WO2016142487A1 - Touche sécurisée de clavier analogique, procédé et module de détection d'intrusion, terminal de paiement électronique, programme et support d'enregistrement correspondants - Google Patents

Touche sécurisée de clavier analogique, procédé et module de détection d'intrusion, terminal de paiement électronique, programme et support d'enregistrement correspondants Download PDF

Info

Publication number
WO2016142487A1
WO2016142487A1 PCT/EP2016/055183 EP2016055183W WO2016142487A1 WO 2016142487 A1 WO2016142487 A1 WO 2016142487A1 EP 2016055183 W EP2016055183 W EP 2016055183W WO 2016142487 A1 WO2016142487 A1 WO 2016142487A1
Authority
WO
WIPO (PCT)
Prior art keywords
electronic payment
key
dome
payment terminal
intrusion
Prior art date
Application number
PCT/EP2016/055183
Other languages
English (en)
Inventor
Jean-Jacques Delorme
Original Assignee
Ingenico Group
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ingenico Group filed Critical Ingenico Group
Publication of WO2016142487A1 publication Critical patent/WO2016142487A1/fr

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/83Protecting input, output or interconnection devices input devices, e.g. keyboards, mice or controllers thereof

Definitions

  • the invention relates to the field of electronic payment terminals and more particularly to the security of such payment terminals when entering sensitive data, such as digits of a confidential code, via their analog signal keyboard (noted above). -after “keyboard”).
  • a key of a keyboard of an electronic payment terminal consists of a plug 11 covering an actuator 12 abutting, in its lower part, on a metal dome 13, itself connected to the mass of the printed circuit of the keyboard.
  • the actuator presses the dome, which deforms, as shown in Figure la which represents firstly, solid lines, the key in the rest position and other Dotted, the key in the pressed position.
  • One of the classic attacks against an electronic payment terminal is to spy on the data entered via the keyboard, and in particular the numbers corresponding for example to a confidential code entered by a user to secure a transaction.
  • a possible attack is to insert, between the key cabochons and the printed circuit, more precisely between the actuator and the dome, a "spy” element (for example a flexible printed circuit, microswitches or microphones “ switches “in English, or hall effect detectors) which retrieves the information relating to a key press, in order to deduce the figures entered by the user.
  • the invention relates to a secure key of an analog keyboard of an electronic payment terminal, said secure key comprising in its lower part a metal dome connected to the ground of the printed circuit of said analog keyboard.
  • the dome has a nonmetallic portion at its top, for the detection of an insertion-type intrusion of at least one spy element above the dome.
  • the invention proposes a novel and inventive solution for the detection of the insertion of a spy element in a key log having a logic of an electronic payment terminal, based on the modification of the dome.
  • metallic for example a known convex spring dome
  • constituting the lower part of a key of such a keyboard so as to detect the insertion of a spy element above the dome according to the same principle as the detection of a touch-key.
  • the insertion of a spy element over this modified dome can be detected via capacitance measurements, as for the detection of a key press.
  • the metal dome thus modified of the secure key has a nonmetallic surface at its top, modifying the capacitance measurements between this modified dome and a reference element in the printed circuit of the keyboard, when a spy element is inserted. above this modified dome.
  • the detection of a key press can be done by detecting a change of capacity between the metal dome of the key and a reference element located in the printed circuit of the keyboard, by example a copper pellet.
  • a spy element is inserted above the dome of a classic key, it is not detected by this technique, the dome making screen.
  • the non-metallic top of the dome makes it possible to take into consideration a spy element inserted above the dome because this modi fi ed insertion automatically has the capacitance between the modified dome and the reference element in the dome. circuit board of the keyboard.
  • the key press detection module implemented in the printed circuit of a keyboard of an electronic payment terminal, also makes it possible to detect the insertion of an element that is foreign to the operation of the keyboard, for example an element spy.
  • the nonmetallic part of the dome top is implemented by at least one means belonging to the group comprising:
  • the modified metal dome is hollowed out at its top, so that an element which would be inserted above this dome is detected according to the principle of the detection of change of capacitance value used to detect a key press.
  • the shape and size of the recessed portion are chosen so as to allow the conventional operation of the thus secured key, that is to say, so that the key actuator always rests on the dome to be able to depress it when a touch key a user.
  • the top of the modified metal dome consists for example of a plastic material, replacing the metallic material, so that an element which would be inserted above this dome is detected according to the principle of the capacitance change detection used for the detection of a key press, while ensuring the conventional operation of the key thus secured, the plastic top behaving from a point of view mechanical in the same way as a metallic top of a conventional dome (the actuator of the key rests on the modified dome in the same way as on an all-metal dome).
  • An alternative of this embodiment may be a fully non-metallic dome on which partial metallization is applied, leaving the unmetallized apex.
  • the invention also relates to a method for detecting an intrusion of the insertion type of at least one spy element over at least one dome of a key in an analog keyboard of an electronic payment terminal, the keyboard analog device comprising at least one secure key according to the various embodiments of the invention.
  • capacitive detection means of the electronic payment terminal intended for the detection of key presses of the analog keyboard are adapted so that they are also suitable for the detection of the intrusion.
  • the detection method comprises a step of detecting an intrusion when an absolute value of a difference between:
  • a measured capacitance for an assembly comprising the metal dome of said at least one secure key and at least one corresponding reference element in the printed circuit board of the analog keyboard and
  • any variation of the measured capacitance for a set consisting of the metal dome and a corresponding predetermined reference element is detected and if this variation exceeds a predetermined threshold, an intrusion is suspected.
  • a capacitive detector can be implemented, and, thanks to proper calibration, the insertion of a spy element above the metal dome of the secure key is detected and identified as not corresponding to a support. touch.
  • the capacitive detector is based on several reference capacity values (a value corresponding to a relaxed state of the key, a value corresponding to a state pressed by the key) and is capable of detecting any capacitance value distinct from These are the reference values and could be interpreted as the consequence of inserting a spy element into the keyboard.
  • the detection method comprises, when an intrusion is detected during the detection step, a step of generating an alarm according to at least one predetermined security level.
  • an alarm is generated.
  • the generation of this alarm may depend on a predetermined security level taking into account both a tolerance for a false intrusion detection rate and a security requirement.
  • a first detection of an intrusion can first generate an error message / flag and when two error flags are generated then the suspected fraud is confirmed and an alarm is generated.
  • This makes it possible to generate an alarm only when at least two keys of the keyboard are intruded (or when two successive presses on the same key reveal a suspicion of intrusion), and thus to avoid generating a false alarm when a single key has a punctual malfunction that could be interpreted as an intrusion.
  • fraud by inserting a spy element is effective only if all keys on the keyboard for entering numbers are spied on, the objective being to hack the PIN entered by the user.
  • the generated alarm belongs to the group comprising:
  • different types of alarms can be implemented, such as a total deactivation of the electronic payment term, or only a deactivation of the alphanumeric keys. or else an emission of an error message, not an example displayed on the screen of the electronic payment terminal, or transmitted to a communication terminal identified as connected to the electronic payment terminal.
  • the detection method comprises a step of reactivation of the electronic payment method with a predetermined reactivation code.
  • the possibility is given to a user of the electronic payment terminal, for example the merchant in possession of the electronic payment terminal, to reactivate the latter following detection of an intrusion, especially in the case of false detection.
  • a user of the electronic payment terminal for example the merchant in possession of the electronic payment terminal
  • to reactivate the latter following detection of an intrusion especially in the case of false detection.
  • the merchant having received an alarm related to a suspected intrusion, made sure that the electronic payment terminal was intact and that the detection of an intrusion was a false alarm, he can reactivate his payment terminal.
  • electronic device for quick re-commissioning. To do this, it uses, for example, a reactivation code which it transmits to the electronic payment terminal via a specific connection, especially when the electronic payment terminal is totally deactivated.
  • the invention also relates to a module for detecting an intrusion of the insertion type of at least one spy element over at least one dome of a key in an analog keyboard of an electronic payment terminal, the keyboard analog device comprising at least one secure key according to the various embodiments of the invention.
  • capacitive detection means of the electronic payment terminal dedicated to the detection of key presses of the analog keyboard are adapted so as to make them also suitable for the detection of the intrusion and the detection module includes means for detecting an intrusion when an absolute value of a difference between:
  • Such a detection module is therefore integrated for example with an electronic payment terminal keyboard comprising at least one secure key according to the various embodiments of the invention.
  • the invention also relates to an electronic payment terminal comprising at least one secure key and an intrusion detection module according to the various embodiments of the invention.
  • the invention also relates to a computer program downloadable from a communication network and / or stored on a computer readable medium and / or executable by a microprocessor, comprising program code instructions for the execution of a method of detection according to the various embodiments of the invention, when this program is executed by a processor.
  • the invention also relates to a computer-readable recording medium on which is recorded a computer program comprising instructions for performing the steps of the detection method according to different embodiments of the invention.
  • Figures 2a and 2b show a touch of an analog keyboard respectively in sectional view and from above, according to a particular embodiment of the invention
  • Figures 3a and 3b show a touch of an analog keyboard respectively in sectional view and from above, with an inserted spy element, according to a particular embodiment of the invention
  • FIG. 4 illustrates the main steps of the intrusion detection method, according to one embodiment of the invention.
  • FIGS. 5 and 6 illustrate two examples of simplified architecture of an intrusion detection module, according to a particular embodiment of the invention.
  • the general principle of the invention consists in modifying the structure of the metal dome of a keyboard key of an electronic payment terminal so as to allow detection of intrusion into the keyboard by detection of a capacity value, or a variation of capacity, non-compliant with respect to at least one reference.
  • the capacitive detection means implemented in the keyboard for the detection of key presses are adapted so as to also allow insertion detection of a spy element above this modified structure dome. .
  • this structural modification of the metal dome is to replace a portion of the top of the dome with a non-conductive material or to hollow out a portion of the top of the dome, such that a metal element inserted above the dome changes a measured capacity value.
  • this modified structure of the metal dome makes it possible to overcome one of the main disadvantages of the prior art based on capacitive detectors, related to the fact that this metal dome constitutes a screen when a spy element is inserted above and prevents its detection in a simple way.
  • the invention makes it possible to detect, for example, the insertion of a spy element into the keyboard, over a key, by using means already present in the keyboard, for detection of key presses, and therefore without additional hardware implementation.
  • the capacitive detection means dedicated to the detection of key presses so as to make them also suitable for the detection of an intrusion, for example by modifying their calibration parameters (ie the detection threshold (s), the reference capacity (s), etc.). It is also possible to modify the shape and / or the size of the "pellet" of copper inserted into the printed circuit and allowing the detection of capacitance variations, as well as links connecting the dome to the mass of the printed circuit board of the keyboard.
  • the invention also relates to a method and an intrusion detection module, implemented in an electronic payment terminal keyboard, based on a variation of capacity detected when a spy element is inserted above the dome.
  • metal modified a secure key pad.
  • the detection of key presses on a keyboard of an electronic payment terminal can be implemented by one or more capacitive sensors (integrated (s) in the keyboardprocessor or constituted (s) pa run circu it integrated specific).
  • these techniques implement on the one hand a metal dome 13 connected to the mass 14 and on the other hand a copper pellet 15 in the circuit board 16 of the keyboard.
  • the pressing of the key by a user via the cap 11 covering the key on its upper part, causes a movement of the actuator 12 connected to the dome 13, thus reducing the distance between the dome 13 and the pellet 15.
  • the distance between the dome 13 and the pellet 15 causes a change in the value of the capacitance between these two elements (dome and pellet), detected by the capacitive detector (s) to deduce a key support .
  • This variation detection of The capacitance is then processed by a microprocessor of the keyboard, so as to interpret the key presses made by the user.
  • Figures 2a and 2b show, respectively, a sectional view and a top view of a secure key according to this embodiment of the invention.
  • FIG. 3a and 3b respectively show the same views of the key with the presence of a spy element 30 inserted above the modified dome 13.
  • This spy element is represented by a hatched pattern in FIG. 3b, at the portion 13 'of the modified dome.
  • FIGS. 2a and 3a show, on the one hand, in solid lines, the secure key in the rest position (position in which the dome 13 is itself read in position unconstrained or little constraint), and secondly, in dotted lines, the secure key in the depressed position (position in which the dome 13 is in the stress position and therefore almost flat).
  • the portion 13 'of the dome 13, situated at the top thereof and having a shape concentric with respect to the base of the dome 13 is not metallic, thus allowing detecting a capacitance variation related to insertion of a spy element 30 over this portion, as illustrated in FIGS. 3a and 3b.
  • This detection of a variation is detailed in the following paragraph, in relation to the intrusion detection method according to the various embodiments of the invention.
  • Part 13 'of the top of the modified dome 13 corresponds, according to a first variant of this embodiment, to a recess, or an opening.
  • This first variant allows a very simple implementation of the solution of the invention, simply to hollow out the top of a conventional metal dome.
  • the portion 13 ' is made of a plastic material for example, making it possible to better preserve all the "mechanical" characteristics of the dome when the actuator 12 pushes it down after being pressed on. the key.
  • the part 13 ' is adapted so as to allow a conventional operation of the secure key, from a point of view mechanical, that is to say so as not to disturb the detection of key presses.
  • the shape and the size of this part 13 ', as well as the material in the second variant are chosen so that the actuator can rest on the dome, both in the rest position and in the touch position key.
  • any other implementation of the modification of the metal dome structure answering the problem raised in the present patent application can be envisaged, such as for example a pl ural ity of small recesses at the top of the dome, or a dome no metallic (for example plastic) on which a partial metallization would be applied.
  • a capacitive detector comprises a first portion electrically connected to the printed circuit board of the keyboard (for example a copper chip 15 as illustrated in FIGS. 1a, 2a and 3a), and a second portion mounted within the keyboard (for example a metal dome as shown in Figures la, lb, 2a, 2b and 3a, 3b).
  • the capacitive detector is configured to deliver a reference capacity in "normal" operation of the keyboard, both in the rest position of the key and in the depressed position.
  • reference values are known from a capacitive measuring microprocessor, itself even electrically connected to the capacitive measuring medium and configured to detect a capacitance variation of the capacitive measuring medium.
  • Means for transmitting an information representative of capacity variation are also implemented, when an absolute value of a difference between a measured capacitance, at a given moment, and one of the reference capacitances exceeds a predetermined threshold. .
  • the detection device In order to detect a key press, the detection device must be set to determine the predetermined value of the reference capacity when the key is released and when the key is pressed. For example, at the first power-up of the electronic payment terminal, a calibration measurement and a parameterization are performed in order to identify a first reference value, at rest, in a neutral electromagnetic environment, of the capacity of the capacitive detector, as well as a second reference value, in the case of a key press, of the capacity of the capacitive detector. In standard operating mode, a variation of the capacitance measured with respect to these reference capacitances is of course allowed (it is in some way a permissible measurement margin), to allow normal operation of the terminal. electronic payment.
  • a so-called “delta” value sets the upper and lower limits in which the measured capacities are considered valid. Measurements are made periodically, either at regular intervals or at times defined (also by the employer). Finally, all the measurements are carried out via a microprogram associated with the capacitive measurement microprocessor.
  • This principle of detection of key presses, as well as its implementation via one or more capacitive sensors, is therefore also used in the context of the present invention for intrusion detection in the keyboard, and in particular for the detection of insertion of spy element (s) above the modified metal dome of one or more secure keys of the keyboard.
  • a first calculation step 41 consists in calculating an absolute value of a difference between a measured capacitance, at a time t, and at least one reference capacitance. For example, a first calculation is made with respect to the reference value at rest and a second calculation is made with respect to the reference value corresponding to a key press.
  • the two absolute values obtained are compared to a threshold predetermined (the definition of which is described below), during a step 42 of detecting an intrusion. Thus, if one or both absolute values exceed this threshold, an intrusion is detected and a step 43 of generating an alarm is implemented.
  • the calibration and parameterization, described above must be adapted to take into account the modified structure of the dome of the secure key.
  • the reference values used for the capacitive detection are different when the dome has a modified structure (non-metallic top) as described above, and the predetermined threshold used for the detection of an intrusion must also be suitable for detection. an intrusion.
  • the solution of the invention makes it possible to extend the implementation of the capacitive detection principle for the detection of key presses, to the detection of an intrusion into the keyboard, by securing one or more keys by modifying the structure of the metal dome of this or these keys.
  • an alarm is generated, either to warn a user of the keyboard, or to disable the keyboard or the electronic payment terminal.
  • the generation of an alarm is parameterizable, at the level of the type of the alarm, and may be related to the hardware implementation of the solution of the invention, according to its various embodiments, that is to say For example, the number of secure keys on the keypad of the electronic payment terminal.
  • a security level can be set for a given electronic payment terminal, based on a compromise between a tolerated number of false alarms and a desired security requirement.
  • the detection of a first intrusion on a first key generates an internal alert message to the microprocessor in charge of the capacitive detection processing, and that in the case where a second alert message is generated, for a suspected intrusion on a second key (or the same first key), then an "external" alarm is generated, that is to say that the user of the electronic payment terminal (the merchant for example) is warned of a risk of fraud.
  • an "external" alarm is generated, that is to say that the user of the electronic payment terminal (the merchant for example) is warned of a risk of fraud.
  • the generation of an alarm can also take into consideration the type of the secure keys, that is to say if a key corresponds to a digit, or a function such as validation, cancellation ... of the keyboard. Indeed, it is essential to secure the maximum number keys used for the input of confidential data such as a secret code by a user.
  • Internal type alarms consist, for example, in the transmission of an error message to the microprocessor in response to the detection process (the microprocessor associated with the capacitive measurement microprocessor described above). ), or the incrementation of an alarm counter or the setting to 1 or 0 of a specific register.
  • a predetermined number of "internal" type alarms can trigger the generation of an "external” type alarm.
  • this reactivation may be conditioned on the entry of a confidential code, for example by the merchant, either via the electronic payment terminal itself if it is not completely deactivated, or via a connection between the electronic payment terminal and a predetermined remote communication terminal (for example, the design and maintenance of the electronic payment term, or its maintenance, or the transmission of the transaction information, etc.) .
  • a predetermined remote communication terminal for example, the design and maintenance of the electronic payment term, or its maintenance, or the transmission of the transaction information, etc.
  • FIGS. 5 and 6 show an example of an intrusion detection module, comprising means for executing the previously described method.
  • such a module 500 integrated for example with an electronic payment terminal keyboard comprising at least one secure key according to one of the embodiments of the invention, comprises detection means (by example in the form of one or more submodules) of an intrusion when an absolute value of a difference between:
  • the module comprises a memory 61 consisting of a buffer memory, a processing unit 62, equipped for example with a microprocessor, and driven by the computer program 63, implementing an intrusion detection method according to the different embodiments described above.
  • the code instructions of the computer program 63 are, for example, loaded into a memory before being executed by the processor of the processing unit 62.
  • the processing unit 62 receives, for example, an input measured value of capacity and at least one reference capacity value.
  • the microprocessor of the processing unit 62 implements the steps of the intrusion detection method, according to the instructions of the computer program 63, to generate an alarm.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Input From Keyboards Or The Like (AREA)
  • Cash Registers Or Receiving Machines (AREA)

Abstract

Détection par mesure capacitive d'une intrusion du type insertion d'un élément espion au-dessus d'un dôme d'une touche dans un clavier analogique d'un terminal de paiement électronique. Le clavier comprend au moins une touche sécurisée comprenant en sa partie inférieure un dôme métallique relié à la masse du circuit imprimé dudit clavier analogique, le dôme présentant une partie non métallique en son sommet.

Description

Touche sécurisée de clavier analogique, procédé et module de détection d'intrusion, termi na l de pa ie ment é lectro niq u e, programme et support d'enregistrement correspondants
1. Domaine de l'invention
L'invention se rapporte au domaine des terminaux de paiement électronique et plus particulièrement à la sécurisation de tels terminaux de paiement lors de la saisie de données sensibles, telles que les chiffres d'un code confidentiel, via leur clavier à signaux analogiques (noté ci-après « clavier »).
2. Art Antérieur
Classiquement, et comme illustré par exemple en figures la et lb (respectivement en vue en coupe et en vue de dessus), une touche d'un clavier d'un terminal de paiement électronique est constituée d'un ca bochon 11 recouvrant un actuateur 12 venant en appui, en sa partie inférieure, sur un dôme métallique 13, lui même relié à la masse du circuit imprimé du clavier. Lorsqu'un utilisateur appuie sur une touche, l'actuateur appuie sur le dôme, qui se déforme, comme cela est illustré sur la figure la qui représente d'une part, en traits pleins, la touche en position de repos et d'autre part, en pointillés, la touche en position appuyée.
Une des attaques classiques contre un terminal de paiement électronique consiste à espionner les données saisies via le clavier, et en particul ier les chiffres correspondant par exemple à un code confidentiel saisi par un utilisateur pour sécuriser une transaction. Pour ce faire, une attaque possible consiste à insérer, entre les cabochons des touches et le circuit imprimé, plus précisément entre l'actuateur et le dôme, un élément « espion » (par exemple un circuit imprimé souple, des micros interrupteurs ou micros « switchs » en anglais, ou encore des détecteurs à effets hall) qui récupère l'information relative à un appui sur une touche, afin d'en déduire les chiffres saisis par l'utilisateur.
Certaines solutions ont donc été proposées pour tenter de limiter ces attaques, par exemple en diminuant fortement la taille du clavier, de façon à rendre plus difficile l'insertion de ces éléments espions, ou encore en metta nt en œuvre des techniques de détection d u démontage du clavier, ce démontage étant souvent nécessaire pour insérer ces éléments espions.
Cependant, ces solutions nécessitent des modifications conséquentes de l'architecture du clavier, par l'ajout de modules de détection par exemple, et ne permettent pas de répondre à l'ampleur constatée de la fraude, les éléments espions devenant à leur tour de plus en plus petits et leurs techniques d'insertion de plus en plus discrètes. Il existe donc un besoin pour une technique de sécurisation de la saisie de chiffres sur un clavier d'un terminal de paiement électronique permettant de contrer les attaques consistant à insérer un ou plusieurs éléments espions dans, ou sous, une ou plusieurs touches d'un tel clavier, tout en étant simple et peu coûteuse à mettre en œuvre.
3. Résumé de l'invention
L'invention concerne une touche sécurisée d'un clavier analogique d'un terminal de paiement électronique, ladite touche sécurisée comprenant en sa partie inférieure un dôme métallique relié à la masse du circuit imprimé dudit clavier analogique.
Selon les différents modes de réalisation de l'invention, le dôme présente une partie non métallique en son sommet, pour la détection d'une intrusion du type insertion d'au moins un élément espion au-dessus du dôme.
Ainsi, l'invention propose une solution nouvelle et inventive de la détection de l'insertion d' u n élément espion dans u n cl avier à signa ux a na logiq ues d' u n termi nal de pa iement électronique, basée sur la modification du dôme métallique (par exemple un dôme ressort convexe connu) constituant la partie inférieure d'une touche d'un tel clavier, de sorte à détecter l'insertion d'un élément espion au-dessus du dôme selon le même principe que la détection d'un appui-touche.
Ainsi, l'insertion d'un élément espion au-dessus de ce dôme modifié peut être détectée via des mesures de capacités, comme pour la détection d'un appui touche.
Pour ce faire, le dôme métallique ainsi modifié de la touche sécurisée présente une surface non métallique en son sommet, modifiant les mesures de capacité entre ce dôme modifié et un élément de référence dans le circuit imprimé du clavier, lorsqu'un élément espion est inséré au-dessus de ce dôme modifié.
En effet, selon une technique bien connue, la détection d'un appui-touche peut se faire par la détection d'un changement de capacité entre le dôme métallique de la touche et un élément de référence situé dans le circuit imprimé du clavier, par exemple une pastille de cuivre. Or, si un élément espion est inséré au-dessus du dôme d'une touche classique, il n'est pas détecté par cette technique, le dôme faisant écran. En revanche, selon l'invention, le sommet non métallique du dôme permet de prendre en considération un élément espion inséré au-dessus du dô me car cette insertion mod ifie a utomatiquement la capacité entre le dôme modifié et l'élément de référence dans le circuit imprimé du clavier. Le module de détection d'appuis touches, mis en œuvre dans le circuit imprimé d'un clavier d'un terminal de paiement électronique, permet alors également de détecter l'insertion d'un élément étranger au fonctionnement du clavier, par exemple un élément espion.
La solution de l'invention, selon ses différents modes de réalisation, ne nécessite donc pas de mise en œuvre matérielle particulière puisqu'elle utilise des moyens déjà mis en œuvre pour la détection des appuis touches. Seules des adaptations de « paramétrage », au niveau des seuils de détection ou des valeurs de capacités de référence par exemple, sont nécessaires pour mettre en œuvre la détection d'insertion d'éléments espions, en plus de la détection d'appuis touches. Ces adaptations peuvent être mises en œuvre via un calibrage particulier du ou des détecteurs capacitifs utilisés.
Selon un aspect particulier de l'invention, la partie non métallique du sommet du dôme est mise en œuvre par au moins un moyen appartenant au groupe comprenant :
• un évidement du sommet du dôme ;
• une partie en matière non conductrice.
Ainsi, selon un mode de réalisation de l'invention, le dôme métallique modifié est évidé en son sommet, de manière à ce qu'un élément qui serait inséré au-dessus de ce dôme soit détecté selon le principe de la détection de changement de valeur de capacité utilisé pour la détection d'un appui touche.
Il est à noter que la forme et la taille de la partie évidée sont choisies de sorte à permettre le fonctionnement classique de la touche ainsi sécurisée, c'est-à-dire de sorte que l'actuateur de la touche repose toujours sur le dôme pour être en mesure de l'enfoncer lors d'un appui touche d'un utilisateur.
Selon un autre mode de réalisation de l'invention, le sommet du dôme métallique modifié est constitué par exemple d'une matière plastique, en remplacement de la matière métallique, de manière à ce qu'un élément qui serait inséré au-dessus de ce dôme soit détecté selon le principe de la détection de changement de valeur de capacité utilisé pour la détection d'un appui touche, tout en assurant le fonctionnement classique de la touche ainsi sécurisée, le sommet en matière plastique se comportant d'un point de vue mécanique de la même manière qu'un sommet métallique d'un dôme classique (l'actuateur de la touche repose sur le dôme modifié de la même manière que sur un dôme entièrement métallique). Une variante de ce mode de réalisation peut consister en un dôme entièrement non métallique sur lequel une métallisation partielle est appliquée, laissant le sommet non métallisé. L' invention concerne également un procédé de détection d' une intrusion d u type insertion d'au moins un élément espion au-dessus d'au moins un dôme d'une touche dans un clavier analogique d'un terminal de paiement électronique, le clavier analogique comprenant au moins une touche sécurisée selon les différents modes de réalisation de l'invention.
Selon les différents modes de réalisation de l'invention, des moyens de détection capacitive du terminal de paiement électronique destinés à la détection d'appuis touches du clavier analogiq ue sont adaptés de façon à les rend re aptes également à la détection de l'intrusion et le procédé de détection, selon les différents modes de réalisation de l'invention, comprend une étape de détection d'une intrusion lorsqu'une valeur absolue d'une différence entre :
• une capacité mesurée pour un ensemble comprenant le dôme métallique de ladite au moins une touche sécurisée et au moins un élément de référence correspondant dans le circuit imprimé du clavier analogique et
• au moins une capacité de référence
excède un seuil prédéterminé.
Ainsi, selon ce mode de réalisation de l'invention, toute variation de la capacité mesurée pour un ensemble constitué du dôme métallique et d'un élément de référence prédéterminé correspondant est détectée et si cette variation excède un seuil prédéterminé, une intrusion est suspectée.
Pour ce faire, un détecteur capacitif peut être mis en œuvre, et, grâce à un calibrage adéquat, l'insertion d'un élément espion au-dessus du dôme métallique de la touche sécurisée est détectée et identifiée comme ne correspondant pas à un appui touche. Par exemple, le détecteur capacitif se base sur plusieurs valeurs de capacité de référence (une valeur correspondant à un état relâché de la touche, une valeur correspondant à un état appuyé de la touche) et est apte à détecter toute valeu r de capacité distincte de ces va leu rs de référence et pouva nt être interprétée comme la conséquence d'une insertion d'un élément espion dans le clavier.
Par exemple, le procédé de détection comprend, lorsqu'une intrusion est détectée lors de l'étape de détection, une étape de génération d'une alarme en fonction d'au moins un niveau de sécurité prédéterminé.
Ainsi, selon ce mode de réalisation de l'invention, lorsqu'une variation de capacité est identifiée comme pouvant être due à l'insertion d'un élément espion dans le clavier, une alarme est générée. La génération de cette alarme peut dépendre d'un niveau de sécurité prédéterminé tenant compte à la fois d'une tolérance pour un taux de fausse détection d'intrusion et d'une exigence de sécurité.
Par exemple, une première détection d'une intrusion peut tout d'abord générer un message/flag d'erreur et lorsque deux flags d'erreur sont générés alors la fraude suspectée est confirmée et une alarme est générée. Ceci permet de ne générer une alarme que lorsqu'au moins deux touches du clavier subissent une intrusion (ou bien lorsque deux appuis successifs sur une même touche révèlent une suspicion d'intrusion), et donc d'éviter de générer une fausse alarme lorsqu'une seule touche présente un défaut de fonctionnement ponctuel qui pourrait être interprété comme une intrusion. En effet, une telle fraude par insertion d'un élément espion n'est efficace que si toutes les touches du clavier servant à saisir des chiffres sont espionnées, l'objectif étant de pirater le code confidentiel saisi par l'utilisateur.
Par exemple, l'alarme générée appartient au groupe comprenant :
• une désactivation totale du terminal de paiement électronique ;
• une désactivation des touches alphanumériques du clavier analogique du terminal de paiement électronique ;
• un message d'erreur émis par le terminal de paiement électronique ;
Ainsi, selon ce mode de réalisation de l'invention, différents types d'alarme peuvent être m is en œuvre, com me pa r exem ple u ne désactivation tota l e d u term ina l de pa iement électronique, ou seulement une désactivation des touches alphanumériques ou encore une émission d'un message d'erreur, pas exemple affiché sur l'écran du terminal de paiement électronique, ou transmis à un terminal de communication identifié comme relié au terminal de paiement électronique.
Ces différents types d'alarme permettent d'adapter le procédé de détection au niveau de sécurité choisi, ainsi qu'aux méthodes mises en œuvre pour agir en cas de détection d'une intrusion.
Selon une caractéristique particulière, le procédé de détection comprend une étape de réactivatio n d u term i na l de pa iement électron iq ue à l'a ide d' u n code de réactivation prédéterminé.
Ainsi, selon ce mode de réalisation de l'invention, la possibilité est donnée à un utilisateur du terminal de paiement électronique, par exemple le commerçant en possession du terminal de paiement électronique, de réactiver ce dernier suite à une détection d'une intrusion, notamment dans le cas de fausse détection. Par exemple, si le commerçant, après avoir reçu une alarme relative à une intrusion suspectée, s'est assuré que le terminal de paiement électronique était intègre et que la détection d'une intrusion était une fausse alarme, il peut réactiver son terminal de paiement électronique pou r le remettre en service ra pidement. Pour ce faire, il util ise par exemple un code de réactivation qu'il transmet au terminal de paiement électronique via une connexion spécifique, notamment lorsque le terminal de paiement électronique est totalement désactivé.
L'invention concerne également un module de détection d'une intrusion du type insertion d'au moins un élément espion au-dessus d'au moins un dôme d'une touche dans un clavier analogique d'un terminal de paiement électronique, le clavier analogique comprenant au moins une touche sécurisée selon les différents modes de réalisation de l'invention.
Selon les différents modes de réalisation de l' invention, des moyens de détection capacitive du terminal de paiement électronique dédiés à la détection d'appuis touches du clavier analogique sont adaptés de façon à les rendre aptes également à la détection de l'intrusion et le module de détection comprend des moyens de détection d'une intrusion lorsqu'une valeur absolue d'une différence entre :
• une capacité mesurée, via des moyens de mesure de capacité, pour un ensemble comprenant ledit dôme métallique de ladite au moins une touche sécurisée et au moins un élément de référence correspondant dans ledit circuit imprimé dudit clavier analogique et
· au moins une capacité de référence
excède un seuil prédéterminé.
Un tel module de détection est donc intégré par exemple à un clavier de terminal de paiement électronique comprenant au moins une touche sécurisée selon les différents modes de réalisation de l'invention.
L'invention concerne également un terminal de paiement électronique comprenant au moins une touche sécurisée et un module de détection d'intrusion selon les différents modes de réalisation de l'invention.
L'invention concerne encore un programme d'ordinateur téléchargeable depuis un réseau de communication et/ou stocké sur un support lisible par ordinateur et/ou exécutable par un microprocesseur, comprenant des instructions de code de programme pour l'exécution d'un procédé de détection selon les d ifférents modes de réalisation de l'invention, lorsque ce programme est exécuté par un processeur. L'invention concerne également un support d'enregistrement lisible par un ordinateur sur lequel est enregistré un programme d'ordinateur comprenant des instructions pour l'exécution des étapes du procédé de détection selon les différents modes de réalisation de l'invention.
4. Figures
D'autres caractéristiques et avantages de l'invention apparaîtront plus clairement à la lecture de la description suivante d'un mode de réalisation préférentiel, donné à titre de simple exemple illustratif et non limitatif, et des dessins annexés, parmi lesquels :
les figures la et lb, déjà commentées en relation avec l'art antérieur, présentent une touche d'un clavier analogique respectivement en vue en coupe et de dessus ;
les figures 2a et 2b présentent une touche d'un clavier analogique respectivement en vue en coupe et de dessus, selon un mode de réalisation particulier de l'invention ;
les figures 3a et 3b présentent une touche d'un clavier analogique respectivement en vue en coupe et de dessus, avec un élément espion inséré, selon un mode de réalisation particulier de l'invention ;
la figure 4 illustre les principales étapes du procédé de détection d'intrusion, selon un mode de réalisation de l'invention ;
les figures 5 et 6 il lustrent deux exemples d'architecture simplifiée d'un module de détection d'intrusion, selon un mode de réalisation particulier de l'invention.
5. Description
5.1. Principe général
Le principe général de l'invention consiste à modifier la structure du dôme métallique d'une touche de clavier d'un terminal de paiement électronique de façon à permettre une détection d'intrusion dans le clavier par détection d'une valeur de capacité, ou d'une variation de capacité, non conforme par rapport à au moins une référence.
Pour ce faire, les moyens de détection capacitifs mis en œuvre dans le clavier pour la détection d'appu is touches sont adaptés de façon à permettre éga lement une détection d'insertion d'un élément espion au-dessus de ce dôme à structure modifiée.
Par exemple, cette modification de structure du dôme métallique consiste à remplacer une partie du sommet du dôme par une matière non conductrice ou à évider une partie du sommet du dôme, de façon à ce qu'un élément métallique inséré au-dessus du dôme modifie une valeur de capacité mesurée. Ainsi, cette structure modifiée du dôme métal lique permet de s'affranchir d'un des inconvénients principaux des techniques antérieures basée du des détecteurs capacitifs, lié au fait que ce dôme métallique constitue un écran lorsqu'un élément espion est inséré au-dessus et empêche sa détection de manière simple.
Ainsi, l'invention, selon ses différents modes de réalisation, permet de détecter par exemple l'insertion d'un élément espion dans le clavier, au-dessus d'une touche, en utilisant des moyens déjà présents dans le clavier, pour la détection des appuis touches, et donc sans mise en œuvre matérielle supplémentaire.
Il convient cependant, pour la mise en œuvre de l'invention, d'adapter les moyens de détection capacitive dédié à la détection d'appuis touches de façon à les rendre aptes également à la détection d'une intrusion, par exemple en modifiant leurs paramètres de calibration (c'est-à- dire le ou les seuils de détection, la ou les capacités de référence ...). Il est également possible de modifier la forme et/ou la taille de la « pastille » de cuivre insérée dans le circuit imprimé et permettant la détection des variations de capacité, ainsi que des liaisons reliant le dôme à la masse du circuit imprimé du clavier.
Par ailleurs, l'invention concerne également un procédé et un module de détection d'intrusion, mis en œuvre dans un clavier de terminal de paiement électronique, basés sur une variation de capacité détectée lorsqu'un élément espion est inséré au-dessus du dôme métallique modifié d'une touche sécurisée du clavier.
Ainsi, selon des techniques actuelles connues, la détection d'appui touches sur un clavier d'un terminal de paiement électronique peut être mise en œuvre par un ou plusieurs détecteurs capacitifs (intégré(s) a u processeu r d u clavier ou bien constitué(s) pa r u n circu it intégré spécifique).
Par exemple, et comme illustré en figures la et lb déjà commentées en relation avec l'art antérieur, ces techniques mettent en œuvre d'une part un dôme métallique 13 relié à la masse 14 et d'autre part une pastille de cuivre 15 dans le circuit imprimé 16 du clavier. L'appui sur la touche par un utilisateur, via le cabochon 11 recouvrant la touche sur sa partie supérieure, entraîne un mouvement de l'actuateur 12 relié au dôme 13, diminuant ainsi la distance entre le dôme 13 et la pastille 15. Cette diminution de la distance entre le dôme 13 et la pastille 15 entraîne une modification de la valeur de la capacité entre ces deux éléments (dôme et pastille), détectée par le(s) détecteur(s) capacitif(s) pour en déduire un appui touche. Cette détection de variation de capacité est ensuite traitée par un microprocesseur du clavier, de façon à interpréter les appuis touches effectués par l'utilisateur.
5.2. Description d'un mode de réalisation d'une touche sécurisée
On décrit maintenant, en relation avec les figures 2a, 2b, 3a et 3b, un mode de réalisation particulier de l'invention, dans lequel le dôme métallique 13 de la touche sécurisée présente une partie 13' non métallique en son sommet.
Les figures 2a et 2b présentent, respectivement, une vue en coupe et une vue de dessus d'une touche sécurisée selon ce mode de réalisation de l'invention.
Les figu res 3a et 3 b présentent quant à elles, respectivement, les mêmes vues de la touche avec la présence d'un élément espion 30 inséré au-dessus du dôme 13 modifié. Cet élément espion est représenté par un motif hachuré sur la figure 3b, au niveau de la partie 13' du dôme modifié.
De plus, comme pour la figure la de l'art antérieur, les figures 2a et 3a représentent d'une part, en traits pleins, la touche sécurisée en position de repos (position dans laquelle le dôme 13 est l u i-même en position non contrainte ou peu contrainte), et d'autre part, en pointillés, la touche sécurisée en position appuyée (position dans laquelle le dôme 13 est en position contrainte et donc presque plat).
Ainsi, sur les figures 2a et 2b, la partie 13' du dôme 13, située au sommet de celui-ci et présentant une forme concentrique par rapport à la base du dôme 13 (figure 2b), n'est pas métallique, permettant ainsi la détection d'une variation de capacité liée à une insertion d'un élément espion 30 au-dessus de cette partie, comme illustré en figures 3a et 3b. Cette détection d'une variation est détaillée au paragraphe suivant, en relation avec le procédé de détection d'intrusion selon les différents modes de réalisation de l'invention.
La partie 13' du sommet du dôme 13 modifié correspond, selon une première variante de ce mode de réalisation, à un évidement, ou une ouverture. Cette première variante permet une implémentation très simple de la solution de l'invention, consistant simplement à évider le sommet d'un dôme métallique classique.
Selon une deuxième variante de ce mode de réalisation, la partie 13' est constituée d'une matière plastique par exemple, permettant de mieux conserver toutes les caractéristiques « mécaniques » du dôme lorsque l'actuateur 12 vient l'enfoncer suite à un appui sur la touche.
Selon l'une quelconque de ces deux variantes de réalisation, la partie 13' est adaptée de sorte à permettre un fonctionnement classique de la touche sécurisée, d'un point de vue mécanique, c'est-à-dire de sorte à ne pas perturber la détection d'appuis touches. Pour ce faire, la forme et la taille de cette partie 13', ainsi que la matière dans la deuxième variante, sont choisies de façon à ce que l'actuateur puisse prendre appui sur le dôme, à la fois en position de repos et en position d'appui touche.
Toute autre mise en œuvre de la modification de la structure du dôme métallique répondant à la problématique posée dans la présente demande de brevet (permettre une détection capacitive de l'insertion d'un élément espion au-dessus d'un dôme modifié d'une touche sécurisée d'un clavier, en utilisant les moyens de détection d'un appui touche déjà mis en œuvre dans le clavier) peut être envisagée, comme par exemple une pl ural ité de petits évidements au sommet du dôme, ou encore un dôme non métallique (par exemple en plastique) sur lequel une métallisation partielle serait appliquée.
5.3. Description d'un mode de réalisation du procédé de détection d'intrusion
On décrit maintenant, en relation avec la figure 4, les principales étapes du procédé de détection d'une intrusion dans un clavier d'un terminal de paiement électronique, selon un mode de réalisation de l'invention dans lequel au moins une touche du clavier est sécurisée selon le mode de réalisation décrit précédemment, par modification de la structure du dôme métallique de la touche.
On décrit tout d'abord ci-dessous un exemple connu, à titre informatif et non limitatif, de mise en œuvre du principe de détection capacitive des appuis touches dans un clavier d'un terminal de paiement électronique.
Ce principe consiste par exemple à munir le terminal de paiement électronique d'un dispositif/module de détection permettant de surveiller l'environnement capacitif interne du terminal de paiement électronique, via un ou plusieurs détecteurs capacitifs composés d'au moins deux parties. Ainsi, une modification de la capacité (c'est-à-dire une modification de la charge électrique) d'un tel détecteur est observée lorsqu'une des parties du détecteur est déplacée ou modifiée par rapport l'autre partie du détecteur. Par exemple, un détecteur capacitif comprend une première partie reliée électriquement au circuit imprimé du clavier (par exemple une pastille de cuivre 15 comme illustré sur les figures la, 2a et 3a), et une deuxième partie montée au sein du clavier (par exemple un dôme métallique comme illustré sur les figures la, lb, 2a, 2b et 3a, 3b). Dé pl us, le détecteur capacitif st configuré pour délivrer une capacité de référence en fonctionnement « normal » du clavier, à la fois en position de repos de la touche et en position appuyée. Ces valeurs de référence sont connues d'un microprocesseur de mesure capacitive, lui- même relié électriquement au support de mesure capacitive et configuré pour détecter une variation de capacité du support de mesure capacitive. Des moyens de transmission d'une information représentative de variation de capacité sont également mis en œuvre, lorsque une valeur absolue d'une différence entre une capacité mesurée, à un instant donné, et l'une des capacités de référence excède un seuil également prédéterminé.
Pour pouvoir détecter un appui touche, le dispositif de détection doit être paramétré afin de déterminer la valeur prédéterminée de la capacité de référence lorsque la touche est relâchée et lorsque la touche est appuyée. Par exemple, à la première mise sous tension du terminal de paiement électronique, une mesure de calibrage et un paramétrage sont réalisés afin d'identifier une première valeur de référence, au repos, dans un environnement électromagnétique neutre, de la capacité du détecteur capacitif, ainsi qu'une seconde valeur de référence, dans le cas d'un appui touche, de la capacité du détecteur capacitif. En mode de fonctionnement standard, une variation de la capacité mesurée par rapport à ces capacités de référence est bien entendu admise (il s'agit en q uelque sorte d' une marge de mesure autorisée), pou r permettre un fonctionnement normal du terminal de paiement électronique. Une valeur dite « delta » fixe les limites supérieures et inférieures dans lesquelles les capacités mesurées sont considérées comme valides. Les mesures sont effectuées périodiquement, soit à intervalle régulier, soit à des horaires p réd éfi n is (co m me l a n u it pa r exem p l e) . E nfi n, toutes l es mesu res sont p i l otées pa r l'intermédiaire d'un microprogramme associé au microprocesseur de mesure capacitive.
Ce principe de détection d'appuis touches, ainsi que sa mise en œuvre via un ou plusieurs détecteurs capacitifs, est donc également utilisé dans le cadre de la présente invention pour la détection d'intrusion dans le clavier, et en particulier pour la détection d'insertion d'élément(s) espion(s) au-dessus du dôme métallique modifié d'une ou plusieurs touches sécurisées du clavier.
On décrit ci-après les étapes du procédé mise en œuvre pour une touche du clavier, étant entendu que ces étapes peuvent être mises en œuvre pour une, plusieurs ou toutes les touches du clavier dès lors que celles-ci sont sécurisées selon les différents modes de réalisation de l'invention.
Selon ce mode de réalisation de l'invention, une première étape 41 de calcul consiste à calculer une valeur absolue d'une différence entre une capacité mesurée, à un instant t, et au moins une capacité de référence. Par exemple, un premier calcul est effectué par rapport à la valeur de référence au repos et un second calcul est effectué par rapport à la valeur de référence correspondant à un appui touche. Les deux valeurs absolues obtenues sont comparées à un seuil prédéterminé (dont la définition est décrite ci-dessous), lors d'une étape 42 de détection d'une intrusion. Ainsi, si l'une, ou les deux valeurs absolues excèdent ce seuil, une intrusion est détectée et une étape 43 de génération d'une alarme est mise en œuvre.
Ces étapes sont par exemple mises en œuvre par l'intermédiaire du microprocesseur de mesure capacitive utilisé pour la détection d'appuis touches, sans ajout de modules/éléments électroniques supplémentaires.
En revanche, le calibrage et le paramétrage, décrits ci-dessus, doivent être adaptés pour tenir compte de la structure modifiée du dôme de la touche sécurisée. En effet, les valeurs de référence utilisées pour la détection capacitive sont différentes lorsque le dôme présente une structure modifiée (sommet non métallique) telle que décrite précédemment, et le seuil prédéterminé servant à la détection d'une intrusion doit également être adapté à la détection d'une intrusion.
Ainsi, la solution de l'invention permet d'élargir la mise en œuvre du principe de détection capacitive pour la détection d'appuis touches, à la détection d'une intrusion dans le clavier, grâce à la sécurisation d'une ou plusieurs touches par modification de la structure du dôme métallique de cette ou ces touches.
Une fois une intrusion détectée, par exemple pour une touche sécurisée spécifique, une alarme est générée, soit pour avertir un utilisateur du clavier, soit pour désactiver le clavier ou le terminal de paiement électronique. La génération d'une alarme est paramétrable, au niveau du type de l'alarme, et peut être liée à la mise en œuvre matérielle de la solution de l'invention, selon ses différents modes de réalisation, c'est-à-dire pa r exemple au nom bre de touches sécurisées du clavier du terminal de paiement électronique. Pour ce faire, un niveau de sécurité peut être défini pour un terminal de paiement électronique donné, en fonction d'un compromis entre un nombre de fausses alarmes toléré et une exigence de sécurité souhaitée.
Ainsi, si toutes les touches du clavier sont sécurisées, par la modification structurelle du dôme métallique selon les modes de réalisation de l'invention, il est possible de ne générer une alarme que lorsqu'une intrusion est suspectée pour au moins deux touches sécurisées. Cela permet de limiter les fausses alarmes liées à un éventuel dysfonctionnement ponctuel d'une touche, tout en alertant l' utilisateur dès qu'une deuxième intrusion vient corroborer une première intrusion suspectée. Dans ce cas, on peut envisager que la détection d'une première intrusion sur une première touche génère un message d'alerte interne au microprocesseur en charge du traitement de détection capacitive, et que dans le cas où un deuxième message d'alerte est généré, pour une intrusion suspectée sur une deuxième touche (ou la même première touche), alors une alarme « externe » est générée, c'est-à-dire que l'utilisateur du terminal de paiement électronique (le commerçant par exemple) est averti d'un risque de fraude. Les différents types d'alarme envisageables sont détaillés ci-après.
En revanche, si une partie seulement des touches du clavier est sécurisée (une ou plusieurs touches mais pas la totalité), il est préférable de générer une alarmer dès la première intrusion détectée.
La génération d'une alarme peut également prendre en considération le type des touches sécurisées, c'est-à-dire si une touche correspond à un chiffre, ou une fonction telle que validation, annulation ... du clavier. En effet, il est primordial de sécuriser au maximum les touches numériques utilisées pour la saisie de données confidentielles telles qu'un code secret, par un utilisateur.
Comme déjà indiqué ci-dessus, différents types d'alarme peuvent être mis en œuvre, lorsqu'une intrusion est détectée sur au moins une touche sécurisée d'un clavier d'un terminal de paiement électronique.
Des alarmes de type « interne » consistent par exemple en la transmission d'un message d' erreu r vers le micro processeu r en ch a rge d u tra itement de détection ca pacitive ( l e microprocesseur associé au microprocesseur de mesure capacitive décrit ci-dessus), ou l'incrémentation d'un compteur d'alarme ou encore la mise à 1 ou 0 d'un registre spécifique.
Selon les différents modes de réalisation de l'invention, un nombre prédéterminé d'alarmes de type « interne » peut déclencher la génération d'une alarme de type « externe ».
Ce type d' a l a rmes « externes » visent tout d'abord à prévenir l'utilisateur d'une éventuelle fraude mise en œuvre au sein du clavier du terminal de paiement électronique, et, le cas éch éa nt, à em pêche r l es effets d e l a fra u de, c' est-à-dire l'espionnage de données confidentielles en rendant inactif le terminal de paiement électronique. Ainsi de telles alarmes peuvent :
alerter l'utilisateur, afin qu'il prenne les mesures de sécurité nécessaires ;
désactiver a utomatiq uement tout ou pa rtie d u clavier d u termi nal de pa iement électronique, c'est-à-dire rendre inactives toutes les touches ou seulement une partie des touches comme par exemple les touches numériques ; désactiver automatiquement tout ou partie du terminal de paiement électronique, c'est- à-dire empêcher tout fonctionnement du terminal de paiement électronique, ou uniquement certaines de ses fonctions.
Dans tous les cas, l'utilisateur est alerté, et dans certains cas, une mesure supplémentaire de désactivation empêchant le fonctionnement normal du terminal est mise en œuvre.
Dans ces dern iers cas, il est prévu de pouvoi r réactiver le term inal de pa iement électronique, par exemple si l'utilisateur (le commerçant par exemple) a constaté que l'intrusion suspectée n'était pas avérée (cas d'une fausse alarme), ou si l'utilisateur a pu retirer le ou les éléments espions préalablement insérés dans le clavier.
Par mesure de sécurité, cette réactivation peut être conditionnée à la saisie d'un code confidentiel, par le commerçant par exemple, soit via le terminal de paiement électronique lui- même si ce dernier n'est pas complètement désactivé, soit via une connexion entre le terminal de paiement électronique et un terminal de communication distant prédéterminé (par exemple la con n exion p révue po u r l a co nfigu ration d u term in a l d e pa iement électronique, ou sa maintenance, ou encore la transmission des informations de transaction ...). Ainsi, seule une personne habilitée à réactiver le terminal de paiement électronique peut effectivement requérir sa réactivation.
5.4. Architecture simplifiée d'un module de détection d'intrusion
On décrit, en relation avec les figures 5 et 6, un exemple de module de détection d'intrusion, comprenant des moyens d'exécution du procédé décrit préalablement.
Ainsi, comme illustré en figure 5, un tel module 500, intégré par exemple à un clavier de terminal de paiement électronique comprenant au moins une touche sécurisée selon l'un des modes de réalisation de l'invention, comprend des moyens de détection (par exemple sous la forme d'un ou plusieurs sous-modules) d'une intrusion lorsqu'une valeur absolue d'une différence entre :
• une capacité mesurée, via des moyens de mesure de capacité, pour un ensemble comprenant ledit dôme métallique de ladite au moins une touche sécurisée et au moins un élément de référence correspondant dans ledit circuit imprimé dudit clavier et
· au moins une capacité de référence
excède un seuil prédéterminé.
On décrit maintenant ce module 500 en relation avec la figure 6. Par exemple, le module comprend une mémoire 61 constituée d'une mémoire tampon, une unité de traitement 62, équipée par exemple d'un microprocesseur, et pilotée par le programme d'ordinateur 63, mettant en œuvre un procédé de détection d'intrusion selon les différents modes de réalisation décrit précédemment.
À l'initialisation, les instructions de code du programme d'ordinateur 63 sont par exemple chargées dans une mémoire avant d'être exécutées par le processeur de l'unité de traitement 62. L'unité de traitement 62 reçoit en entrée par exemple une valeur mesurée de capacité et au moins une valeur de capacité de référence. Le microprocesseur de l'unité de traitement 62 met en œuvre les étapes du procédé de détection d'intrusion, selon les instructions du programme d'ordinateur 63, pour générer une alarme.

Claims

Revendications
Touche sécurisée d'un clavier analogique d'un terminal de paiement électronique, ladite touche sécurisée comprenant en sa partie inférieure un dôme métallique relié à la masse du circuit imprimé dudit clavier analogique, caractérisée en ce que ledit dôme présente une partie non métallique en son sommet, pour la détection d'une intrusion du type insertion d'au moins un élément espion au-dessus dudit dôme selon le procédé des revendications 3 à 6.
Touche sécurisée selon la revendication 1, caractérisée en ce q ue lad ite pa rtie non méta ll iq ue d ud it sommet d ud it dôme est m ise en œuvre pa r au moins un moyen appartenant au groupe comprenant :
• un évidement dudit sommet dudit dôme ;
• une partie en matière non conductrice.
Procédé de détection d'une intrusion du type insertion d'au moins un élément espion au- dessus d'au moins un dôme d'une touche dans un clavier analogique d'un terminal de paiement électronique, ledit clavier analogiq ue comprenant au moins une touche sécurisée selon la revendication 1, ledit procédé étant caractérisé en ce que des moyens de détection capacitive dudit terminal de paiement électronique destinés à la détection d'appuis touches dudit clavier analogique sont adaptés de façon à les rendre aptes également à la détection de lad ite intrusion et en ce qu'il comprend u ne étape de détection d'une intrusion lorsqu'une valeur absolue d'une différence entre :
• une capacité mesurée pour un ensemble comprenant ledit dôme métallique de ladite au moins une touche sécurisée et au moins un élément de référence correspondant dans ledit circuit imprimé dudit clavier analogique et
• au moins une capacité de référence
excède un seuil prédéterminé.
Procédé de détection selon la revendication 3, ca ractérisé en ce qu' il com prend, lorsq u' une intrusion est détectée lors de ladite étape de détection, une étape de génération d'une alarme en fonction d'au moins un niveau de sécurité prédéterminé. Procédé de détection selon la revendication 4, caractérisé en ce que ladite alarme générée appartient au groupe comprenant :
• une désactivation totale dudit terminal de paiement électronique ; • une désactivation des touches alphanumériques dudit clavier analogique dudit terminal de paiement électronique ;
• un message d'erreur émis par ledit terminal de paiement électronique ;
Procédé de détection selon la revendication 5, caractérisé en ce qu'il comprend une étape de réactivation dudit terminal de paiement électronique à l'aide d'un code de réactivation prédéterminé.
Module de détection d'une intrusion du type insertion d'au moins un élément espion au- dessus d'au moins un dôme d'une touche dans un clavier analogique d'un terminal de paiement électronique, ledit clavier analogique comprenant a u moins une touche sécurisée selon la revendication 1, ca ractérisé en ce que des moyens de détection capacitive dudit terminal de paiement électronique destinés à la détection d'appuis touches dudit clavier analogique sont adaptés de façon à les rendre aptes également à la détection de ladite intrusion et en ce que led it mod ule comprend des moyens de détection d'une intrusion lorsqu'une valeur absolue d'une différence entre :
• une capacité mesurée, via des moyens de mesure de capacité, pour un ensemble comprenant ledit dôme métallique de ladite au moins une touche sécurisée et au moins un élément de référence correspondant dans ledit circuit imprimé dudit clavier et
• au moins une capacité de référence
excède un seuil prédéterminé.
Terminal de paiement électronique comprenant au moins une touche sécurisée selon la revendication 1 et un module de détection d'intrusion selon la revendication 7.
Programme d'ordinateur téléchargea ble depuis un réseau de communication et/ou stocké sur un support lisible par ordinateur et/ou exécutable par un microprocesseur, caractérisé en ce qu'il comprend des instructions de code de programme pour l'exécution d'un procédé selon l'une quelconque des revendications 3 à 6 lorsque ce programme est exécuté par un processeur.
Su pport d'enregistrement l isi ble par u n ordi nateu r su r leq uel est en registré u n programme d'ordinateur comprenant des instructions pour l'exécution des étapes du procédé selon l'une quelconque des revendications 3 à 6.
PCT/EP2016/055183 2015-03-12 2016-03-10 Touche sécurisée de clavier analogique, procédé et module de détection d'intrusion, terminal de paiement électronique, programme et support d'enregistrement correspondants WO2016142487A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1552057A FR3033659B1 (fr) 2015-03-12 2015-03-12 Touche securisee de clavier analogique, procede et module de detection d'intrusion, terminal de paiement electronique, programme et support d'enregistrement correspondants
FR1552057 2015-03-12

Publications (1)

Publication Number Publication Date
WO2016142487A1 true WO2016142487A1 (fr) 2016-09-15

Family

ID=53514299

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2016/055183 WO2016142487A1 (fr) 2015-03-12 2016-03-10 Touche sécurisée de clavier analogique, procédé et module de détection d'intrusion, terminal de paiement électronique, programme et support d'enregistrement correspondants

Country Status (2)

Country Link
FR (1) FR3033659B1 (fr)
WO (1) WO2016142487A1 (fr)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4365120A (en) * 1981-04-13 1982-12-21 Kb Denver, Inc. Illuminated keyboard
US20070204173A1 (en) * 2006-02-15 2007-08-30 Wrg Services Inc. Central processing unit and encrypted pin pad for automated teller machines

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4365120A (en) * 1981-04-13 1982-12-21 Kb Denver, Inc. Illuminated keyboard
US20070204173A1 (en) * 2006-02-15 2007-08-30 Wrg Services Inc. Central processing unit and encrypted pin pad for automated teller machines

Also Published As

Publication number Publication date
FR3033659B1 (fr) 2020-03-13
FR3033659A1 (fr) 2016-09-16

Similar Documents

Publication Publication Date Title
EP3552139B1 (fr) Procédés et entités notamment transactionnels mettant en jeu des dispositifs sécurisés
EP2634754A1 (fr) Procédé de vérification de documents, et dispositif de mise en oeuvre d'un tel procédé
EP0776498B1 (fr) Dispositif de clavier securise
EP2431901A1 (fr) Dispositif de protection, procédé et produit programme d'ordinateur correspondant
WO2016142487A1 (fr) Touche sécurisée de clavier analogique, procédé et module de détection d'intrusion, terminal de paiement électronique, programme et support d'enregistrement correspondants
EP3710970B1 (fr) Terminaux et procédés pour transactions sécurisées
FR2786006A1 (fr) Dispositif pour la limitation de fraudes dans une carte a circuit integre
FR3020167A1 (fr) Dispositif de traitement de donnees en provenance de carte a memoire sans contact, methode et programme d'ordinateur correspondant
EP2102832B1 (fr) Boitier securise
EP3803813B1 (fr) Dispositif et procédé pour l'identification sécurisée d'un utilisateur
BE1026342B1 (fr) Dispositif et procede pour l'indentification securisee d'un utilisateur
EP3379389A1 (fr) Clavier sécurisé pour dispositif électronique de saisie de données
FR2985052A1 (fr) Dispositif electronique pour le stockage de donnees confidentielles
WO2024069088A1 (fr) Smartphone intégrant un portefeuille matériel de stockage de clés cryptographiques mettant en œuvre un multiplexage logiciel de l'afficheur du smartphone
EP3391265A1 (fr) Procede d'elaboration d'un mot challenge, dispositif electronique, peripherique de consigne et systeme mettant en oeuvre ledit procede
EP3350745A1 (fr) Gestion d'un affichage d'une vue d'une application sur un écran d'un dispositif électronique de saisie de données, procédé, dispositif et produit programme d'ordinateur correspondants
FR3140463A1 (fr) Smartphone intégrant un portefeuille matériel de stockage de clés cryptographiques mettant en œuvre un multiplexage matériel de l'afficheur du smartphone
FR3140462A1 (fr) Smartphone intégrant un portefeuille matériel de stockage de clés cryptographiques mettant en œuvre un multiplexage logiciel de l'afficheur du smartphone
EP3113056B1 (fr) Sécurisation d'une validation d'une séquence de caractères, procédé, dispositif et produit programme d'ordinateur correspondants
EP2829999B1 (fr) Dispositif de sécurisation d'un clavier capacitif et terminal correspondant
FR3140464A1 (fr) Commutation temporaire sûre d'un terminal dans un mode sécurisé pour traiter une transaction
CN112446014A (zh) 用户验证方法与移动装置
FR3052897A1 (fr) Procede mis en œuvre dans une entite electronique et entite electronique associee
EP2325750A1 (fr) Procédé de surveillance de l'activité informatique d'un dispositif électronique
WO2011134918A1 (fr) Procede de detection d'une condition anormale de fonctionnement environnementale d'un element embarque dans un appareil et element correspondant

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16709419

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 16709419

Country of ref document: EP

Kind code of ref document: A1