Note: Descriptions are shown in the official language in which they were submitted.
CA 02702013 2010-04-07
WO 2009/087311 PCT/FR2008/001470
1
SYSTEME D'AUTHENTIFICATION BIOMÉTRIQUE SANS CONTACT
ET PROCÉDÉ D'AUTHENTIFICATION
L'invention se rapporte à un système d'authentification comprenant
un ou plusieurs dispositifs personnels d'authentification
- un terminal comprenant
o des moyens biométriques agencés pour générer des
informations biométriques d'un utilisateur ;
o des moyens de communication agencés pour transmettre
les informations biométriques au dispositif personnel
d'authentification ;
- le ou chaque dispositif personnel d'authentification comprenant
o une mémoire agencée pour stocker des données
biométriques du titulaire du dispositif personnel d'authentification ;
o des moyens de traitement agencés pour comparer les
informations biométriques et les données biométriques de sorte à
réaliser une authentification de l'utilisateur.
Un tel système est connu de la demande PCT WO-A-2004/100083.
Dans cette demande PCT, le dispositif est une carte
d'authentification et les informations biométriques sont transmises à
la mémoire de la carte d'authentification. La demande PCT
n'enseigne pas comment les informations biométriques sont
transmises à la carte d'authentification. Or, lorsque le terminal est
agencé pour transmettre les informations biométriques à la carte par
exemple en insérant la carte dans le terminal, l'authentification
nécessite une étape contraignante pour l'utilisateur. Ce dernier doit
en effet sortir sa carte et l'insérer dans un lecteur à contact pour
qu'une identification puisse être réalisée.
Un but de l'invention est de faciliter l'authentification de l'utilisateur
dans un système mentionné ci-dessus.
CA 02702013 2010-04-07
WO 2009/087311 PCT/FR2008/001470
2
Le document WO 2005/078647 enseigne un système tel que décrit ci-
dessus dans lequel les moyens de communication sont des moyens
de communication sans fil, agencés pour transmettre les informations
biométriques au dispositif personnel sans contact entre le dispositif
et le terminal.
Toutefois, le document WO 2005/078647 ne prend pas en compte le
fait que plusieurs dispositifs personnels peuvent se trouver dans la
portée des moyens de communication sans fil. En effet, ce document
est limité à une liaison du type (1 :1) One to One entre un unique
dispositif personnel et le terminal, ce qui impose que l'utilisateur doit
approcher un unique dispositif personnel près du dispositif pour
mettre en oeuvre le procédé. Or, il est avantageux que le procédé
puisse être mis en oeuvre lorsque plusieurs dispositifs personnels
sont dans la portée du terminal, notamment lorsque la portée des
moyens de communication est relativement importante, par exemple
entre 50 centimètres et 300 centimètres.
En particulier, un dispositif personnel peut être sollicité par plusieurs
terminaux simultanément, par exemple si l'environnement est celui
d'une grande surface dans laquelle plusieurs terminaux coexistent.
De même, un terminal peut avoir dans ses champs plusieurs cartes,
appartenant ou non à des porteurs différents.
Un but de l'invention est donc de fournir un procédé et un système
d'authentification susceptible de fonctionner lorsque les moyens. de
communication sans fil ont une portée relativement importante, de
sorte que plusieurs dispositifs personnels peuvent être dans la portée
de ces moyens de communication sans fil.
Ce but est atteint selon l'invention grâce à un système tel que décrit
ci-dessus dans lequel les moyens de communication sans fil sont
agencés pour transmettre les informations biométriques à une
CA 02702013 2010-04-07
WO 2009/087311 PCT/FR2008/001470
-3
pluralité de dispositifs personnels d'authentification, chacun des
dispositifs personnels d'authentification comprenant des moyens de
communication sans fil agencés pour transmettre sans contact au
terminal des données d'authentification positive en cas de
comparaison positive entre les informations biométriques et les
données biométriques permettant l'authentification de l'utilisateur et
dans lequel le terminal est agencé pour n'ouvrir une session
transactionnelle qu'avec le ou les dispositifs personnels ayant
transmis les données d'authentification positives.
De la sorte, le terminal peut diffuser les informations biométriques à
tous les dispositifs personnels dans la portée de ses moyens de
communication sans fil et n'ouvrir une session transactionnelle
qu'avec les dispositifs répondant positivement à l'interrogation du
terminal. Dès lors, si plusieurs dispositifs sont dans la portée des
moyens de communication sans fil du terminal, mais ne
correspondent pas à l'utilisateur ayant réalisé l'acquisition
biométrique, aucune session transactionnelle ne sera ouverte avec le
terminal. On peut ainsi gérer la présence de plusieurs dispositifs
personnels dans la portée du terminal. Ceci permet une
authentification satisfaisante et sécurisée même en présence de
plusieurs tels dispositifs.
De la sorte, l'utilisateur peut s'authentifier d'un seul geste à l'aide
des moyens biométriques du terminal sans devoir manipuler son
dispositif personnel d'authentification. Par exemple, lorsque le
dispositif personnel d'authentification est sous la forme d'une carte
d'authentification, l'utilisateur pourra s'authentifier sans sortir la
carte, par exemple de son portefeuille, et la carte réalisera la
comparaison de l'information biométrique avec les données
biométriques de sa mémoire sans qu'intervienne une manipulation de
la carte par le porteur. Dès lors, l'authentification est facilitée tout en
maintenant un niveau de sécurité satisfaisant pour l'authentification
CA 02702013 2010-04-07
WO 2009/087311 PCT/FR2008/001470
4
grâce à une comparaison biométrique, et tout en prenant en compte
le fait que plusieurs utilisateurs peuvent se trouver dans la portée du
terminal. L'invention est donc particulièrement bien adaptée au cas
des grands magasins où plusieurs utilisateurs peuvent simultanément
se présenter au niveau des caisses de paiement ou dans le cas d'un
ou plusieurs utilisateurs possédant plusieurs dispositifs personnels
sur eux.
On décrit maintenant des modes de réalisation avantageux de
l'invention.
De préférence, les moyens de communication sans fil du terminal
sont agencés pour transmettre les informations biométriques au
dispositif personnel d'authentification selon une distance comprise
entre 50 centimètres et 300 centimètres.
De la sorte, l'utilisateur n'a même pas à rapprocher son dispositif
personnel d'authentification comme dans les solutions sans contact
utilisant la norme NFC, acronyme anglais pour Near Field
Communication qui ne permet que des communications de quelques
centimètres en One to One.
De même, les moyens de communication sans fil du dispositif
personnel d'authentification sont de préférence également agencés
pour communiquer avec le terminal selon une distance comprise
entre 50 centimètres et 300 centimètres.
Selon un mode de réalisation de l'invention, les moyens biométriques
comprennent un lecteur biométrique agencé pour acquérir une image
biométrique de l'utilisateur, et des moyens de traitement agencés
pour générer les informations biométriques à partir de l'image
biométrique. Ce mode de réalisation a l'avantage de permettre
d'adapter les informations biométriques transmises aux capacités de
CA 02702013 2010-04-07
WO 2009/087311 PCT/FR2008/001470
stockage et de calcul du dispositif personnel d'authentification. En
particulier, les moyens de traitement pourront être tels que seule une
information biométrique de faible taille est transmise au dispositif
personnel d'authentification dès lors qu'une comparaison positive
5 avec les données stockées dans le dispositif personnel
d'authentification garantit l'identité de l'utilisateur ayant utilisé le
lecteur biométrique avec une sécurité suffisante. Un tel niveau de
sécurité pourra par exemple être adapté en fonction des applications
de l'invention et du type de transaction autorisé par le terminal.
En particulier, selon un mode de réalisation particulier de l'invention,
les moyens de traitement sont agencés pour extraire des minuties de
l'image biométrique, et les informations biométriques comprennent
un condensat des minuties. Ce condensat est par exemple réalisé à
l'aide d'une fonction de hashage qui peut être appliquée au niveau du
terminal et du dispositif personnel d'authentification.
De préférence, le lecteur biométrique est agencé pour acquérir une
image du réseau veineux d'un doigt ou de la main de l'utilisateur.
Ceci permet notamment fournir une caractéristique biométrique sans
trace de l'utilisateur.
Selon un mode de réalisation de l'invention, les dispositifs
personnels d'authentification peuvent posséder un premier mode
dans lequel elles ne sont pas susceptibles de transmettre des
données au terminal, et un mode actif dans lequel elles sont
susceptibles de communiquer avec le terminal.
Dans ce cas, en cas de comparaison négative entre les informations
biométriques et les données biométriques dans un dispositif
personnel, ce dispositif personnel peut être agencé pour passer dans
le premier mode, de sorte qu'aucune session de communication n'est
ouverte entre le terminal et ce dispositif personnel.
CA 02702013 2010-04-07
WO 2009/087311 PCT/FR2008/001470
6
De préférence, en cas de comparaison positive entre les informations
biométriques et les données biométriques dans un dispositif
personnel, ce dispositif personnel est agencé pour rester en mode
actif pour qu'une transaction puisse se réaliser entre le terminal et ce
dispositif personnel.
Les dispositifs personnels peuvent en outre posséder un mode
d'écoute dans lequel ils sont susceptibles de détecter un signal
transmis par le terminal et un mode de veille dans lequel ils sont
uniquement susceptibles de faire courir une temporisation.
Dans ce cas, les dispositifs personnels peuvent être agencés pour
passer du mode veille au mode d'écoute après un premier temps
prédéterminé Tl.
Les dispositifs personnels peuvent en outre être agencés pour passer
du mode d'écoute au mode actif lorsqu'ils détectent ledit signal
transmis par le terminal avant l'échéance d'un deuxième temps
prédéterminé T2.
Dans tous les modes de réalisation ci-dessus, en cas de réception
par le terminal de données d'authentification positives depuis une
pluralité de dispositifs personnels, le terminal peut être agencé pour
sélectionner un unique dispositif personnel pour réaliser une
transaction.
Dans ce cas, les dispositifs personnels peuvent comprendre des
applications, et le terminal peut être agencé pour sélectionner
l'unique dispositif personnel en fonction des applications comprises
dans la pluralité de dispositifs personnels ayant transmis les données
d'authentification positive.
CA 02702013 2010-04-07
WO 2009/087311 PCT/FR2008/001470
7
De même, les dispositifs personnels ayant transmis les données
d'authentification positive peuvent comprendre une pluralité
d'applications, et le terminal peut être agencé pour sélectionner une
unique application pour réaliser une transaction.
Dans ce cas, le terminal peut être agencé pour sélectionner l'unique
application en fonction d'une règle de priorité ou en fonction des
applications qu'il est apte à reconnaître.
Dans tous les modes de réalisation ci-dessus, les moyens de
communication sans fil du terminal et les moyens de communication
sans fil du dispositif personnel ou de chaque dispositif personnel
peuvent avoir une portée de communication comprise entre 50 cm et
300 cm.
L'invention se rapporte également à un procédé d'authentification
mettant en oeuvre un système décrit ci-dessus, le procédé
comprenant des étapes dans lesquelles :
- l'utilisateur utilise les moyens biométriques de sorte à générer
des informations biométriques
- les moyens de communication sans fil transmettent les
informations biométriques à une pluralité de
dispositifs personnels d'authentification
- les moyens de traitement de chacun des dispositifs personnels
comparent les informations biométriques et les données
biométriques et génèrent des données d'authentification
positive en cas de comparaison positive entre les données
biométriques et les informations biométriques de sorte à
authentifier l'utilisateur
- les moyens de communication sans fil des dispositifs
personnels transmettent au terminal les données
d'authentification positive ;
- le terminal n'ouvre une session transactionnelle qu'avec le ou
CA 02702013 2010-04-07
WO 2009/087311 PCT/FR2008/001470
8
les dispositifs personnels ayant transmis les données
d'authentification positives.
Selon un mode de réalisation du procédé décrit ci-dessus, le
dispositif personnel d'authentification peut transmettre en outre au
moins un identifiant associé à au moins une application susceptible
d'être mise en oeuvre par le dispositif personnel d'authentification.
De la sorte, on peut garantir que la transaction réalisée entre le
terminal et le dispositif personnel est adaptée aux fonctionnalités du
dispositif personnel définies par les applications.
De préférence, les moyens de communication sans fil du terminal
peuvent transmettre les informations biométriques à la pluralité de
dispositifs personnels d'authentification via un canal de
communication sécurisé préalablement établi.
On décrit maintenant au moins un mode de réalisation de l'invention
en référence aux figures annexées dans lesquelles :
- FIG. 1 représente un système d'authentification selon l'invention
- FIG. 2 représente un dispositif personnel inclut dans le système
d'authentification de la figure 1 ;
- FIG. 3 représente un schéma de fonctionnement du système
d'authentification de la figure 1 ;
- FIG. 4 représente un schéma de fonction d'un mode de réalisation
du système de la FIG. 1.
Comme illustré sur la figure 1, un système d'authentification 1 selon
l'invention comprend un terminal 2 correspondant par exemple à
terminal 2 d'un point de vente d'un magasin. Le terminal 2 comprend
un lecteur biométrique 5 susceptible d'acquérir une image
biométrique d'un utilisateur, par exemple un lecteur pour acquérir une
image du réseau veineux d'un doigt ou de la main de l'utilisateur de
CA 02702013 2010-04-07
WO 2009/087311 PCT/FR2008/001470
9
sorte à calculer des minuties de l'image. Le terminal 2 comprend
également un calculateur 6 pour appliquer un traitement à l'image
biométrique et aux minuties ainsi obtenues. Le traitement correspond
par exemple à l'application d'une fonction de hashage pour générer
un condensat des minuties. Le terminal 2 comprend également des
moyens de communication sans fil 7 pour transmettre des
informations à des dispositifs personnels d'authentification 3 et 4.
Ces dispositifs 3 et 4 seront décrits plus en détail par la suite.
Les moyens de communication sans fil 7 comprennent un module de
communication radiofréquence basé sur les normes ISO, et plus
particulièrement ISO 18000-6. Ces normes permettent une
communication sans fil sur une distance comprise entre 50
centimètres et 3 mètres. Pour la norme ISO 18000-6, la fréquence
utilisée est une fréquence ultra-haute dans la bande des 865 Mhz.
Une telle fréquence est bien adaptée pour des communications sur
des distances comprises entre 50 centimètres et 3 mètres.
Les moyens de communication sans fil 7 intègrent en outre un
algorithme anticollision de sorte que le terminal 7 puisse dialoguer
avec une pluralité de dispositifs 3 et 4.
On décrit maintenant en détail le dispositif 3 en référence à la figure
2. Le dispositif 3 est par exemple une carte ayant la forme d'une
carte de paiement. Elle comprend une interface radiofréquence 8
reliée à un microprocesseur 11, ainsi qu'une interface de contact 12
également connectée au microprocesseur 11. Le microprocesseur 11
est connecté à une mémoire EEPROM 10. Une batterie 9 permet de
fournir la puissance d'émission radiofréquence nécessaire au
dispositif 3 pour qu'il dialogue avec le terminal 2. La batterie 9 pourra
éventuellement être rechargée lors d'un contact de l'interface 12
avec un lecteur de carte à contact.
CA 02702013 2010-04-07
WO 2009/087311 PCT/FR2008/001470
La mémoire 10 stocke des données biométriques du titulaire de la
carte 3. Ces données biométriques sont adaptées aux informations
susceptibles d'être générées par le terminal 2. En particulier, si le
terminal 2 comprend un lecteur pour acquérir une image du réseau
5 veineux d'un doigt de l'utilisateur, la mémoire 10 comprend des
données biométriques nécessaires pour authentifier l'utilisateur
lorsque des informations issues de cette image du réseau veineux du
doigt sont reçues par le dispositif 3. Ces données peuvent
correspondre aux données relatives aux minuties du réseau veineux
10 ou à un condensat de cette image par exemple obtenu à partir d'une
fonction de hashage identique à celle appliquée au niveau du
terminal 2.
Ces données peuvent également correspondrent aux données
relatives à l'iris ou à la forme du visage, de sorte à permettre une
reconnaissance de ces composants biométriques ou à tout autre
élément biométrique ou combinaisons de plusieurs biométries.
Ce gabarit biométrique est enregistré sur la carte 3 d'un client lors de
son enrôlement, d'un renouvellement de sa carte, ou de la création
d'une nouvelle carte pour un client existant.
Le microprocesseur 11 est programmé pour réaliser des
comparaisons entre les données biométriques stockées dans la
mémoire 10 et les informations biométriques reçues du terminal 2 via
l'interface radiofréquence 8.
Par définition, cette comparaison est de type (1 :1) One to One : il
s'agit uniquement de s'assurer que l'échantillon biométrique fourni
correspond au gabarit présent dans le dispositif personnel 3
d'authentification que possède le porteur (carte à puce, carte SIM de
téléphone portable, ...). Ceci s'oppose par exemple à un système de
type (1 : N) One to Any dans lequel le gabarit correspondant est
CA 02702013 2010-04-07
WO 2009/087311 PCT/FR2008/001470
11
recherché dans une base de données.
En cas de comparaison positive entre les données biométriques
stockées dans la mémoire 10 et les informations biométriques reçues
du terminal 2 via l'interface radiofréquence 8, le dispositif 3 transmet
au terminal 2 des données d'authentification positive pour indiquer au
terminal 2 que l'utilisateur ayant utilisé le lecteur biométrique est
bien le titulaire du dispositif 3.
On décrit maintenant, en référence à la figure 3, le fonctionnement
du système 1 décrit plus haut. L'authentification de l'utilisateur dans
un mode de réalisation particulier de l'invention sera décrite plus bas
en référence à la FIG. 4.
Lorsqu'un utilisateur souhaite payer un montant donné à un système
de caisse 13, le système de caisse 13 transmet 20 le montant au
terminal 2. Le terminal 2 affiche alors par exemple un message pour
que l'utilisateur positionne son doigt ou sa main sur le lecteur
biométrique. Lorsqu'une information biométrique est générée par le
terminal 2, celui-ci diffuse 30 cette information biométrique autour de
lui. Cette information biométrique est alors reçue par tous les
dispositifs personnels 3 et 4 dans la portée de transmission du
terminal 2. A réception de cette information biométrique, le dispositif
3 compare 41 les informations biométriques reçues et les données
biométriques stockées dans sa mémoire. Le dispositif 4 réalise
également 42 une telle comparaison.
On suppose sur la figure 3 que le dispositif 4 a pour titulaire
l'utilisateur ayant utilisé le lecteur biométrique du terminal 2 et que le
dispositif 3 n'a pas pour titulaire l'utilisateur ayant utilisé le lecteur
biométrique du terminal 2. Dans ce cas, la comparaison réalisée par
le dispositif 3 rend un résultat négatif, et aucune donnée
d'authentification n'est transmise par le dispositif 3 au terminal 2. Le
CA 02702013 2010-04-07
WO 2009/087311 PCT/FR2008/001470
12
dispositif 3 restera alors muet pour la transaction vis-à-vis du
terminal 2. Au contraire, la comparaison réalisée par le dispositif 4
rend un résultat positif, et le dispositif 4 transmet 50 des données
d'authentification positive au terminal 2 de sorte à informer le
terminal 2 que l'utilisateur ayant utilisé le lecteur biométrique du
terminal 2 est bien le titulaire du dispositif personnel
d'authentification 4.
Une fois l'authentification réalisée, un canal transactionnel sécurisé
est ouvert 60 entre le terminal 2 et le dispositif 4. Une transaction
sécurisée peut alors être réalisée sur ce canal transactionnel
sécurisé. Grâce aux moyens de communication sans fil du terminal 2
et du dispositif 4 mentionnés ci-dessus, l'authentification peut donc
être réalisée alors que le dispositif 4 reste dans le sac à main, dans
le portefeuille ou dans une poche du titulaire du dispositif 4. La
transaction sécurisée est alors mise en oeuvre de façon connue en
soi entre le terminal 2 et le dispositif 4 par exemple à l'aide de
certificats de type PKI, de clés publiques et de clés privées.
Pour une transaction monétique par exemple du type EMV, le
terminal 2 interroge 70 un serveur d'autorisation monétique 14 pour
réaliser la transaction EMV. La réalisation de la transaction est alors
notifiée 81 au terminal 2 qui notifie à son tour 82 au dispositif 4 que
la transaction a bien été réalisée.
Le terminal 2 notifie également 90 au système de caisse que la
transaction a bien été réalisée.
Une fois la transaction réalisée, la communication sécurisée entre le
terminal 2 et le dispositif 4 est terminée.
On décrit maintenant des variantes du mode de réalisation décrit ci-
dessus.
CA 02702013 2010-04-07
WO 2009/087311 PCT/FR2008/001470
13
Il est possible qu'un même utilisateur soit titulaire de plusieurs
dispositifs personnels 3 ou 4, par exemple sous la forme de plusieurs
cartes telles que précédemment décrites.
Dès lors, dans le procédé précédemment décrit en référence à la
figure 3, tous les dispositifs dont l'utilisateur est titulaire réaliseront
une comparaison positive et transmettront au terminal 2 les données
d'authentification positive. Dans ce cas, le terminal 2 peut être
agencé pour permettre une sélection des différents dispositifs ayant
répondu positivement à la comparaison. Cette sélection peut être
réalisée automatiquement par le terminal 2 en fonction des
compatibilités entre le terminal 2 et le ou les dispositifs ayant
répondu positivement à la comparaison.
Par exemple, si le terminal 2 est un terminal du type EMV et que seul
un des dispositifs est susceptible de réaliser des transactions selon
le standard EMV, le terminal 2 sélectionnera automatiquement ce
dispositif et ouvrira le canal transactionnel sécurisé avec ce
dispositif.
Pour ce faire, les dispositifs ayant répondu positivement à la
comparaison sont agencés pour transmettre au terminal 2, par
exemple avec les données d'authentification positive, les identifiants
des applications susceptibles d'être mises en oeuvre par le dispositif.
De la même façon, le terminal 2 peut, lors de ses échanges avec le
dispositif, transmettre des identifiants des services qu'il peut réaliser.
En outre, lorsqu'un même dispositif personnel d'authentification
comprend une pluralité d'applications, un identifiant de ces
applications est transmis avec les données d'authentification positive
de sorte que le terminal 2 puisse déterminer le service à réaliser en
fonction des applications disponibles sur le dispositif.
CA 02702013 2010-04-07
WO 2009/087311 PCT/FR2008/001470
14
De plus, on a décrit le fait que le dispositif personnel
d'authentification 3 ou 4 pouvait avoir la forme d'une carte de
paiement. Il est entendu que ce dispositif peut également être inséré
dans un téléphone mobile, notamment dans la carte SIM d'un tel
téléphone mobile, ou dans un simple porte-clé, ou tout autre support.
En outre, selon un mode de réalisation de l'invention, le lecteur
biométrique 5 et les moyens de communication sans fil 7 du terminal
2 peuvent être insérés dans un boîtier susceptible d'être branché sur
un ordinateur personnel par exemple à l'aide d'une connexion USB.
De la sorte, un utilisateur souhaitant par exemple réaliser un
paiement sécurisé sur Internet pourra brancher le boîtier sur son
ordinateur personnel et s'authentifier en utilisant le lecteur
biométrique 7 du boîtier toujours sans sortir son dispositif personnel
d'authentification grâce à la communication sans fil entre le terminal
2 et le dispositif personnel d'authentification 3.
Le terminal 2 peut être utilisé pour réaliser toutes sortes de
transactions nécessitant une authentification d'un utilisateur, et
notamment un paiement par l'utilisateur ou une distribution de service
à cet utilisateur.
On décrit en particulier maintenant un exemple de terminal 2 associé
à un système de caisse dans un magasin tel qu'un supermarché. Le
terminal peut comprendre :
o Un processeur pour effectuer les traitements nécessaires,
o Une mémoire de stockage temporaire,
o un afficheur alphanumérique,
o un clavier,
o une imprimante à facturette,
o des modules logiciels tels que la sélection de
l'application, le paramétrage, la remontée des alarmes.
CA 02702013 2010-04-07
WO 2009/087311 PCT/FR2008/001470
Ce terminal 2 est en liaison avec un serveur bancaire d'autorisation
et avec un système de caisse, par exemple tel que décrit ci-dessous.
Ce système de caisse, peut comprendre en particulier
5
o une interface homme-machine avec le personnel de
caisse,
o une imprimante chèque,
o une imprimante ticket,
10 o un afficheur alphanumérique,
o un scanner code-barre,
o des modules logiciels de calcul du montant et de sélection
du mode de paiement,
o un clavier caisse.
Ce système de caisse est en liaison avec le terminal 2 et avec le
système central du magasin.
On décrit maintenant un mode de réalisation du dispositif personnel 3
sous forme de carte 3. Dans ce mode de réalisation, la carte 3
comprend :
- Un processeur CPU,
- Une mémoire,
- Un dispositif de réveil, dont le fonctionnement est décrit ci-
dessous,
- Une commande manuelle dite privée ou, en langue anglaise
"privacy", permettant à l'utilisateur de couper complètement
l'alimentation de la carte (mode "privacy"), ou de la remettre
sous tension
- Une alimentation
- Des modules logiciels s'exécutant sur la carte, par exemple
détection de signal, gestion des applications.
CA 02702013 2010-04-07
WO 2009/087311 PCT/FR2008/001470
16
On décrit maintenant plus en détail le canal de transmission entre les
cartes 3 et le terminal 2.
Le canal de transmission comprend notamment
- un canal de communication sans contact, comprenant des
circuits de communication radio sur la carte 3 et sur le terminal
2,
- des interfaces de communication avec contact, sur la carte 3 et
sur le terminal 2 ;
- des modules logiciels s'exécutant sur la carte 3 et sur le
terminal 2, par exemple sous la forme de pilotes de
communication avec contact ou sans contact.
Ce canal de transmission assure le réveil des cartes 3, l'émission et
réception de données, ainsi que l'ouverture et la fermeture d'un canal
de communication sécurisé.
Le système selon l'invention comprend en outre un sous-système de
monétique et de services pour effectuer des transactions de
paiement, et plus généralement, toute transaction de service. Ce
sous-système gère en particulier la relation avec le serveur bancaire.
Le sous-système de monétique et de services est constitué de
composants logiciels s'exécutant sur les cartes 3 et sur le terminal 2.
Il réalise notamment les fonctions d'autorisation ou de refus de
paiement, de mise en oeuvre de la transaction de paiement et, plus
généralement, de mise en oeuvre des transactions de service.
Le système selon l'invention comprend en outre de préférence un
sous-système de sécurité visant à protéger les clients, commerçants
et prestataires de service, des risques de fraude, d'usurpation
d'identité, et de transaction faite à leur insu, en introduisant des
CA 02702013 2010-04-07
WO 2009/087311 PCT/FR2008/001470
17
fonctions d'authentification, de confidentialité, d'intégrité (non-
altération), de non-répudiation. Ce sous-système de sécurité
comprend des composants logiciels s'exécutant sur les cartes 3 et le
terminal 2, et s'il y a lieu de circuits cryptographiques spécialisés.
Ce sous-système permet
- le chiffrement et déchiffrement des données biométriques,
- une authentification de la carte 3 vis-à-vis du terminal 2,
- et optionnellement une authentification du terminal 2 vis-à-vis
de la carte 3,
- le chiffrement et déchiffrement des échanges,
- la signature des échanges
Par ailleurs le sous-système de sécurité veille à la prise en compte
des exigences de sécurité dans les autres sous-systèmes.
On décrit maintenant plus en détail le fonctionnement des cartes 3 ou
4.
Une carte 'qui est dans l'état "hors privacy" peut être dans l'un des 3
modes dénommés "veille", "écoute", et "actif", et décrits ci-dessous.
Dans le mode veille, la consommation de la carte est réduite au
minimum nécessaire pour faire courir une temporisation de durée Ti,
qui est la durée du mode veille.
Dans le mode écoute, la carte est en écoute d'un éventuel signal
radio externe, sur une ou plusieurs fréquence(s) déterminé(s) ou sur
une gamme de fréquence déterminée.
Cette fréquence d'écoute n'est pas nécessairement la même que la
fréquence qui servira ultérieurement à la communication entre la
carte et le terminal.
CA 02702013 2010-04-07
WO 2009/087311 PCT/FR2008/001470
18
Les seuls circuits alimentés et actifs de la carte sont ceux
nécessaires à la réception et la détection du signal, ainsi qu'à
l'écoulement d'une temporisation de durée T2, qui est la durée
maximale du mode écoute.
Dans le mode actif, tous les circuits de la carte sont alimentés.
Les consommations moyennes respectives de la carte dans les
modes veille, écoute et actif sont dénommées Pv, Pe et Pa et
vérifient l'inégalité Pv < Pe < Pa.
Les durées de temporisation T1 et T2 sont ajustées de façon, d'une
part à minimiser la consommation, d'autre part à être en mesure de
répondre rapidement à la sollicitation d'un terminal.
Une carte passe en mode veille entre autres dans les cas suivants
- lorsque la carte était précédemment en mode écoute, que la
temporisation T2 s'est écoulée et qu'aucun signal n'a été
détecté,
- lorsqu'une session de communication avec un terminal se
termine de façon normale,
- lorsqu'une session de communication se termine pour les
raisons suivantes :
o la phase d'authentification biométrique d'un utilisateur
("match on card") aboutit à un résultat négatif
o la phase de sélection d'une carte et d'une application
aboutit à écarter la carte en question
o il se produit une erreur de transmission, par exemple
lorsque la carte sort du champ, et cette erreur de
transmission est déclarée non récupérable.
Une carte passe en mode écoute lorsqu'elle était précédemment en
CA 02702013 2010-04-07
WO 2009/087311 PCT/FR2008/001470
19
mode veille et que la temporisation de durée Ti est arrivée à
échéance.
Une carte passe en mode actif lorsqu'elle était précédemment en
mode écoute, et dès que le signal d'un terminal a été détecté au
cours de ce mode, avant l'échéance de la temporisation T2. Cette
temporisation est alors désarmée.
Une carte passe également en mode actif lorsqu'elle est introduite
dans un lecteur de carte avec contact.
En l'absence de signal électromagnétique externe, une carte passe
donc alternativement et régulièrement par un cycle constitué d'un
mode veille de durée Ti et d'un mode écoute de durée T2
En présence de signal électromagnétique externe, ce cycle
s'interrompt et la carte passe en mode actif.
Ce mode de fonctionnement a deux objectifs, d'une part minimiser la
consommation de la carte, et donc allonger la durée de vie de
l'alimentation interne (pile ou batterie) et d'autre part minimiser le
rayonnement électromagnétique subi par l'utilisateur.
On décrit maintenant plus en détail le fonctionnement d'un système
selon l'invention. En fonctionnement, le système selon l'invention
réalise successivement :
le démarrage d'une session de communication et le réveil des
cartes environnantes ;
l'authentification de l'utilisateur
- la sélection de la carte à utiliser et de l'application
- la transaction de paiement ou de service
- la fin de la session de communication.
CA 02702013 2010-04-07
WO 2009/087311 PCT/FR2008/001470
On décrit successivement ces étapes.
Une session de communication selon l'invention peut être initialisée
par une commande spécifique (par exemple appui sur, une touché
5 d'un clavier) effectuée sur un terminal par le porteur de la carte ou
par le personnel de caisse, par un geste volontaire du porteur, tel
que la présentation de sa main ou d'un ou plusieurs de ses doigts,
sur un lecteur biométrique ou par la combinaison de ces deux
actions.
Cette initialisation a pour conséquence de faire émettre par le
terminal 2 un signal radio dit de réveil.
Les cartes qui sont situées dans l'environnement du terminal et qui
sont en mode écoute captent ce signal et passent alors en mode
actif.
Il est donc nécessaire, afin de réveiller toutes les cartes qui sont
dans le champ du lecteur et ne sont pas en mode privacy, que le
terminal émette ce signal pendant une durée minimale supérieure à
Ti.
Deux options peuvent être envisagées
- ce signal transporte un certificat biométrique, calculé en
particulier à partir d'un gabarit biométrique, lui-même calculé à
partir de l'information biométrique obtenue lors de l'étape
d'acquisition biométrique de l'utilisateur. Cette option nécessite
que cette acquisition biométrique ait eu lieu avant l'émission de
ce signal.
- ce signal ne transporte aucune information et est simplement
destiné à réveiller les cartes. Le certificat biométrique pourra
CA 02702013 2010-04-07
WO 2009/087311 PCT/FR2008/001470
21
alors être transmis ultérieurement.
L'authentification de l'utilisateur se déroule comme suit en référence
à la FIG. 4.
L'authentification se fait par comparaison entre un gabarit
biométrique calculé par le terminal 2 à partir de l'acquisition
biométrique, et un gabarit biométrique présent sur les cartes 3, 3A,
3B. Cette comparaison est faite sur la carte (Match on Card).
Le gabarit biométrique est transmis du terminal 2 vers la ou les
cartes 3, 3A, 3B de façon chiffrée, pour des raisons de sécurité et de
protection de la vie privée.
A titre optionnel, une étape préalable à la transmission du gabarit
biométrique est effectuée, cette étape consistant pour le terminal à
transmettre un certificat biométrique en clair aux cartes
environnantes.
L'authentification de l'utilisateur démarre par un geste volontaire du
porteur, tel que la présentation de sa main ou d'un ou plusieurs de
ses doigts, sur un lecteur biométrique préalablement activé par le
terminal.
Cette action provoque l'acquisition d'une information biométrique par
le dispositif. biométrique, correspondant à la technologie biométrique
utilisée. Cela peut être par exemple l'empreinte digitale d'un ou de
plusieurs doigts, ou l'image du réseau veineux de la main ou d'un ou
de plusieurs doigts.
Elle provoque également le calcul d'un gabarit biométrique par le
dispositif biométrique ou par le terminal, généré à partir de
l'information biométrique acquise. Cette étape a pour but d'obtenir
CA 02702013 2010-04-07
WO 2009/087311 PCT/FR2008/001470
22
une caractéristique biométrique du porteur de taille plus réduite que
celle de l'information biométrique, et pouvant cependant permettre
d'authentifier le porteur avec le niveau de fiabilité requis.
A titre optionnel, le terminal peut également calculer un certificat
biométrique, entre autres à partir du gabarit biométrique. Cette étape
optionnelle a pour but d'éliminer pour la suite du processus la
majorité des cartes non éligibles, c'est-à-dire celles dont le certificat
du gabarit biométrique stocké en mémoire ne correspond pas à celui
calculé par le terminal, sans pour autant diffuser en clair le gabarit
biométrique
Si l'étape optionnelle de calcul du certificat biométrique a été
effectuée, le terminal 2 diffuse 100, 101, 102 ce certificat biométrique
en clair vers les cartes environnantes 3, 3A, 3B.
Si les cartes 3, 3A, 3B situées dans le champ environnant du terminal
ont été précédemment réveillées par un signal du terminal sans
information, alors elles sont passées en mode actif et peuvent
réceptionner le nouveau signal reçu du terminal contenant le
certificat biométrique.
Si les cartes situées dans le champ environnant du terminal n'ont pas
été précédemment réveillées par un signal du terminal sans
information, alors c'est le signal contenant le certificat biométrique
qui joue le rôle de signal de réveil. Il est donc nécessaire que ce
signal soit transmis de façon répétée pendant une durée au moins
égale à Ti (durée d'une période de veille) afin d'attendre que les
cartes passent en mode écoute, puis de les faire passer en mode
actif.
Les cartes 3, 3A, 3B ainsi réveillées et situées dans le champ
comparent le certificat biométrique reçu avec le certificat biométrique
CA 02702013 2010-04-07
WO 2009/087311 PCT/FR2008/001470
23
calculé à partir du gabarit biométrique stocké dans leur mémoire, ou
directement avec un certificat biométrique stocké dans leur mémoire.
Les cartes pour lesquelles cette comparaison est négative, c'est-à-
dire pour lesquelles les deux certificats ne correspondent pas,
restent muettes et repassent en mode veille. Sur la FIG. 4, on
suppose que la carte 3B réalise une comparaison négative et ne
renvoie donc pas de signal de comparaison positive.
Les cartes 3 et 3A pour lesquelles cette comparaison est positive,
c'est-à-dire pour lesquelles les deux certificats correspondent,
restent en mode actif, et transmettent 110, 111 au terminal 2 en clair
une réponse indiquant que la comparaison est positive.
Un échange de clés publiques 120, 121 a lieu entre le terminal 2 et
chacune des cartes 3, 3A qui a répondu de façon positive lors de
l'étape précédente. Toutes les cartes et tous les terminaux doivent
donc posséder en mémoire un couple clé privée / clé publique qui
leur est propre, afin de permettre d'ouvrir un canal de communication
sécurisé entre chacune des cartes et le terminal.
Le terminal 2 transmet alors 130, 131 le gabarit biométrique calculé à
partir de l'acquisition biométrique à toutes les cartes 3, 3A ayant
répondu lors de l'étape précédente.
Ces cartes déchiffrent alors le gabarit biométrique reçu et le
comparent avec le gabarit biométrique qu'elles possèdent en
mémoire.
La ou les cartes pour lesquelles la comparaison est négative restent
muettes (ou, à titre optionnel renvoient au terminal un signal de
comparaison négative) et repassent en mode veille.' Sur la FIG. 4, on
suppose que la carte 3A réalise une comparaison négative, de sorte
CA 02702013 2010-04-07
WO 2009/087311 PCT/FR2008/001470
24
qu'elle ne renvoie pas de signal de comparaison positive.
Au contraire, la ou les cartes pour lesquelles la comparaison est
positive renvoient au terminal un signal de comparaison positive, et
restent en mode actif. Sur la FIG. 4, on suppose que la carte 3
réalise une telle comparaison positive. A titre optionnel elles peuvent
renvoyer 140 en même temps qu'un signal de comparaison positive,
_._la liste des applications candidates qu'elles possèdent, afin de
préparer l'étape ultérieure de sélection de la carte et de l'application.
Le canal de communication sécurisé ouvert pour la transmission du
gabarit peut être utilisé ensuite pour la suite de la session 150 entre
le terminal 2 et les cartes 3 ayant réalisé une comparaison positive.
Un même utilisateur peut posséder plusieurs cartes et chacune
d'elles peut comporter plusieurs applications. De même, chaque
application peut offrir plusieurs services. Dans ce cas, il est
nécessaire de pouvoir sélectionner la carte à utiliser ainsi que
l'application de cette carte. La sélection de la carte et la sélection de
l'application sont simultanées et se déroulent comme suit. Cette
étape démarre avec la transmission au terminal 2 par chaque carte 3
ayant répondu positivement à la comparaison biométrique, de sa
Candidate List , c'est-à-dire de la liste des applications qu'elle
possède.
Une sélection peut alors se faire dans cette liste par exemple par les
différentes façons suivantes, qui ne sont pas exclusives l'une de
l'autre :
o Élimination des applications non reconnues par le
terminal;
o Application de règles de priorité internes au terminal, ou
présentes dans la Candidate List ;
o Sélection de l'application par une action de l'utilisateur ou
CA 02702013 2010-04-07
WO 2009/087311 PCT/FR2008/001470
du personnel.
A l'issue de cette étape de sélection de la carte et de l'application,
une seule application est sélectionnée, et le cas échéant un seul
5 service associé à cette application.
Suite à l'étape de sélection de la carte, de l'application, et le cas
échéant du service, il convient de mettre en oeuvre ce service.
10 S'il s'agit d'un service de paiement, alors celui-ci est exécuté selon
les standards bancaires internationaux en vigueur, notamment
actuellement :EMV : Europay, Mastercard, Visa.
S'il s'agit d'une transaction de service, alors le déroulement de la
15 transaction est spécifique au service considéré.
Il est également possible de chaîner plusieurs transactions
applicatives au sein du même canal transactionnel sécurisé. Par
exemple, un paiement peut être suivi d'une transaction de fidélité.
Si pour une raison ou une autre, la transaction de service ne peut
être menée à son terme, il est envisagé de pouvoir revenir à l'état
initial précédant la transaction.
A l'issue de la transaction de paiement ou de service la carte repasse
en mode veille.
