WO2013093325A1 - Dispositif electronique pour le stockage de donnees confidentielles - Google Patents

Dispositif electronique pour le stockage de donnees confidentielles Download PDF

Info

Publication number
WO2013093325A1
WO2013093325A1 PCT/FR2012/052971 FR2012052971W WO2013093325A1 WO 2013093325 A1 WO2013093325 A1 WO 2013093325A1 FR 2012052971 W FR2012052971 W FR 2012052971W WO 2013093325 A1 WO2013093325 A1 WO 2013093325A1
Authority
WO
WIPO (PCT)
Prior art keywords
terminal
base
data
personal code
code
Prior art date
Application number
PCT/FR2012/052971
Other languages
English (en)
Inventor
Lionel GESTEIRA GASPAR
Original Assignee
Gesteira Gaspar Lionel
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gesteira Gaspar Lionel filed Critical Gesteira Gaspar Lionel
Priority to EP12819085.7A priority Critical patent/EP2795526A1/fr
Publication of WO2013093325A1 publication Critical patent/WO2013093325A1/fr

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2143Clearing memory, e.g. to prevent the data from being stolen
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/02Constructional features of telephone sets
    • H04M1/04Supports for telephone transmitters or receivers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/72Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
    • H04M1/724User interfaces specially adapted for cordless or mobile telephones
    • H04M1/72403User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality
    • H04M1/72409User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality by interfacing with external accessories

Abstract

L'invention concerne un dispositif électronique pour le stockage de données confidentielles comprenant au moins un terminal portable (2) pour stocker, gérer et transporter les données confidentielles et une base (1) apte à accueillir le terminal (2) pour sauvegarder et restaurer les données confidentielles, le dispositif électronique étant dépourvu d'interface de communication externe permettant l'écriture ou la lecture de données au sein du dispositif.

Description

Titre de l'invention
Dispositif électronique pour le stockage de données confidentielles
Arrière-plan de l'invention
La présente invention se rapporte au domaine général des dispositifs électroniques utiles dans l'environnement informatique et numérique.
Devant l'augmentation de l'utilisation des réseaux informatiques, les utilisateurs doivent gérer et stocker un nombre croissant d'identifiants, de mots de passe et de codes d'accès qui sont des données confidentielles. On sait par ailleurs que ces données doivent être présentes auprès de l'utilisateur afin de pouvoir être utilisées facilement.
Ainsi, plus précisément, l'invention concerne le stockage, le transport et la gestion d'informations confidentielles telles que les identifiants, mots de passe, codes d'accès, ou toute autre information de nature confidentielle. Pour assurer la confidentialité, il est capital que ces données ne se ressemblent pas. Néanmoins, beaucoup trop de personnes utilisent un même et unique mot de passe pour tous leurs identifiants.
Par ailleurs, il est connu que, pour chaque site internet, les mots de passe sont généralement stockés sur un serveur propre au site. Dans le cas où une personne mal intentionnée parviendrait à obtenir ces informations confidentielles sur l'un des serveurs de sites internet sur lesquels une personne est inscrite, elle pourrait ensuite tester ce mot de passe sur d'autres sites. On comprend bien le risque que revêt une telle situation.
Actuellement, on sait que beaucoup de personnes créent un fichier informatique standard de type tableur dans lequel ils stockent leurs données confidentielles. Ainsi, des données confidentielles comme les identifiants, mots de passe ou codes d'accès sont sauvegardés sur des fichiers informatiques. Ces fichiers informatiques sont généralement stockés sur tout type de support permettant le stockage de données numériques, que ce soit des disques durs, de la mémoire flash, une clé USB, etc.. Cette situation présente l'inconvénient que les fichiers contenant les données confidentielles sont stockés dans un environnement numérique peu ou pas protégé. Cela introduit une faille de sécurité importante dans la gestion des données confidentielles.
On sait notamment qu'un fichier contenant des données confidentielles sur un disque dur d'ordinateur est à la merci d'un pirate informatique qui, via le réseau auquel est connecté l'ordinateur, pourra extraire ces données et les exploiter. Par ailleurs, lorsque les fichiers contenant des données confidentielles sont présents sur un support amovible, un tel support peut être volé ou perdu.
En tout état de cause, ces fichiers sont ouverts et gérés directement sur un ordinateur ou sur un dispositif type téléphone intelligent ou tablette numérique. Ils sont ainsi exploités dans un environnement communiquant présentant donc un potentiel élevé de faille de sécurité.
A l'heure actuelle, il n'existe pas de dispositif exclusivement dédié au stockage et à la gestion de données confidentielles sur des équipements dédiés et l'état actuel de la technique ne fournit donc pas de solutions techniques fiables adéquates pour le traitement de données confidentielles du type mots de passe, identifiants et codes d'accès. En même temps, l'utilisation de telles données confidentielles est de plus en plus fréquente et indispensable au quotidien des utilisateurs de réseaux informatiques. Il existe donc un besoin pour des équipements permettant d'obtenir un niveau de sécurité satisfaisant pour la gestion, le transport et le stockage de ces données confidentielles.
Objet et résumé de l'invention
La présente invention a pour but principal la création d'un dispositif indépendant et dédié à la gestion, au transport et au stockage de données confidentielles telles que les identifiants et les mots de passe.
Pour cela, l'invention propose un dispositif électronique pour le stockage de données confidentielles comprenant au moins un terminal portable pour stocker, gérer et transporter les données confidentielles et une base apte à accueillir le terminal pour sauvegarder et restaurer les données confidentielles, la base et le terminal comprenant chacun au moins une carte à puce à mémoire et un port de connexion l'un à l'autre et étant chacun munis d'une interface de dialogue interne pour échanger des données et permettre la copie de données, dont les données confidentielles, de la carte à puce du terminal vers celle de la base et vice versa pour des opérations de reconnaissance du terminal, de sauvegarde de données et de restauration de données,
le terminal comprenant en outre au moins des moyens de saisie de données et des moyens de visualisation de données dont la base est en revanche dépourvue,
le fonctionnement du terminal étant protégé par saisie d'un code personnel sur le terminal,
la base comprenant des moyens logiciels pour détecter la connexion d'un terminal, interroger le terminal connecté requérant une saisie du code personnel sur le terminal et autoriser ou non le fonctionnement des interfaces de communication interne pour la gestion des données confidentielles en fonction du résultat de cette interrogation, le fonctionnement de la base étant ainsi protégée par saisie du code personnel sur le terminal connecté à la base,
le dispositif électronique étant dépourvu d'interface de communication externe permettant l'écriture ou la lecture de données au sein du dispositif.
Un tel dispositif présente une structure dédiée particulière pour gérer les données confidentielles, les sauvegarder sur un deuxième support et les transporter sur un équipement, l'ensemble étant isolé d'un point de vue réseau. Le dispositif ne disposant pas d'interface de communication externe, on obtient en effet une sécurisation maximale du dispositif qui est indépendant du réseau.
Selon l'invention, le terminal ne peut dialoguer, électroniquement parlant, qu'avec sa base afin de copier les données de sa carte à puce vers celle de la base ou vice versa. L'ensemble est hermétiquement isolé car totalement dépourvu d'accès extérieur permettant un dialogue de type entrée/sortie.
Avec l'invention, les opérations de gestion, sauvegarde et restauration sont réalisées au sein du dispositif composé de deux parties distinctes, un terminal et une base complémentaires. Les informations sont stockées sur des cartes à puce, typiquement une carte SIM, présentes dans chacune des deux parties. Par analogie, on peut considérer le terminal comme un trousseau principal et la base comme un double de ce trousseau. En effet, le terminal permet de stocker et gérer les données confidentielles, la base permet quant à elle de sauvegarder et de restaurer des données du terminal vers la base ou de la base vers le terminal.
Dans le dispositif selon l'invention, le terminal a une vocation mobile alors que la base a une vocation fixe en lieu sûr. Avec l'invention, la communication entre le terminal et la base pour la gestion des données confidentielles est sécurisée par la saisie du code personnel. Le dispositif fonctionne comme une mémoire et son double inaccessibles de l'extérieur.
Le fait que la base soit dépourvue de moyens de saisie et de visualisation de données permet de n'autoriser son fonctionnement que lorsque le terminal est connecté sur la base. Tout accès à la base sans le terminal n'est pas possible. La base n'est pas non plus destinée à afficher des données confidentielles que seul le terminal permet d'afficher.
L'utilisation du code personnel pour débloquer le fonctionnement du terminal et celui de la base permet de sauvegarder et restaurer les données confidentielles au sein du terminal en cas de problème au sein de celui-ci ou en cas de perte. Une fois le code personnel saisi sur le terminal connecté à la base, les données pourront ainsi être restaurées, y compris sur un terminal vierge. La sauvegarde ainsi obtenue grâce à la base est donc sécurisée par au moins un procédé d'authentification par saisie de code personnel.
Le terminal neuf connecté sert alors seulement à saisir le code personnel afin d'avoir accès à la base et de pouvoir restaurer les données confidentielles de la base vers le terminal de manière sécurisée. L'existence de la base constitue un double des données confidentielles sur un support sécurisé et dédié en cas de perte, de vol ou de casse du terminal.
Le terminal, quant à lui, permet ainsi une mobilité optimale tout en assurant une accessibilité très aisée aux données, en tout lieu à partir du terminal une fois que le code personnel a été saisi.
L'invention permet ainsi de gérer les données confidentielles par l'intermédiaire d'un système dédié autorisant un accès aux données très restreint. Le support est donc du type carte à puce type SIM sécurisé avec code personnel et isolé des réseaux.
En outre, on remarque que l'invention nécessite que l'utilisateur retienne seulement un code personnel pour le fonctionnement du dispositif.
Dans une réalisation avantageuse, le port du terminal étant apte à être connecté à un appareil électronique externe, le terminal comprend une interface de communication externe unidirectionnelle permettant la sortie de données, le terminal constituant ainsi un périphérique d'entrée.
Le terminal fonctionne alors comme un clavier. Il se substitue à celui-ci et envoie les identifiants et mots de passe directement dans un champ de saisie sur l'ordinateur auquel il est connecté via son port physique. Cela évite l'opération de lecture et de saisie du mot de passe ou de l'identifiant par l'utilisateur sur l'écran du terminal.
Avantageusement, une commande unique de l'utilisateur déclenche l'envoi des données confidentielles sélectionnées par l'utilisateur sur le terminal sur l'interface de communication externe unidirectionnelle. Typiquement, une action via une molette ou un bouton engendrera cet envoi.
Selon une caractéristique particulière de l'invention, la base et le terminal comprennent des moyens logiciels de couplage personnalisé actifs lors de la première mise en service de la base et demandant, lors de l'allumage du terminal, le choix d'un code personnel par saisie sur le terminal qui le mémorise et engendrant la communication de ce code personnel vers la base qui le mémorise aussi.
Une telle mise en service permet d'obliger l'utilisateur à choisir un code personnel qui lui permettra d'accéder au terminal et à la base. Cela assure automatiquement, à la première mise en service d'un terminal sur la base, une sécurisation de l'accès aux deux éléments du dispositif électronique.
Selon une caractéristique avantageuse, les interfaces de communication internes utilisent une communication cryptée.
Cette caractéristique permet de sécuriser encore d'avantage le fonctionnement du dispositif puisque toute communication qui pourrait être interceptée entre la base et le terminal n'est pas aisément interprétable ni lisible. Selon une caractéristique particulière, la base et le terminal comprennent des moyens logiciels de cryptage du dispositif électronique actifs lors d'une première mise en service de la base et requérant la saisie d'une clé de cryptage sur le terminal qui le mémorise et engendrant la communication de cette clé de cryptage vers la base qui le mémorise aussi, cette clé étant ultérieurement systématiquement utilisée pour les communications entre la base et le terminal.
Cette caractéristique assure la mise en service du cryptage. Avantageusement, une clé de cryptage sera à disposition de l'utilisateur dans l'emballage d'origine. Dans une mise en œuvre particulièrement sécurisée, la clé de cryptage pourra aussi être demandée dès lors qu'un nouveau terminal sera connecté sur la base. La clé saisie sera alors comparée à celle stockée sur la base. Il appartiendra alors à l'utilisateur de conserver précieusement la clé de cryptage sur un document en lieu sûr.
Préférentiel lement, selon une caractéristique avantageuse, la base et le terminal comprennent des moyens logiciels de couplage machine actifs lors d'une première mise en service d'un terminal sur la base et générant l'envoi, par la base, d'un code machine associé à celle-ci lors de sa fabrication au terminal pour mémorisation par celui-ci.
Un tel couplage automatique de la base et du terminal est particulièrement intéressante puisque l'utilisateur n'a jamais accès à cet échange de données. Cela permet de mettre en œuvre une première reconnaissance du terminal. En outre, cette caractéristique permet d'assurer l'association entre une base et un terminal quand un terminal neuf est utilisé sur la base.
Selon une caractéristique avantageuse, le terminal inclut un générateur de mots de passe aléatoire.
Un tel générateur de mots de passe aléatoire permet de répondre à un niveau élevé de sécurité du mot de passe. En effet il est fortement conseillé d'avoir des mots de passe à 8 caractères minimum comportant majuscules minuscules lettre chiffre voire symbole. De plus en plus de base de données d'entreprise demande des mots de passe sous ce format avec pour obligation de le renouveler toutes les 4 semaines et interdiction de ressemblance entre les anciens mots de passe. Avec un tel générateur, l'utilisateur n'a pas à créer lui- même ses mots de passe, ceux-ci étant générés automatiquement. Le problème des mots de passe générés aléatoirement est la difficulté à les retenir. Cependant, comme l'invention génère un soutien permanent à la mémoire de l'utilisateur, cela n'est plus un frein. En outre, dans le mode de réalisation avantageux selon lequel le terminal est apte à se comporter comme un périphérique d'entrée du type clavier, il est facile pour l'utilisateur d'envoyer le mot de passe aléatoire vers l'ordinateur destinataire sans avoir à le lire puis à le saisir sur l'ordinateur.
Dans une implémentation particulière, la base comprend deux parties, une partie électronique et une partie mécanique interchangeable faisant masse et évitant le basculement du dispositif lorsque la base accueille le terminal.
Une telle constitution de la base permet d'intégrer une partie électronique très légère au sein d'une partie mécanique qui peut prendre toute forme. La base, du point de vue électronique, est de petite taille, légère. Afin qu'elle puisse supporter le poids du terminal, la base pourra être contenue dans un contenant qui permettra de supporter la stabilité de l'ensemble et d'apporter une touche esthétique à l'ensemble. La partie mécanique faisant masse permet d'équilibrer le dispositif lors de la connexion du terminal sur la base. La présence de la partie mécanique est aussi très avantageuse d'un point de vue esthétique et d'un point de vue de la personnalisation du dispositif électronique selon l'invention.
Dans un mode de réalisation préférentiel, les cartes à puce sont des cartes de type cartes SIM.
Cette réalisation permet l'utilisation de cartes bien connues au sein du dispositif selon l'invention, ces cartes étant bien adaptées à la mise en œuvre de l'invention.
Dans un mode particulier de réalisation, la base et le terminal sont munis de moyens logiciels de destruction de données actifs dès lors qu'un nombre maximum de saisies incorrectes du code personnel se sont produites.
On comprend que cette caractéristique est utile dans la mesure où le dispositif électronique selon l'invention contient des données sensibles qui ne doivent pas pouvoir être atteinte par quelqu'un qui tenterait, à de multiples reprises, de rentrer un code via une procédure de tests et échecs. Dans l'implémentation de l'invention, les moyens de saisie de données du terminal sont choisis parmi les claviers miniaturisés, les systèmes d'écran associé à une molette de contrôle, les écrans tactiles.
De tels moyens de saisie de données sont classiquement connus par l'homme du métier. Avantageusement un écran tactile sera utilisé pour implémenter en même temps les moyens de visualisation des données et les moyens de saisie.
L'invention concerne également un procédé de connexion destiné à être mis en œuvre entre le terminal et la base dans un dispositif selon l'une des revendications précédentes comprenant les étapes de :
- détection, par la base, de la connexion d'un terminal sur la base ;
- interrogation, par la base, du terminal pour la saisie du code personnel ;
- communication, par le terminal vers la base, du code personnel et vérification de l'identicité du code personnel saisi avec celui stocké au sein de la base ;
- autorisation, par la base vers le terminal, du dialogue entre la base et le terminal.
Un tel procédé mis en œuvre au sein de la base et au sein du terminal permet l'autorisation par la base des échanges entre la base et le terminal et, de manière plus générale, le fonctionnement du dispositif. La simple saisie du code personnel dans le contexte d'un dispositif électronique complètement isolé de tout réseau apparaît largement suffisante pour assurer une bonne sécurité des données personnelles de l'utilisateur.
Selon une caractéristique particulière de l'invention, le procédé comprend, à la première utilisation du dispositif, les étapes de :
- communication, par la base vers le terminal, d'un code machine unique ;
- stockage du code machine reçu au sein du terminal.
Cette caractéristique permet un couplage automatique, hors action de l'utilisateur, de la base avec son terminal.
Selon une autre caractéristique particulière de l'invention, le procédé comprend, à la première utilisation du dispositif, les étapes de :
- requête de saisie d'une clé de cryptage ;
- stockage de la clé de cryptage au sein du terminal et de la base. La clé de cryptage sert à crypter les communications internes. Sa saisie par l'utilisateur ajoute une étape de vérification de son identité.
En effet, le procédé comprend, à la première utilisation d'un terminal, les étapes de :
- requête de saisie d'une clé de cryptage ;
- vérification de l'identicité de la clé de cryptage saisie avec celle stockée au sein de la base.
Ces étapes, préalables au fonctionnement routinier du dispositif électronique selon l'invention, permettent d'assurer la sécurisation complète et personnalisée du dispositif.
Brève description des dessins
D'autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins annexés qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif. Sur les figures :
La figure 1 montre un dispositif électronique pour le stockage de données confidentielles selon l'invention,
La figure 2 montre de manière plus détaillée la structure du terminal selon l'invention,
La figure 3 montre de manière détaillée la structure de la base selon l'invention,
La figure 4 montre les différentes implémentations possibles pour la recharge du terminal,
La figure 5 montre un organigramme du procédé selon l'invention,
La figure 6 montre les différentes étapes de l'utilisation du dispositif électronique selon l'invention.
Description détaillée d'un mode de réalisation
La figure 1 représente un dispositif électronique selon l'invention comprenant une base 1 et un terminal 2 positionné sur la base. La base 1 comprend un boîtier sur lequel est installé un port 10 d'interconnexion avec le terminal 2. Ce port 10 permet la sauvegarde et la restauration de données entre le terminal 2 et la base 1. Elle comprend aussi avantageusement un second port physique de connexion 11 servant notamment pour son alimentation. L'alimentation pourra être réalisée directement à partir du réseau électrique via un adaptateur ou à partir d'un dispositif externe type ordinateur.
Dans ce dernier cas, le second port physique 11 est alors aussi utile pour la mise en œuvre d'une interface de communication unidirectionnelle qui permettra à la base 1 de se comporter en clavier quand le terminal 2 y sera connecté selon un procédé qui sera décrit dans la suite. Dans ce cas, le terminal 2 est connecté via sa base 1 à un ordinateur tout en étant reconnu comme un périphérique d'entrée de type clavier.
On comprend ici que plusieurs interfaces au sens de l'invention peuvent être implémentées via un même port physique, typiquement un port micro USB.
Le terminal 2 comprend quant à lui un boîtier sur lequel sont installés un actionneur marche/arrêt 21, des moyens de visualisation, typiquement un écran 20 sur lequel peuvent être visualisés les divers menus du dispositif et les données confidentielles, et des moyens de saisie qui peuvent aussi inclure l'écran. Dans la réalisation présentée sur les figures, le terminal 2 comprend une molette 22 et un écran 20.
La molette de contrôle 22 permet de déplacer un curseur à l'écran 20. Elle permet aussi avantageusement de sélectionner une action visible à l'écran. Notamment la molette 22 permet de se déplacer dans un menu et de saisir des données alphanumériques. La molette permet d'interagir avec le terminal 2 en visualisant à l'écran 20 les opérations sélectionnées. La molette est un cylindre pivotant sur un axe coupant le centre de chacune des deux faces du cylindre. Ce pivot peut s'effectuer vers le bas ou le haut. Le cylindre peut aussi par appui s'enfoncer légèrement afin de créer un contact qui déclenchera une action. Cette molette peut donc donner 4 états différents décrits dans le tableau ci-dessous qui détaille son fonctionnement :
Opération Résultat
Déplacement vers le Déplacement du curseur écran de gauche à droite bas
Déplacement vers le Déplacement du curseur écran de droite à gauche haut Enfoncement de la Sélection du caractère ou bouton correspondant à sa position molette sur l'écran du terminal.
Molette au repos Curseur immobile, aucune action
Le terminal 2 comprend aussi un port d'interconnexion 23 avec la base 1.
Il s'agit avantageusement d'une connexion utilisant des ports micro USB.
La figure 2 montre la structure électronique du terminal 2. Celui-ci comprend une carte électronique 24 comprenant au moins une carte à puce 240 incluant une mémoire. Le terminal comprend également une batterie 25. La carte électronique 24 est connectée aux différents éléments du terminal 2 : l'écran 20, la batterie 25, la molette 22, l'actionneur marche/arrêt 21 et le port 23. Le terminal 2 est un objet autonome, mobile, destiné à fonctionner auprès de l'utilisateur à distance de la base 1.
L'accès aux données stockées au sein du terminal 2 est protégé par un code personnel stocké dans la mémoire de la carte à puce 240. Ainsi, après allumage du terminal par appui sur le bouton marche/arrêt ou après une période inactive prolongée, l'utilisateur est invité à saisir son code personnel, typiquement son code PIN. Sans saisie correcte du code PIN aucune donnée n'est accessible. De plus le nombre de tentatives est limité à 3. Au-delà, la carte à puce 240 de type SIM sera bloquée et il faudra pour la débloquer saisir le code PUK fournit avec l'ensemble lors de l'achat. Si le code PUK est saisi de façon incorrecte plusieurs fois de suite, ce nombre variant suivant le fournisseur de carte à puce, la carte SIM deviendra inutilisable.
Le terminal 2 isolé de sa base fonctionne donc de manière très simple avec un accès aux données après saisie du code personnel et vérification de son exactitude. Une fois cet accès accordé, l'utilisateur peut saisir de nouvelles données ou lire à l'écran 20 les données stockées. Il peut également sélectionner une donnée particulière, par exemple un identifiant ou un mot de passe. Par exemple cette donnée sélectionnée sera envoyée vers un ordinateur sur une interface unidirectionnelle selon laquelle le terminal sera vu comme un clavier. Cela est détaillé dans la suite.
Le terminal 2 assure la mobilité et l'accessibilité aux données confidentielles à partir de lui-même après saisie du code personnel. Cette saisie protège les données. Cet accès est possible n'importe où grâce à son écran 20, sa molette de contrôle 22, son autonomie électrique et sa carte à puce de type SIM. Ainsi l'utilisateur peut exploiter son terminal afin de gérer ses données n' importe où et n'importe quand. Par analogie on peut considérer le terminal comme un trousseau de clé principal.
La figure 3 montre la structure électronique de la base 1. Elle comprend une carte électronique 12 comprenant au moins une carte à puce 120 à mémoire. La carte électronique 12 est connectée aux deux ports 10 et 11. La base 1 n'est utile qu'en présence d'un terminal connecté. Sinon, il s'agit d'une boite dépourvue de moyens d'accéder aux données stockées. La base 1 a vocation de rester à un poste fixe et sur. Elle permet d'avoir un double des données sur un support sécurisé et dédié en cas de perte, de vol ou de casse du terminal 2. Cela permet de sauvegarder et restaurer les données avec le terminal. La carte électronique 12 de la base contient la carte à puce de type SIM 120 de la base ou sont stockées les données à sauvegarder et l'électronique nécessaire au fonctionnement de la base afin qu'elle puisse dialoguer avec son terminal et qu'elle puisse gérer ses interfaces micro USB.
Par analogie on peut considérer la base comme un double du trousseau de clé principal.
L'ensemble numérique constitué du terminal 2 et de la base 1 permet de gérer des données confidentielles et de les sauvegarder sur deux cartes à puce de type SIM présente dans deux équipements distincts.
Les figures 4A et 4B montrent deux types de mise en charge du terminal 1. Sur la figure 4A, le terminal 2 est connecté, via son port d'interconnexion, et un cordon USB 3 à un ordinateur ou à un adaptateur secteur 4. Sur la figure 4B, le terminal 2 est connecté à sa base 1 qui, elle-même, est connecté via son second port 11 et un cordon USB 3, à un ordinateur ou à un adaptateur secteur 4.
On remarque ici que les deux types de connexion du terminal 2 à un ordinateur présentées sur les figures 4A et 4B sont également utiles pour la mise en œuvre de l'interface de communication unidirectionnelle selon laquelle le terminal est vu comme un clavier par l'ordinateur.
En effet, dans un mode de réalisation préférentiel, si le terminal 2 est connecté à un ordinateur à la façon montrée sur la figure 4A, le terminal 2 peut se comporter en clavier. Dans ce cas, le terminal 2 est alors apte à envoyer la donnée sélectionnée vers l'ordinateur vers la zone active à ce moment-là. Cette caractéristique de périphérique d'entrée apporte un avantage en termes de confort et de rapidité pour saisir des données comme des identifiants et mot de passe par un simple clic sur la molette de contrôle.
Le terminal est alors vu comme un clavier grâce à un driver présent sur sa carte à puce et il peut ainsi envoyer les différents caractères alphanumériques dans le code voulu à l'ordinateur via le port micro USB préalablement raccordé via un cordon micro USB/USB. Cela permet à l'utilisateur de ne pas avoir à taper au clavier des séries de caractères alphanumériques.
Autant la base ou le terminal peuvent être connectés à des éléments qui sont relié à un réseau, notamment un ordinateur, autant aucune interface mise en œuvre sur les ports de connexion n'intègre une quelconque fonction de lecture ou d'écriture sur la base ou sur le dispositif. La seule communication possible est unidirectionnelle du terminal seul ou via la base vers et seulement vers l'élément externe.
La figure 5 montre schématiquement le procédé de fonctionnement du dispositif selon l'invention. Ce fonctionnement particulier a lieu lorsqu'un terminal 2 est connecté sur la base 1. Il n'autorise l'intercommunication entre la base 1 et le terminal 2 que sous certaines conditions dont la saisie du code personnel.
La première étape E0 est la détection D(2), par la base 1, de la connexion d'un terminal 2. Lorsqu'un terminal 2 est détecté, la présence d'un code personnel stocké au sein de la base CP(1) est vérifiée dans une étape El. Cette étape peut être remplacée par la détection qu'il s'agit d'une première connexion.
Dans le cas où un code personnel est stocké (cas 0), le procédé comprend une étape E2 de vérification de la présence d'un code personnel stocké dans le terminal CP(2). Dans le cas 0 où un code personnel est stocké dans le terminal 1, le procédé vérifie, dans une étape E3, que les codes personnels stockés dans la base 1 et le terminal 2 sont identiques ID(CP). Dans le cas N où ils ne le sont pas, une étape E3' affiche une erreur sur le terminal et l'ensemble terminal/base ne peut communiquer.
Dans le cas O où ils sont identiques, une étape E4 de saisie du code personnel SCP est réalisée. Une fois que l'utilisateur a saisi et validé le code, dans une étape E5, le dispositif vérifie que le code personnel saisi est identique ID(CP) au code stocké.
Dans le cas 0 où ils le sont, l'autorisation de la communication interne ACI est effective au sein du dispositif. Sinon, cas N, l'étape E4 de saisie du code personnel est réitérée trois fois. Après trois essais infructueux, la base 1 et le terminal 2 comprennent des moyens logiciels bloquant le fonctionnement du dispositif. Le terminal affiche un message d'erreur et il sera nécessaire de débloquer le dispositif en entrant un code particulier, typiquement un code PUK. Il peut alors être mis en œuvre automatiquement une requête de saisie d'un autre code type PUK sur le terminal. A défaut, le terminal et la base deviennent inutilisables.
Dans le cas où l'étape E2 se conclue par l'absence d'un code personnel stocké sur le terminal (cas N), il s'agit de la connexion d'un terminal vierge.
Le procédé selon l'invention permet d'authentifier l'utilisateur par la saisie de son code personnel SCP dans une étape E4. Dans le cas où l'étape E5 se solde par un résultat positif, le terminal 2 a accès à la base 1 pour demander la restauration des données stockées sur la base 1 dans la mémoire de sa carte à puce SIM 240.
Dans l'absolu, cette saisie du code personnel suffit à identifier l'utilisateur. Cependant, avantageusement la saisie du code personnel est complétée par des échanges de données entre base 2 et terminal vierge 1 qui permettront à ces deux éléments de se reconnaître lors d'utilisations ultérieures.
Il s'agit des étapes El signalées en pointillées. Une étape EU est ainsi avantageusement réalisée dès que le dispositif a détecté dans l'étape E2 que le terminal 2 connecté est vierge. Il s'agit de l'envoi par la base 1 de son numéro machine CM unique au terminal 2 qui le grave sur sa carte à puce 240 de manière définitive. Ainsi le numéro gravé CM ne peut plus être modifié afin d'apporter un niveau supplémentaire de sécurité entre la base et son terminal. A chaque interconnexion base/terminal ultérieure, le dispositif fait automatiquement, sans intervention de l'utilisateur, une vérification de l'identicité des numéros machine CM gravés dans la base et dans le terminal.
Le terminal 2 et la base 1 sont alors couplés indépendamment et en plus de la saisie du code personnel. A chaque interconnexion, l'identicité ID(CM) du code machine CM au sein des deux éléments du dispositif est alors vérifiée. Cela est schématisé par l'étape en pointillés EVl qui se solde par un message d'erreur dans le cas d'une non-identicité.
Cette étape EU est également réalisée lors de la première utilisation du dispositif. Ce cas est détecté au moment de l'étape El, dans le cas N où la base 1 ne comprend pas de code personnel CP stocké. Ce cas correspond à l'initialisation du dispositif. Dans ce cas, avantageusement, une étape ΕΙ0 est réalisée pour demander à l'utilisateur la langue LU à utiliser sur l'écran du terminal 2.
Après cette étape ou simultanément, l'étape EU est réalisée automatiquement pour coupler la base et le terminal automatiquement.
Ensuite, de manière additionnelle, une étape EI2 de saisie d'une clé de cryptage CC est avantageusement nécessaire au couplage du dispositif. Dans ce cas, l'utilisateur est invité, dans une étape EI3, à saisir une clé de cryptage CC, par exemple sur 3 chiffres. Cette clé est avantageusement fournie avec le dispositif sur un support visuel dans l'emballage.
La clé de cryptage CC sert pour crypter les échanges entre les deux cartes à puce du terminal 2 et de la base 1 de manière définitive. Elle est donc stockée S(CC) au sein de la base 1 et du terminal 2 dans une étape EI3. A l'issue de cette étape qui appartient au procédé d'initialisation, l'utilisateur sera invité, dans l'étape E4, à saisir SCP, pour la première fois, un code PIN à 4 chiffres pour le fonctionnement de l'ensemble. Le code personnel CP est alors stocké S(CP) dans une étape E5' et l'accès ACI est donné pour l'échange de données dans l'étape E6.
A chaque interconnexion, l'identicité de la clé de cryptage au sein des deux éléments du dispositif est alors vérifiée. Cela est schématisé par l'étape en pointillés EV2 qui se solde par un message d'erreur dans le cas d'une non- identicité.
Dans le cas de la connexion d'un nouveau terminal vierge avec utilisation d'une clé de cryptage, après l'étape EU d'échange du code machine de la base, une étape EI2 de saisie de la clé de cryptage CC est réalisée. L'identicité ID(CC) de la clé de cryptage CC saisie avec celle stockée est vérifiée dans une étape EI3'. Si la clé de cryptage CC saisie est identique à celle stockée, cas 0, l'étape E4 de saisie du code personnel est alors activée. Sinon, cas N, la saisie de la clé de cryptage CC est redemandée trois fois. A l'issue de trois essais infructueux, le dispositif se bloque et un message d'erreur apparaît sur le terminal 2.
Dans le cas où la totalité des mesures de sécurité est activée, le dispositif comprend trois niveaux de sécurité : la saisie d'un code personnel, la vérification automatique du code machine qui ne peut être changé ni saisi par l'utilisateur et la vérification automatique de la clé de cryptage qui fait intervenir une saisie de l'utilisateur qui possède l'emballage d'origine. En effet, après l'étape EV1, dans le cas où une clé de cryptage est utilisée, une étape EV2 est réalisée qui vérifie l'identicité ID(CC) des clés de cryptage stockées dans le terminal 2 et dans la base 1.
Les communications internes sont aussi sécurisées par la clé de cryptage qui permet le dialogue sécurisé et authentifié électroniquement entre les deux équipements. On comprend ici que le dispositif permet, en cas de perte, de vol ou de casse du terminal, de pouvoir exploiter les données sauvegardées sur la base pour les restaurer sur un terminal vierge.
Le jumelage des deux cartes à puce de la base et du terminal se fait donc sur trois niveaux. Deux sur trois étant effectuées lors de la première utilisation afin que la base reconnaisse et authentifie son terminal sans l'intervention de l'utilisateur. Cela évite, comme c'est le cas avec une simple sécurisation par code personnel, qui peut cependant être envisagée, qu'une personne malintentionnée ayant eu accès au seul code personnel puisse accéder aux données confidentielles.
La figure 6 illustre le fonctionnement routinier de l'invention avec différents écrans d'affichage du terminal. Le premier écran El est un écran de saisie du code personnel. Le second E2 est un écran de bienvenue. Le troisième E3 donne accès à plusieurs options que sont le « répertoire de données », la gestion du « code personnel », les commandes de « sauvegarde et de restauration » et les « paramètres ». Le quatrième écran E4 montre l'affichage obtenu après sélection de l'option « répertoire de données ». Il s'agit d'offrir la possibilité de modifier une « entrée » préalable ou de réaliser une « nouvelle entrée ». Dans le cas où l'option « entrée préalable » est choisie, l'affichage est celui du cinquième écran E5 avec une liste des sites pour lesquels identifiants et mots de passe sont stockés. Quand un des sites est choisi, le sixième écran E6 est visible et l'utilisation peut lire les données confidentielles. Il peut aussi choisir de modifier celles-ci. Dans le cas montré sur la figure 6, le terminal offre la possibilité de se comporter en clavier comme explicité précédemment. Il propose ainsi l'envoi d'une donnée sélectionnée à un ordinateur externe.
On remarque enfin que diverses mises en œuvre peuvent être réalisées selon les principes de l'invention. En particulier, les cartes à puce de type SIM pourront être remplacées par des mémoires sécurisées permettant de garder les données de manière sure en les rendant non accessibles sans code d'accès. Ces mémoires devront détruire les données en cas de mauvaises saisies du code d'accès afin d'empêcher toute exploitation frauduleuses. L'écran et la molette de contrôle pourront être remplacés par un écran tactile ou tout autre procédé permettant la saisie et/ou la lecture des données par un utilisateur. Aussi le terminal pourra utiliser une onde infra rouge ou Bluetooth pour se connecter à un ordinateur en tant que clavier. Avantageusement, l'ensemble base, terminal et cordons pourront répondre aux normes TEMPEST afin de répondre aux besoins des forces armées ou services de renseignement.

Claims

REVENDICATIONS
1. Système électronique pour le stockage de données confidentielles, dépourvu d'interface de communication externe permettant l'écriture ou la lecture de données au sein du système, caractérisé en ce que le système comprend une base (1) et au moins un terminal portable (2) pour stocker, gérer et transporter les données confidentielles, la base (1) étant apte à accueillir le terminal (2) pour sauvegarder et restaurer les données confidentielles,
la base (1) et le terminal (2) comprenant chacun au moins une carte à puce à mémoire (120, 240) et un port de connexion (10,23) l'un à l'autre et étant chacun munis d'une interface de dialogue interne pour échanger des données et permettre la copie de données, dont les données confidentielles, de la carte à puce (240) du terminal (2) vers celle (120) de la base (1) et vice versa pour des opérations de reconnaissance du terminal (2) par la base, de sauvegarde de données sur la base et de restauration de données sur le terminal,
le terminal (2) comprenant en outre au moins des moyens de saisie de données (22) et des moyens de visualisation (20) de données dont la base (1) est en revanche dépourvue,
le fonctionnement du terminal (2) étant protégé par saisie d'un code personnel (CP) sur le terminal (2),
la base (1) comprenant des moyens logiciels pour détecter la connexion d'un terminal (2), requérir auprès du terminal (2) connecté une saisie du code personnel (CP) sur le terminal (2) et autoriser ou non le fonctionnement des interfaces de dialogue interne pour la gestion des données confidentielles au moins en fonction du résultat de cette requête, pour protéger le fonctionnement de la base (1) par saisie du code personnel (CP) sur le terminal (2) connecté à la base.
2. Système selon la revendication 1, caractérisé en ce que le port (23) du terminal (2) étant apte à être connecté à un appareil électronique externe (4), le terminal (2) comprend une interface de communication externe unidirectionnelle permettant la sortie de données, le terminal (2) constituant ainsi un périphérique d'entrée.
3. Système selon l'une des revendications précédentes, caractérisé en ce que la base (1) et le terminal (2) comprennent des moyens logiciels de couplage personnalisé actifs lors d'une première mise en service de la base (1) et demandant, lors de l'allumage du terminal (2), le choix d'un code personnel (CP) par saisie sur le terminal (2) qui le mémorise et engendrant la communication de ce code personnel (CP) vers la base (1) qui le mémorise aussi.
4. Système selon l'une des revendications précédentes, caractérisé en ce que les interfaces de dialogue interne utilisent une communication cryptée.
5. Système selon la revendication 4, caractérisé en ce que la base (1) et le terminal (2) comprennent des moyens logiciels de cryptage demandant lors d'une première mise en service de la base (1) la saisie d'une clé de cryptage (CC) sur le terminal (2) qui la mémorise et engendrant la communication de cette clé de cryptage (CC) vers la base (1) qui la mémorise aussi, cette clé (CC) étant ultérieurement systématiquement utilisée pour les communications entre la base (1) et le terminal (2).
6. Système selon l'une des revendications précédentes, caractérisé en ce que la base (1) et le terminal (2) comprennent des moyens logiciels de couplage machine actifs lors d'une première mise en service d'un terminal (2) sur la base (1) et générant l'envoi, par la base (1), d'un code machine (CM) associé à celle-ci lors de sa fabrication au terminal (2) pour mémorisation par celui-ci.
7. Système selon l'une des revendications précédentes, caractérisé en ce que le terminal (2) inclut un générateur de mots de passe aléatoires.
8. Système selon l'une des revendications précédentes, caractérisé en ce que la base (1) comprend deux parties, une partie électronique et une partie mécanique, la partie mécanique étant interchangeable pour la personnalisation du système électronique, faisant de plus masse et évitant le basculement du système lorsque la base (1) accueille le terminal (2).
9. Système selon l'une des revendications précédentes, caractérisé en ce que les cartes à puce (120, 240) sont des cartes de type carte SIM.
10. Système selon l'une des revendications précédentes, caractérisé en ce que la base (1) et le terminal (2) sont munis de moyens logiciels de destruction de données actifs dès lors qu'un nombre maximum de saisies incorrectes du code personnel (CP) se sont produites.
11. Système selon l'une des revendications précédentes, caractérisé en ce que les moyens de saisie de données du terminal (2) sont choisis parmi les claviers miniaturisés, les systèmes d'écran (20) associé à une molette de contrôle (22), et les écrans tactiles.
12. Procédé de connexion destiné à être mis en œuvre entre le terminal
(2) et la base (1) dans un système selon l'une des revendications précédentes comprenant les étapes de :
- détection, par la base (1), de la connexion d'un terminal (2) sur la base
(1) ;
- interrogation, par la base (1), du terminal (2) pour la saisie du code personnel (CP) ;
- communication, par le terminal (2) à la base (1), du code personnel (CP) et vérification de l'identité du code personnel (CP) saisi et de celui stocké au sein de la base (1) ;
- autorisation, par la base (1), du dialogue entre la base (1) et le terminal
(2) .
13. Procédé selon la revendication 12, caractérisé en ce qu'il comprend, à la première utilisation d'un terminal (2), les étapes de :
- communication, par la base (1) au terminal (2), d'un code machine (CM) unique ;
- stockage du code machine (CM) reçu au sein du terminal (2).
14. Procédé selon l'une des revendications 12 et 13, caractérisé en ce qu'il comprend, à la première utilisation du système, les étapes de :
- requête de saisie d'une clé de cryptage (CC) ;
- stockage de la clé de cryptage (CC) au sein du terminal (2) et de la base (1).
15. Procédé selon la revendication 14, caractérisé en ce qu'il comprend, à la première utilisation d'un terminal (2), les étapes de :
- requête de saisie d'une clé de cryptage (CC) ;
- vérification de l'identité de la clé de cryptage (CC) saisie et de celle stockée au sein de la base (1).
PCT/FR2012/052971 2011-12-23 2012-12-18 Dispositif electronique pour le stockage de donnees confidentielles WO2013093325A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP12819085.7A EP2795526A1 (fr) 2011-12-23 2012-12-18 Dispositif electronique pour le stockage de donnees confidentielles

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1162422A FR2985052B1 (fr) 2011-12-23 2011-12-23 Dispositif electronique pour le stockage de donnees confidentielles
FR1162422 2011-12-23

Publications (1)

Publication Number Publication Date
WO2013093325A1 true WO2013093325A1 (fr) 2013-06-27

Family

ID=47628303

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2012/052971 WO2013093325A1 (fr) 2011-12-23 2012-12-18 Dispositif electronique pour le stockage de donnees confidentielles

Country Status (3)

Country Link
EP (1) EP2795526A1 (fr)
FR (1) FR2985052B1 (fr)
WO (1) WO2013093325A1 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI657308B (zh) * 2014-03-27 2019-04-21 英特爾股份有限公司 具有發射式顯示器及可拆式螢幕的以處理器為基礎之裝置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050005131A1 (en) * 2003-06-20 2005-01-06 Renesas Technology Corp. Memory card
WO2005086365A1 (fr) * 2004-03-02 2005-09-15 Spartak Buniatyan Memoire universelle transportable
US7272723B1 (en) * 1999-01-15 2007-09-18 Safenet, Inc. USB-compliant personal key with integral input and output devices
US20080014984A1 (en) * 2006-07-14 2008-01-17 Research In Motion Limited System and method to provision a mobile device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7272723B1 (en) * 1999-01-15 2007-09-18 Safenet, Inc. USB-compliant personal key with integral input and output devices
US20050005131A1 (en) * 2003-06-20 2005-01-06 Renesas Technology Corp. Memory card
WO2005086365A1 (fr) * 2004-03-02 2005-09-15 Spartak Buniatyan Memoire universelle transportable
US20080014984A1 (en) * 2006-07-14 2008-01-17 Research In Motion Limited System and method to provision a mobile device

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI657308B (zh) * 2014-03-27 2019-04-21 英特爾股份有限公司 具有發射式顯示器及可拆式螢幕的以處理器為基礎之裝置

Also Published As

Publication number Publication date
FR2985052A1 (fr) 2013-06-28
FR2985052B1 (fr) 2014-10-17
EP2795526A1 (fr) 2014-10-29

Similar Documents

Publication Publication Date Title
EP2619941B1 (fr) Procede, serveur et systeme d'authentification d'une personne
EP1549011A1 (fr) Procédé et système de communication entre un terminal et au moins un équipment communicant
FR2989799A1 (fr) Procede de transfert d'un dispositif a un autre de droits d'acces a un service
FR2864289A1 (fr) Controle d'acces biometrique utilisant un terminal de telephonie mobile
EP2772869B1 (fr) Procédé et système de traitement cryptographique utilisant une donnée sensible
WO2010116109A1 (fr) Procédé d'authentification auprès d'un serveur par un utilisateur d'un appareil mobile
EP3963823A1 (fr) Procédé de connexion sécurisée à un service web embarqué et dispositif correspondant
EP2813962B1 (fr) Méthode de contrôle d'accès à un type de services spécifique et dispositif d'authentification pour le contrôle de l'accès à un tel type de services.
FR3047583A1 (fr) Methode de transmission securisee d'informations d'authentification entre des applications logicielles dans un terminal informatique
WO2013093325A1 (fr) Dispositif electronique pour le stockage de donnees confidentielles
EP1364349A1 (fr) Procede de stockage securise de donnees personnelles et de consultation, carte a puce, terminal et serveur pour la mise en oeuvre du procede
FR3032292B1 (fr) Element securise et procede mis en œuvre dans un tel element securise
EP3465602A1 (fr) Procédé pour renseigner des informations personnelles d'un utilisateur demandées par un service en ligne donné
BE1026342B1 (fr) Dispositif et procede pour l'indentification securisee d'un utilisateur
WO2009138641A1 (fr) Procede d'utilisation d'un terminal hote par un dispositif externe connecte au terminal
EP3570518B1 (fr) Systeme et procede d'authentification utilisant un jeton a usage unique de duree limitee
WO2024079144A1 (fr) Procédé de gestion de données d'authentification permettant l'accès à un service d'un utilisateur depuis un terminal
FR2913551A1 (fr) Methode d'authentification mutuelle et recurrente sur internet.
FR3111721A1 (fr) Procédé d’authentification d’un utilisateur sur un équipement client
FR3025630A1 (fr) Procede, equipement d'utilisateur, serveur et systeme de deverrouillage d'un equipement d'utilisateur
WO2021249854A1 (fr) Procédé d'acquisition et de traitement sécurisé d'une information secrète acquise
EP3899765A1 (fr) Réinitialisation d'un secret applicatif au moyen du terminal
FR3105482A1 (fr) Procédé d’obtention de mot de passe pour l’accès à un service
EP3210334A1 (fr) Evaluation d'un niveau de confiance dans la recolte d'informations par un terminal de communication par rapport des empreintes
WO2010003957A1 (fr) Dispositif d'attestation électronique

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12819085

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 2012819085

Country of ref document: EP