière à constituer une première donnée d'authentification A1 (étape c)). Si l'utilisateur 2 possède le code C, il le traite alors selon la règle de traitement R (étape d)) et informe le fournisseur 1 du résultat de ce traitement au moyen d'une première donnée d'authentification A1 valide (étape e)).
Une « règle de traitement » R est un ensemble d'instructions précisant comment, à partir du code C, constituer une donnée d'authentification valide.
Une « donnée d'authentification valide » est une donnée portant l'information « cachée » extraite du code C au moyen de la règle de traitement R. De préférence, la règle de traitement R fournit les positions respectives d'un certain nombre de caractères q du code C, demande à l'utilisateur 2 d'identifier dans le code C les caractères q correspondants, puis de les associer aux dites positions. La règle de traitement R se limite alors à une extraction, à partir du code C, de caractères q désignés par leurs positions pi dans le code C. Seule la personne possédant la carte 12 peut déterminer les caractères q ainsi désignés.
Dans le cas d'une communication par Internet, comme représenté sur la figure 1 , le fournisseur 1 peut par exemple demander que lui soient transmis les troisième, douzième et septième caractères du code C en envoyant à l'utilisateur 2 une boîte de dialogue 30 contenant trois zones de saisie 32, 34 et 36, libellées par exemple par « position n°3 », « position n°12 » et « position n°7 », respectivement. L'utilisateur 2 repère alors sur le code C de sa carte 12 les caractères C3, C12 et C7 occupant ces positions, à savoir « 4 », « 0 » et « 2 », respectivement (voir figure 1). L'utilisateur 2 les saisit ensuite dans les zones de saisie 32, 34 et 36, respectivement, puis valide sa saisie. La première donnée d'authentification A1 est alors générée automatiquement, de préférence cryptée et envoyée au fournisseur 1. Si elle est valide, la première donnée d'authentification A1 porte l'information selon laquelle le caractère « 4 » est le caractère en troisième position, le caractère « 0 » est le caractère en douzième position, et le caractère « 2 » est le caractère en septième position. Dans le cas de la règle de traitement préférée, une donnée d'authentification valide est donc une information précisant quels sont les caractères correspondant, dans le code C, aux positions désignées dans règle de traitement R envoyée par le fournisseur 1 à l'utilisateur 2 en vue de procéder à son authentification. Avantageusement, l'envoi d'une boîte de dialogue comportant un ensemble de zones de saisie libellées au moyen des positions des caractères que l'utilisateur 2 doit y saisir est particulièrement simple. Avantageusement, encore, une telle boîte de dialogue permet d'ordonner les positions pi, et donc la suite de caractères q saisis. La
règle de traitement R demande ainsi à l'utilisateur 2 non seulement d'identifier dans le code C les caractères q correspondant aux positions pi transmises, mais aussi de les ordonner en les saisissant dans les zones de saisie correspondantes. La probabilité que l'utilisateur 2 puisse fournir une donnée d'authentification A1 valide sans connaître le code C en est ainsi encore réduite.
Dans le cas d'une authentification effectuée par téléphone, la première donnée d'authentification A1 peut être simplement fournie en précisant oralement que les caractères aux positions 3, 12 et 7 sont « 4 », « 0 » et « 2 », respectivement.
Comme expliqué ci-dessus, la règle de traitement R est de préférence modifiée à chaque exécution du procédé selon l'invention (étape b)). De préférence, seules les positions pi utilisées pour désigner les caractères à extraire du code C sont modifiées, le nombre de caractères à extraire du code C étant constant.
Avantageusement, l'utilisateur 2 est ainsi toujours authentifié de manière similaire.
Avantageusement, l'aptitude de la procédure d'authentification à être acceptée par l'utilisateur en est améliorée. Le nombre de règles de traitement différentes qu'il est possible de construire selon ce modèle est d'autant plus grand que le nombre de caractères constituant le code C et le nombre de caractères à en extraire sont grands. De préférence cependant, le nombre de caractères à extraire du code C est toujours inférieur à 5, de préférence encore égal à 3. Avantageusement, la procédure d'authentification en est ainsi plus rapide.
Du fait de la modification de la règle de traitement R à chaque exécution du procédé selon l'invention, les informations sur les couples « caractère q - position pi du caractère q dans le code C » transmises par l'utilisateur 2 au fournisseur 1 au moyen de la première donnée d'authentification A1 sont différentes d'une mise en oeuvre du procédé à la suivante. Avantageusement, la connaissance d'une première donnée d'authentification A1 valide résultant d'une première mise en oeuvre du procédé selon l'invention ne permet donc pas de déduire quelle devrait être cette donnée lors d'une mise en oeuvre subséquente de l'invention.
Enfin, à la différence d'un mot de passe, le code C n'est normalement jamais communiqué dans son intégralité par l'utilisateur 2 au fournisseur 1. Quand bien même un tiers aurait-il eu accès à une première donnée d'authentification A1 valide, il ne pourrait en déduire le code C.
Fournir de manière ordonnée les caractères c, du code C désignés par leurs positions respectives pi dans Ie code C est une règle de traitement R particulièrement simple qui, avantageusement, ne nécessite aucune connaissance particulière de la part de l'utilisateur 2. D'autres règles de traitement sont cependant également envisageables. Par exemple, la règle de traitement pourrait être d'extraire les caractères désignés par une couleur, une forme, ou une taille particulières, et de les ordonner selon leurs positions respectives dans le code. La désignation pourrait également être réalisée par la délivrance de couples « abscisse - ordonnée » permettant de retrouver les caractères dans un tableau imprimé sur la carte. Des règles plus complexes, par exemple impliquant des opérations entre des caractères désignés de manière à fournir d'autres caractères puis à former la première donnée d'authentification A1 sont également envisageables.
Après avoir identifié l'utilisateur 2, de préférence au moyen de l'identifiant Id, le fournisseur 1 récupère le code C dans la base de données 20, par exemple au moyen de l'identifiant Id saisi par l'utilisateur 2 (étape T)). Puis le fournisseur 1 applique la règle de traitement R au code C de manière à déterminer une deuxième donnée d'authentification A2 (étape g)). La détermination de la deuxième donnée d'authentification A2 est indépendante de celle de la première donnée d'authentification A1 et peut être faite avant envoi de la règle de traitement R par le fournisseur 1 , ou pendant ou après la détermination et l'envoi de la première donnée d'authentification A1 par l'utilisateur 2.
Le fournisseur compare alors les première et deuxième données d'authentification (étape h)). Si les première et deuxième données d'authentification sont identiques, la première donnée d'authentification A1 est valide. L'utilisateur 2 a donc correctement fourni les caractères désignés selon la règle de traitement R et le fournisseur 1 considère que l'authentification est réussie. Il autorise en conséquence l'utilisateur 2 à accéder au service demandé.
Dans le cas contraire, cet accès est refusé. De préférence, le fournisseur 1 autorise successivement plusieurs tentatives d'authentification selon le procédé de l'invention, par exemple trois tentatives. Si toutes les tentatives sont infructueuses, le fournisseur 1 considère que les échecs ne sont pas des erreurs de lecture ou de saisie de l'utilisateur 2, mais que l'utilisateur 2 ne possède pas le code C. En conséquence, le fournisseur 1 refuse toute tentative ultérieure d'authentification, au
moins jusqu'à ce que la situation ne soit éclaircie, par exemple par une rencontre avec l'utilisateur 2.
Le code C n'étant jamais transmis dans son intégralité au cours de l'exécution du procédé selon l'invention, sa confidentialité ne peut être détruite par une telle exécution. Comme cela apparaît clairement à présent, l'invention fournit donc un procédé d'authentification simple à mettre en œuvre et fiable.
Bien entendu, l'invention n'est pas limitée au mode de réalisation décrit ci- dessus. En particulier, le nombre de caractères q du code C, leur nature (chiffres et/ou lettres), le nombre de caractères à saisir pour s'authentifier, et la nature du support (carte ou autre) peuvent être différents de ceux décrits.
Le blocage après un certain nombre d'essais infructueux est également optionnel.
De même, il est théoriquement possible de ne s'authentifier qu'au moyen du procédé selon l'invention décrit ci-dessus, sans avoir fourni préalablement un mot de passe lors d'une procédure d'authentification préalable.
Le domaine d'application préféré est le domaine bancaire, mais n'y est pas limité. Toute transaction nécessitant une authentification renforcée peut avantageusement mettre en œuvre le procédé selon l'invention.