Système de paiem ent électronique com portant u n term i nal mobi le i ncorporant u n porte-m on naie élect ronique et u n serveu r

Arrière-plan de l'invention

La présente invention se situe dans le domaine du paiement électronique par terminal mobile.

Au sens de l'invention, le mot "paiement" est à comprendre au sens large. I l se rapporte à tout type de transactions dans lequel le compte d'un utilisateur acheteur est débité au profit du compte d'un marchand.

L'invention s'applique aussi bien au pré-paiement dans lequel le solde de l'utilisateur acheteur représente une provision d'argent effectivement disponible pour de nouvelles dépenses, qu'au post-paiement dans lequel le solde représente une provision de crédit obtenue par l'utilisateur acheteur auprès de sa banque.

I l a déjà été envisagé d'intégrer un porte-monnaie électronique dans un téléphone mobile équipé d'un module de technologie sans contact apte à communiquer avec le module équivalent d'un terminal de paiement, l'utilisation d'une technologie sans contact permettant des transactions rapides lorsque les micro-paiements ne nécessitent pas d'autorisation auprès de la banque, (commande d'ouverture d'une porte d'accès au métro par exemple).

Lorsqu'on connaît l'engouement actuel pour les téléphones mobiles, on comprend que le fait d'y intégrer un porte-monnaie électronique génère un nombre de transactions bien supérieur au nombre de transactions qui seraient effectuées avec un porte-monnaie électronique isolé ou intégré dans une carte à puce par exemple, du moins auprès d'une certaine catégorie d'utilisateurs, notamment les jeunes. Du fait d'une utilisation plus intensive du porte-monnaie électronique, il est souhaitable de pouvoir disposer d'un crédit plus important pour pouvoir réaliser de nombreuses transactions locales.

Mais alors le risque en cas de vol ou d'utilisation frauduleuse du téléphone mobile devient plus important.

Objet et résumé de l'invention

Selon un premier aspect, l'invention concerne un terminal mobile comportant des moyens de télécommunication, ce terminal étant apte à intégrer un porte-monnaie électronique pouvant être utilisé pour effectuer une transaction locale auprès d'un terminal de paiement. Conformément à l'invention, ces moyens de télécommunication sont adaptés à transférer des données entre le téléphone mobile et un serveur gérant un compte associé au porte monnaie électronique, ces données étant nécessaires à la réalisation de la transaction. Corrélativement, l'invention concerne un procédé de gestion d'un porte-monnaie électronique incorporé dans un terminal mobile, ce porte-monnaie électronique pouvant être utilisé pour effectuer une transaction locale auprès d'un terminal de paiement. Ce procédé de gestion comporte au moins une étape de transfert de données entre le téléphone mobile et un serveur gérant un compte associé au porte monnaie électronique, ces données étant nécessaires à la réalisation de la transaction.

Selon un deuxième aspect, l'invention concerne un serveur de traitement d'une transaction effectuée par un porte-monnaie électronique incorporé dans un terminal mobile auprès d'au moins un terminal de paiement, ce serveur comportant des moyens de paiement du montant de cette transaction à partir d'un compte associé au porte-monnaie électronique et des moyens de télécommunication adaptés à transférer des données entre le serveur et le téléphone mobile), ces données étant nécessaires à la réalisation de la transaction.

Ce serveur est typiquement contrôlé par une autorité responsable du compte bancaire de l'utilisateur.

Corrélativement, l'invention concerne un procédé de traitement d'au moins une transaction effectuée par un porte-monnaie électronique incorporé dans un terminal mobile auprès d'un terminal de paiement, ce procédé pouvant être mis en œuvre dans un serveur comportant des moyens de paiement du montant de la transaction à partir d'un compte associé audit porte-monnaie électronique. Ce procédé de traitement comporte au moins une étape de transfert de données entre le serveur et le téléphone mobile, ces données étant nécessaires à la réalisation de la transaction.

L'invention propose donc d'utiliser les moyens de télécommunication d'un téléphone mobile pour envoyer ou recevoir des données utiles à la réalisation de la transaction à ou en provenance d'un serveur gérant un compte distant associé au porte-monnaie électronique incorporé dans ce téléphone mobile.

Autrement dit, elle propose avantageusement de coupler un porte-monnaie électronique incorporé dans un terminal mobile avec les moyens de télécommunication de ce terminal, de façon à apporter de nouvelles fonctionnalités au porte-monnaie électronique. Dans un mode particulier de réalisation de l'invention, ces données comportent un certificat délivré au terminal mobile par le serveur, la validité de ce certificat étant vérifiée par ledit terminal de paiement pour accepter la transaction locale.

Dans ce mode de réalisation, les terminaux de paiement vérifient, avant d'accepter une transaction locale avec un porte-monnaie électronique, le certificat délivré au terminal mobile par le serveur.

Dans un mode de réalisation particulier, chaque certificat comporte un numéro de version, les terminaux de paiement étant adaptés à refuser les transactions locales avec les terminaux mobiles dont ce numéro de version ne correspond pas au dernier numéro de version autorisé.

Dans un mode de réalisation particulier, le terminal mobile selon l'invention comporte des moyens pour obtenir au cours d'une transaction, des données comportant des informations de sécurité relatives à cette transaction, nécessaires audit serveur pour procéder au paiement de ladite transaction à partir du compte précité, les moyens de télécommunication du terminal mobile étant adaptés à envoyer automatiquement ces données vers le serveur, suite à la détection d'un événement prédéterminé. Corrélativement, dans un mode particulier de réalisation, les moyens de télécommunication du serveur selon l'invention sont adaptés à recevoir du terminal mobile des données comportant des informations de sécurité relatives à au moins une transaction effectuée localement par le porte-monnaie électronique. Dans ce mode de réalisation, le serveur selon l'invention comporte des moyens pour vérifier ces informations de sécurité avant de procéder au paiement de la transaction à partir du compte.

Ainsi, dans ce mode de réalisation, le terminal mobile mémorise, lors des transactions effectuées avec le porte-monnaie électronique local, toutes les informations de sécurité nécessaires au serveur gérant le compte distant de l'utilisateur et in fine responsable du paiement effectif de ces transactions.

Ces informations de sécurité comportent par exemple, et de façon non limitative, le montant de la transaction, l'identité du terminal de paiement, le nom du service associé, la date et l'heure de la transaction, ...

Ces informations de sécurité sont remontées vers le serveur suite à la détection d'un événement prédéterminé, dans des données pouvant également comprendre d'autres informations sur les transactions.

Dans un mode préféré de réalisation, l'envoi de ces informations de sécurité vers le serveur est asynchrone avec les transactions elles- mêmes, pour que celles-ci soient effectuées rapidement, et non pas retardées par la communication avec le serveur.

L'événement déclenchant la remontée des données peut par exemple être lié à la somme des montants des transactions effectuées par le porte-monnaie électronique local, au nombre de ces transactions, ou à la fréquence de ces transactions. L'événement prédéterminé précité peut aussi être fonction de l'utilisateur du terminal mobile. On peut ainsi accorder un crédit plus restreint aux utilisateurs à risque.

Sur réception de ces données, le serveur peut décider d'interdire toute nouvelle transaction par le porte-monnaie électronique d'un premier terminal mobile en envoyant aux autres terminaux mobiles un nouveau certificat avec une nouvelle version.

On dit alors que le serveur révoque le premier terminal mobile.

Dans un mode particulier de réalisation, c'est notamment le cas, si le serveur, en analysant les montants et leur cumul ou les fréquences des dernières transactions, détecte une utilisation abusive ou frauduleuse de ce terminal mobile.

Le serveur peut aussi révoquer un mobile s'il a été informé de sa perte ou de son vol par exemple.

Dans un mode particulier de réalisation de l'invention, un porte- monnaie électronique local peut être restauré lorsque le fournisseur de

service a obtenu les garanties nécessaires de l'utilisateur. I l suffit pour cela d'envoyer à ce terminal mobile la dernière version du certificat.

L'homme de métier comprendra que le mécanisme de révocation par analyse du numéro de version de certificat, évite aux terminaux de paiement de mémoriser des listes noires comportant les identités des terminaux mobiles frauduleux.

Par conséquent, l'invention trouve une application particulièrement avantageuse lorsque les terminaux de paiement ne sont pas connectés au réseau et donc inaptes à recevoir de telles listes. Dans un mode particulier de réalisation, le terminal mobile selon l'invention comporte des moyens pour bloquer toute nouvelle transaction par le porte-monnaie électronique local en cas d'échec de l'envoi des données comportant les informations de sécurité.

Cette caractéristique permet avantageusement d'interdire toute utilisation frauduleuse du terminal mobile lorsque celui-ci ne parvient pas à joindre le serveur. Cest notamment le cas lorsque le terminal mobile est utilisé dans une zone non couverte par le réseau de télécommunications avec ce serveur.

Pour des raisons de sécurité évidentes, il est fondamental que la somme totale disponible pour ces micro-paiements effectués "off-line", c'est-à-dire sans autorisation du serveur précité, soit réduite, afin de limiter les risques en cas de perte ou de vol du terminal mobile.

Ainsi, dans un mode particulier de réalisation, les moyens de télécommunication du terminal mobile selon l'invention sont aptes à envoyer, sur détection d'un événement prédéterminé, une requête vers ledit serveur afin d'effectuer un transfert de données représentatives de monnaie électronique entre le porte-monnaie électronique local et le compte précité.

Cette requête peut être émise en cours de transaction, simultanément ou non avec la remontée des données comportant des informations de sécurité relatives aux transactions locales précédentes.

Corrélativement, selon un mode de réalisation de l'invention, les moyens de télécommunication du serveur, sont aptes à effectuer un transfert de données représentatives de monnaie électronique entre le compte et le porte-monnaie électronique local.

On met ainsi en place un système de vases communicants entre le compte de l'utilisateur et le porte-monnaie électronique local embarqué dans son terminal. Dans ce mode particulier de réalisation, il n'est pas nécessaire à l'utilisateur de recharger son porte-monnaie électronique auprès de bornes dédiées dont l'installation et le maintien sont onéreux pour l'opérateur de ce service. L'utilisateur a donc l'impression d'une réserve d'argent illimitée, si ce n'est bien entendu par le solde de son compte distant.

Ce transfert de monnaie électronique est préférentiellement assujetti à l'autorisation du compte débité.

Le transfert de monnaie électronique peut aussi se faire du porte-monnaie électronique local vers le compte distant, par exemple si l'utilisateur veut transférer le crédit de son porte-monnaie électronique avant de se séparer de son terminal mobile. D'une façon générale, l'invention vise donc une solution dans laquelle un terminal mobile peut être utilisé pour effectuer des transactions locales, sans autorisation du serveur gérant le compte bancaire associé, avec un risque limité en cas de perte ou de vol du terminal mobile, et ne nécessitant pas de recharges fréquentes du porte- monnaie électronique embarqué dans ce terminal.

Dans un mode préféré de réalisation, le terminal mobile selon l'invention comporte des moyens pour afficher le cumul des montants disponibles dans le porte-monnaie électronique local et dans le compte distant. Ainsi, le porte-monnaie électronique local au terminal mobile et le compte distant ne font plus qu'un aux yeux de l'utilisateur, celui-ci connaissant en permanence le solde total dont il dispose.

Selon un troisième aspect, l'invention vise aussi un système de paiement comportant au moins un terminal mobile et un serveur tels que définis ci-dessus.

Dans un mode particulier de réalisation, les différentes étapes du procédé de traitement et/ou du procédé de gestion sont déterminées par des instructions de programmes d'ordinateurs.

En conséquence, l'invention vise aussi un programme d'ordinateur sur un support d'informations, ce programme étant susceptible d'être mis en œuvre dans un terminal mobile ou plus

généralement dans un ordinateur, ce programme comportant des instructions adaptées à la mise en œuvre des étapes d'un procédé de gestion tel que décrit ci-dessus.

L'invention vise aussi un programme d'ordinateur sur un support d'informations, ce programme étant susceptible d'être mis en œuvre dans un serveur ou plus généralement dans un ordinateur, ce programme comportant des instructions adaptées à la mise en œuvre des étapes d'un procédé de traitement tel que décrit ci-dessus.

Ces programmes peuvent utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable.

L'invention vise aussi un support d'informations lisible par un ordinateur, et comportant des instructions d'un programme d'ordinateur tel que mentionné ci-dessus.

Le support d'informations peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une disquette (floppy dise) ou un disque dur.

D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type I nternet.

Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.

Brève description des dessins

D'autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins

annexés qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif. Sur les figures :

- la figure 1 représente un système de paiement conforme à l'invention dans un mode particulier de réalisation ; - la figure 2 représente, sous forme d'organigramme, les principales étapes d'un procédé de gestion conforme à l'invention dans un mode particulier de réalisation ; et

- la figure 3 représente, sous forme d'organigramme, les principales étapes d'un procédé de traitement conforme à l'invention dans un mode particulier de réalisation.

Description détaillée d'un mode de réalisation

La figu re 1 représente de façon schématique un système de paiement 1 conforme à l'invention. Ce système comporte un serveur 40 conforme à l'invention et un terminal mobile 10 conforme à l'invention, à savoir, dans l'exemple décrit ici, un téléphone portable.

Dans l'exemple décrit ici, le téléphone mobile 10 a l'architecture d'un ordinateur conventionnel. I I comporte notamment un processeur 1 1 , une mémoire morte de type ROM 12, une mémoire non volatile réinscriptible de type flash 13 et une mémoire vive de type RAM 14. La mémoire morte de type ROM 12 constitue un support d'enregistrement sur lequel est enregistré un programme d'ordinateur 121 conforme à l'invention, ce programme comprenant les instructions pour exécuter le procédé de gestion dont l'organigramme est donné à la figure 2.

Le téléphone portable 10 comporte également des moyens de communication 15 connus de l'homme du métier permettant au téléphone portable 10 de communiquer sur le réseau de téléphonie mobile 100, par l'intermédiaire d'un point d'accès 101.

Dans l'exemple de réalisation décrit ici, le réseau de téléphonie mobile 100 est conforme au standard UMTS.

Dans l'exemple de réalisation décrit ici, le téléphone portable 10 comporte un module NFC (Near ReId Communication) 16. De façon connue, la technologie NFC permet d'établir des communications entre deux objets, par exemple entre le terminal mobile

10 et un terminal de paiement 20 équipé d'une antenne 26 ad hoc. La spécificité de la technologie NFC est que la communication s'établit à une distance de l'ordre de quelques centimètres, voire au contact des deux objets. Cest la principale différence avec d'autres technologies radio telles que la technologie Bluetooth (marque déposée) qui permet des portées de communication plus élevées.

Le téléphone portable 10 comporte également un écran 17.

Conformément à l'invention, le téléphone portable 10 comporte un porte-monnaie électronique local 131. Dans l'exemple de réalisation décrit ici, ce porte-monnaie électronique est dans la mémoire non volatile réinscriptible 13.

Conformément à l'invention, le terminal portable 10 mémorise un certificat 132 dont la validité est vérifiée par le terminal de paiement 20 avant d'accepter toute transaction locale avec le porte-monnaie électronique 131.

Le téléphone portable 10 est apte à recevoir le certificat 132 du serveur 40, ce serveur étant sous l'autorité d'une banque 50 gérant un compte bancaire 431 hébergé dans le serveur 40 conforme à l'invention.

Cest notamment le cas lorsqu'un autre terminal mobile doit être révoqué.

Dans l'exemple de réalisation décrit ici, le terminal de paiement 20 est un automate. I l comporte un processeur 21 apte à lire les données émises par le téléphone mobile 10 au moyen du module NFC 16 et reçues par l'antenne 26 de cet automate. A la figure 1 , on a référencé 200 le réseau I nternet, et 150 une passerelle entre le réseau UMTS 100 et le réseau I nternet 200.

Le serveur 40 conforme à l'invention a, dans le mode de réalisation décrit ici, l'architecture conventionnelle d'un ordinateur.

I l comporte notamment un processeur 41 , une mémoire morte de type ROM 42, une mémoire non volatile de type Flash 43, une mémoire vive de type FiAM 44 et des moyens de communication 45 permettant au serveur 40 de communiquer sur le réseau I nternet 200.

La mémoire morte 42 constitue un support sur lequel est enregistré un programme d'ordinateur 421 conforme à l'invention, ce programme comprenant des instructions pour exécuter des étapes du

procédé de traitement conforme à l'invention dont l'organigramme est donné à la figure 3.

La mémoire non volatile réinscriptible 43 comporte le compte 431 de l'utilisateur du téléphone portable 10, associé au porte-monnaie électronique 131.

A la figure 1 on a également référencé 30, un serveur gérant le compte du marchand propriétaire de l'automate 20.

Le système de paiement 1 conforme à l'invention présente de nombreux avantages : - il permet d'effectuer des transactions locales "off-line" avec le téléphone portable 10, notamment auprès de l'automate 20, sans qu'il soit nécessaire d'obtenir une autorisation du serveur 40 ;

- le propriétaire du téléphone portable 10, à savoir le titulaire du compte 431 hébergé par le serveur 40, peut également effectuer des paiements en ligne sur le réseau I nternet à partir de ce compte, un justificatif de cette transaction distante pouvant être avantageusement envoyé par le serveur 40 au terminal portable 10, par l'intermédiaire des réseaux I nternet 200 et UMTS 100 ;

- le porte-monnaie électronique local 131 et le compte 431 sont associés. De ce fait, des transferts de monnaie électronique peuvent être effectués de l'un à l'autre dans un système de vases communicants. L'utilisateur du téléphone portable 10 peut en permanence consulter, sur l'écran 17 de ce terminal, le solde cumulé de ces deux comptes ; Grâce à cette caractéristique, le porte-monnaie électronique local 131 peut notamment être rechargé à partir du compte 431 de façon transparente pour l'utilisateur ;

- ce système de paiement est fortement sécurisé, puisque le terminal mobile 10 enregistre toutes les informations de sécurité nécessaires au paiement effectif du montant des transactions par le serveur 40 dans une structure de données 134 mémorisée dans la mémoire non volatile réinscriptible 13, ces informations de sécurité étant automatiquement envoyées au serveur 40, ce serveur étant apte à révoquer le terminal mobile 10 en fonction de critères prédéterminés.

Nous allons maintenant décrire, en référence à la f igu re 2, les principales étapes du procédé de gestion mis en œuvre par le téléphone

portable 10 lorsque le processeur 11 de ce terminal exécute les instructions du programme d'ordinateur 121.

Dans l'exemple décrit ici, ce procédé comporte une étape E10 apte à traiter les événements suivants : - événement EV1 : traitement d'une transaction locale avec le terminal 10 ;

- événement EV2 : réception d'un nouveau certificat 132 en provenance du serveur 40 ;

- événement EV3 : envoi des données vers le serveur 40 ; - événement EV4 : synchronisation du porte-monnaie électronique local et du compte distant 431 sur demande du terminal mobile 10 ; et

- événement EV5 : synchronisation du porte-monnaie électronique local et du compte distant 431 sur demande du serveur 40.

Nous supposons dans un premier temps que l'utilisateur du terminal mobile 10 souhaite effectuer une transaction locale en approchant son terminal mobile 10 de l'automate 20.

Lorsque le module NFC 16 du téléphone portable 10 détecte la présence de l'antenne 26 de l'automate 20, cela déclenche l'événement EV1 dans le téléphone portable 10. Sur détection de cet événement, le processeur 1 1 exécute des instructions pour mettre en œuvre une étape E12 au cours de laquelle le téléphone portable 10 obtient notamment l'identité du marchand, l'identité du fournisseur de service, le montant de la transaction et un aléa de l'automate 20.

Cette étape E12 est suivie par une étape E14 au cours de laquelle le terminal mobile envoie son certificat 132 au terminal de paiement 20.

Ce certificat est vérifié par le terminal de paiement 20 avec la clé publique de l'autorité 50 ayant émis ce certificat. Le terminal de paiement 20 obtient ainsi la clé publique du terminal de paiement 10. Puis, au cours d'un test E24, le terminal mobile 10 vérifie si le solde contenu dans un registre 133 associé au porte-monnaie électronique local 131 , est suffisant pour acquitter la transaction, c'est-à-dire inférieur au montant reçu au cours de l'étape e12.

Si tel n'est pas le cas, le résultat du test E24 est négatif et ce test est suivi par une étape E25 au cours de laquelle la transaction se termine.

Au contraire, si la transaction peut être effectuée, le résultat du test Eξ24 est positif. Ce test est suivi par une étape Eξ26 au cours de laquelle le téléphone portable 10 envoie à l'automate 20 une signature représentative du fait que le terminal mobile 10 accepte la transaction. Dans l'exemple de réalisation décrit ici, cette signature est obtenue en utilisant l'algorithme de cryptographie RSA connu de l'homme du métier, calculé notamment avec la clé secrète du terminal mobile 10 associée à la clé publique du terminal 10 obtenue, comme décrit précédemment, par le terminal de paiement 20 lors de la vérification du certificat 132.

Les étapes précédentes permettent ainsi de réaliser une double authentification entre le terminal mobile 10 et le terminal de paiement 20.

Pour plus de renseignements sur cette méthode de double authentification, l'homme du métier pourra se reporter à la demande de brevet européen déposée sous le n° 97 924 065 relative à "Un procédé de réalisation d'une transaction électronique sécurisée à double signature".

L'envoi Eξ26 de cette signature peut être répété plusieurs fois de façon à s'assurer qu'il atteigne effectivement l'automate 20 car, dans le cas contraire, l'utilisateur sera débité de son compte alors qu'il n'a pas reçu sa prestation.

L'utilisation d'un message d'acquittement peut aussi être envisagée pour éviter ce problème.

Lorsque l'automate 20 reçoit ce message de confirmation, il délivre la prestation. Conformément à l'invention, l'étape Eξ26 de confirmation est suivie par une étape au cours de laquelle le téléphone portable 10 mémorise, dans la structure de données 134, toutes les données relatives à cette transaction et nécessaires au paiement effectif de la transaction par le serveur 40. Ces données comportent notamment des informations permettant d'identifier parfaitement la transaction et des informations de sécurité.

Préférentiellement, ces données comportent le numéro de version du certificat 132.

Conformément à l'invention, ces informations de sécurité sont remontées vers le serveur suite à la détection d'un événement prédéterminé EξV3.

Dans l'exemple décrit ici, cet événement se produit lorsque trois transactions ont été réalisées en moins de cinq minutes.

Nous supposerons que cet événement se produit et qu'il est détecté par l'étape générale E10 de traitement d'événement.

Suite à cette détection, le procédé de sécurisation selon l'invention exécute une étape E40 de collecte au cours de laquelle les données mémorisées dans la structure de données 134 sont envoyées au serveur 40.

Si un échec se produit au cours de cet envoi, le résultat d'un test E42 est positif et le téléphone portable 10 bloque, au cours d'une étape E44, toute nouvelle transaction par le porte-monnaie électronique local.

Dans un mode particulier de réalisation, le terminal mobile 10 considère que l'envoi des informations de sécurité a été correctement effectué sur réception d'un accusé de réception en provenance du serveur 40. I I n'est pas nécessaire que le serveur 40 réponde systématiquement à cette collecte.

Mais si le serveur 40 détecte une utilisation frauduleuse du porte-monnaie électronique local au terminal portable 10, il révoque le terminal 10. Pour cela, il envoie, à tous les autres terminaux mobiles, un certificat avec un nouveau numéro de version.

Quand cet autre terminal mobile effectuera une transaction auprès d'un terminal de paiement 20, ce terminal de paiement détectera ce nouveau numéro de version et refusera toute nouvelle transaction locale avec un porte-monnaie électronique comportant un certificat d'une version précédente.

Préférentiellement, les terminaux de paiement 20 seront conçus pour refuser un nombre prédéterminé de transactions successives avec le même terminal mobile. Cette caractéristique permet d'éviter qu'un terminal mobile révoqué continue à effectuer des transactions avant que le terminal de

paiement 20 ait reçu le dernier numéro de version de certificat valide suite à la révocation du terminal mobile 10.

Nous supposerons maintenant que le terminal mobile 10 reçoit, en provenance du serveur 40, un nouveau certificat, avec un nouveau numéro de version, suite à la révocation, par le serveur 40, d'un autre terminal mobile frauduleux.

La réception de ce message constitue un événement EV2 traité par l'étape de traitement d'événement, en mémorisant dans la mémoire non volatile réinscriptible 13 le nouveau certificat 132, au cours d'une étape Eξ30.

Dans le mode de réalisation décrit ici, un transfert de monnaie électronique est possible entre le compte distant 431 de l'utilisateur et le porte-monnaie électronique local 131.

Un tel transfert peut être initié soit par le terminal mobile 10 quand un événement EξV4 se produit, soit par le serveur 40.

Cet événement EξV4 peut par exemple être constitué par la détection d'un solde insuffisant dans le porte-monnaie électronique local 131 , au cours d'une transaction.

Lorsque cet événement EV4 se produit, l'étape E10 de traitement d'événement déclenche l'exécution d'une étape E50 pour demander un transfert de monnaie électronique entre le compte distant 431 et le porte-monnaie électronique local 131.

Cette étape E50 est suivie par une étape E52 au cours de laquelle le téléphone portable 10 sécurise, en coopération avec le serveur 40, ce transfert de monnaie électronique, par exemple au moyen d'un mécanisme de preuve connu en soi.

Le porte-monnaie électronique local 131 est ensuite crédité au cours d'une étape E54, ce crédit étant suivi par un message d'acquittement envoyé au serveur 40 au cours d'une étape E56. D'une façon similaire, la réception d'une requête de transfert de monnaie électronique en provenance du serveur 40 constitue un événement EV5 interprétable par le téléphone portable 10.

Plus précisément, sur réception d'une telle requête de transfert, le téléphone portable 10 détermine, au cours d'un test E60, si ce transfert est possible. I l vérifie notamment à cet effet si le solde du porte-monnaie électronique local mémorisé dans le registre 133 est suffisant.

Si tel est le cas, le porte-monnaie électronique local 131 est débité du montant demandé au cours d'une étape E62 et le transfert de monnaie électronique est sécurisé, en coopération avec le serveur 40, au cours d'une étape E64. Nous allons maintenant décrire, en référence à la f igu re 3, les principales étapes du procédé de traitement de transaction mis en œuvre par le serveur 40 lorsque le programme informatique 421 est exécuté par le processeur 41 de ce serveur.

Ce procédé comporte une étape générale F10 de traitement des événements suivants :

- événement EV3 : traitement d'une collecte ;

- événement EV4 : réception d'une requête de transfert de monnaie électronique émise par le porte-monnaie électronique local 131 ;

- événement EV5 : demande de transfert de monnaie électronique initiée par le serveur 40 ; et

- événement EV6 : traitement d'une transaction distante effectuée à partir du compte 431.

La réception d'un message de collecte dans lequel le serveur 40 reçoit des données relatives à différentes transactions locales constituent l'événement EV3.

Sur détection ce cet événement, le processeur 41 exécute un test F20 pour analyser ces données afin de détecter une utilisation frauduleuse du terminal 10.

Si une fraude est détectée, le serveur 40 révoque le terminal portable 10, au cours d'une étape F24, en envoyant aux autres terminaux portables un nouveau certificat avec un nouveau numéro de version.

Si aucune fraude n'est détectée, le résultat du test F20 est négatif et ce test est suivi par une étape F26 au cours de laquelle le serveur 40 paie effectivement les montants de transaction, ce qui revient à débiter le compte distant 431 de l'utilisateur et à créditer le compte du propriétaire de l'automate 20 hébergé sur le serveur 30.

La réception d'une requête de transfert de monnaie électronique en provenance du terminal portable 10 constitue un événement EV4 pour l'étape F10 de traitement d'événement.

Cet événement peut notamment être dû à un solde insuffisant dans le porte-monnaie électronique 131 , à un nombre de transactions important, à un délai important écoulé depuis la dernière collecte.

Lorsque l'événement EξV4 est détecté, le serveur 40 vérifie, au cours d'un test F30, si la monnaie électronique peut être transférée du compte 431 vers le porte-monnaie électronique local 131 en vérifiant notamment si le solde du compte distant 431 est suffisant.

Si tel est le cas, le compte 431 est débité au cours d'une étape F32 et la sécurisation du transfert de monnaie électronique est effectuée au cours d'une étape F34, en coopération avec le terminal portable 10.

Le serveur 40 peut aussi demander un transfert de monnaie électronique en provenance du terminal portable 10.

Ceci est détecté comme un événement EV5 par l'étape générale F10 de traitement d'événement. Lorsque cet événement EV5 est détecté, le serveur 40 envoie, au cours d'une étape F40, une demande de transfert de monnaie électronique au terminal portable 10.

Puis la sécurisation du transfert est effectuée, au cours d'une étape F42, en coopération avec le terminal portable 10. Si le serveur 40 reçoit effectivement la monnaie électronique, le solde du compte distant 431 est crédité au cours d'une étape F44.

Le serveur 40 envoie ensuite un message d'acquittement au terminal portable 10 au cours d'une étape F46.

Lorsque l'utilisateur souhaite effectuer une transaction, par exemple un achat sur I nternet, faisant intervenir le compte distant 431 directement, l'étape générale F10 de traitement d'événement détecte un événement ES/6.

Une fois la transaction effectuée avec le site marchand (étape F50), le serveur 40 envoie, au cours d'une étape F52, un message au téléphone portable 10, de façon à ce que celui-ci puisse afficher le nouveau solde sur l'écran 17 de ce téléphone.