TITRE : Procédé de prise de contrôle à distance d'un terminal de paiement ou assimilé, terminal de paiement associé

Domaine technique

Le domaine de l'invention est celui des dispositifs électroniques utilisés pour la mise en œuvre d'applications logicielles qui font intervenir ou portent sur des objets de nature confidentielle, et qui sont tenus à ce titre de respecter certaines exigences sécuritaires définies notamment dans le cadre de normes ou de certifications. Parmi ces dispositifs, l'invention se rapporte plus particulièrement aux terminaux de paiement ou assimilé.

Art antérieur

À l'instar de beaucoup d'autres terminaux de communication, les terminaux de paiement sont de plus en plus évolués, tant sur le plan matériel que logiciel, notamment pour répondre aux attentes croissantes des commerçants qui les utilisent. De nombreux terminaux de paiement intègrent ainsi par exemple, en plus des fonctionnalités classiques de lecture de cartes à puce (avec ou sans contact) ou de cartes à bande magnétique, des moyens leurs permettant d'être compatibles avec de nouvelles solutions de paiement (e.g. des solutions de paiement mobile de type Apple Pay® ou Google Pay®, des solutions de paiement via QR-code, des cartes titre restaurant, etc.) ou encore des fonctionnalités de gestion de programmes de fidélité. De plus en plus de terminaux de paiement offrent également aux commerçants la possibilité d'installer des applications tierces de leur choix, par exemple téléchargeables sur une plate-forme de distribution (e.g. des applications de type calculatrice, personnalisation de ticket de caisse, partage d'addition, affichage de publicités sur l'écran du terminal, etc.). De tels terminaux comprennent généralement un grand écran, pour l'affichage des interfaces graphiques associées à ces applications. Ces évolutions, qui rendent les terminaux de paiement de plus en plus sophistiqués, ont pour contrepartie de générer de nouvelles problématiques pour les constructeurs qui les commercialisent. En particulier, l'exploitation d'une flotte de terminaux de paiement est maintenant soumise à de nombreuses contraintes opérationnelles, incluant par exemple le besoin de former les utilisateurs, la nécessité de leur fournir une assistance technique ou de les dépanner lorsqu'ils rencontrent des difficultés d'utilisation de leurs terminaux, ou encore la mise en œuvre de plus en plus fréquente d'interventions de maintenance ou d'administration. Ces opérations (formation, dépannage, maintenance, administration, etc.) sont généralement réalisées par un technicien envoyé sur le terrain, auprès du commerçant. Ces déplacements répétés sont cependant source de coûts importants pour les opérateurs de terminaux de paiement.

Pour réduire ces coûts, des services d'assistance par téléphone ou par écrit (par exemple par courriel ou via un système de messagerie instantanée) ont été mis en place par certains opérateurs, afin de réduire le nombre de déplacements de techniciens sur le terrain. Le périmètre d'action de ces services d'assistance est cependant limité aux cas qui sont relativement simples à traiter. En outre, même pour ces cas simples, le traitement des demandes d'assistance par ce biais n'est pas toujours optimal en termes d'efficacité, puisque c'est le commerçant lui-même qui est sollicité pour effectuer les manipulations sur son terminal de paiement, en suivant des instructions communiquées par le service d'assistance, avec toutes les difficultés inhérentes à ce type d'échange (manque de clarté d'un des interlocuteurs, incompréhension sur la manipulation à réaliser, pas de retour visuel, etc.).

Il existe donc un besoin pour une solution permettant de faciliter la gestion d'une flotte de terminaux de paiement, notamment pour la mise en œuvre d'opérations de formation, de support technique, de dépannage, de maintenance et/ou d'administration.

Résumé de l'invention

La présente technique permet de proposer une solution visant à remédier à certains inconvénients de l'art antérieur. La présente technique se rapporte en effet à un procédé de prise de contrôle à distance d'un terminal de paiement, mis en œuvre par un module logiciel exécuté au sein dudit terminal de paiement, le procédé comprenant les étapes suivantes : mise en œuvre de mesures sécuritaires de restriction de ladite prise de contrôle, comprenant au moins une étape de désactivation, au sein dudit terminal de paiement, des moyens de lecture d'un dispositif de paiement ; échange de données de signalisation avec un serveur de mise en relation, ledit échange comprenant : la transmission, audit serveur de mise en relation, de données de signalisation associées audit terminal de paiement ; la réception, en provenance dudit serveur de mise en relation, de données de signalisation associées à un terminal distant candidat pour ladite prise de contrôle ; établissement d'une liaison point à point entre ledit terminal distant et ledit terminal de paiement, ladite liaison comprenant au moins : un flux de diffusion vidéo en continu d'informations affichées sur un écran dudit terminal de paiement, dit flux média ; un flux pour la réception d'au moins une commande en provenance dudit terminal distant, dit flux de contrôle.

De cette manière, le procédé selon la technique proposée permet de faciliter les opérations de support, de formation, d'administration, ou encore de maintenance, d'un terminal de paiement, en permettant à un opérateur distant de prendre temporairement et à distance le contrôle sur un tel terminal de paiement, dans un cadre sécuritaire cependant bien défini permettant notamment de préserver la conformité du terminal à diverses normes sécuritaires et/ou règlementaires.

Dans un mode de réalisation particulier, la mise en œuvre de mesures sécuritaires comprend au moins une étape de vérification de la présence, au sein dudit terminal de paiement, d'au moins une structure de données représentatives de restrictions à appliquer à ladite prise de contrôle.

Dans un mode de réalisation particulier, ledit procédé est interrompu en cas d'absence, au sein dudit terminal de paiement, de ladite au moins une structure de données représentatives de restrictions à appliquer à ladite prise de contrôle.

Dans un mode de réalisation particulier, le procédé comprend, postérieurement à ladite étape d'établissement d'une liaison point à point, au moins une itération des étapes suivantes : réception d'une commande en provenance dudit terminal distant, via ledit flux de contrôle ; vérification d'une conformité de ladite commande avec une politique sécuritaire ; en cas de conformité positive, exécution de ladite commande sur ledit terminal de paiement.

Dans un mode de réalisation particulier, ladite vérification de conformité comprend la vérification qu'une application associée à ladite commande est : présente au sein d'une liste blanche d'applications dont l'exécution sur le terminal de paiement est autorisée dans le cadre de ladite prise de contrôle à distance ; ou absente d'une liste noire d'applications dont l'exécution sur le terminal de paiement est interdite dans le cadre de ladite prise de contrôle à distance.

Dans un mode de réalisation particulier, le procédé comprend une étape de journalisation de ladite au moins une commande reçue en provenance du terminal distant dans un fichier de trace stocké dans ledit terminal de paiement.

Dans un mode de réalisation particulier, ledit fichier de trace est téléchargé vers un serveur de maintenance, à réception d'une donnée représentative d'une fin de ladite prise de contrôle à distance.

Selon un autre aspect, la présente technique se rapporte également à un terminal de paiement configuré pour permettre une prise de contrôle à distance dudit terminal de paiement. Un tel terminal de paiement comprend : des moyens de mise en œuvre de mesures sécuritaires de restriction de ladite prise de contrôle ; des moyens d'échange de données de signalisation avec un serveur de mise en relation, lesdits moyens d'échange comprenant : des moyens de réception, en provenance dudit serveur de mise en relation, de données de signalisation associées à un terminal distant candidat pour ladite prise de contrôle ; des moyens de transmission, audit serveur de mise en relation, de données de signalisation associées audit terminal de paiement ; des moyens d'établissement d'une liaison point à point entre ledit terminal distant et ledit terminal de paiement, ladite liaison comprenant au moins : un flux de diffusion vidéo en continu d'informations affichées sur un écran dudit terminal de paiement, dit flux média ; un flux pour la réception d'au moins une commande en provenance dudit terminal distant, dit flux de contrôle.

Les moyens dudit terminal peuvent être adaptés à la mise en œuvre de l'un quelconque des modes de réalisation du procédé de la présente demande. Selon un autre aspect, la technique proposée se rapporte également à un produit programme d'ordinateur téléchargeable depuis un réseau de communication et/ou stocké sur un support lisible par ordinateur et/ou exécutable par un microprocesseur, comprenant des instructions de code de programme pour l'exécution d'un procédé de prise de contrôle à distance d'un terminal de paiement tel que décrit précédemment, lorsqu'il est exécuté sur un ordinateur.

La technique proposée vise également un support d'enregistrement lisible par un ordinateur sur lequel est enregistré un programme d'ordinateur comprenant des instructions de code de programme pour l'exécution des étapes du procédé tel que décrit précédemment, dans l'un quelconque de ses modes de réalisation.

Un tel support d'enregistrement peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une clé USB ou un disque dur.

D'autre part, un tel support d'enregistrement peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens, de sorte que le programme d'ordinateur qu'il contient est exécutable à distance. Le programme selon l'invention peut être en particulier téléchargé sur un réseau, par exemple le réseau Internet.

Les différents modes de réalisation mentionnés ci-dessus sont combinables entre eux pour la mise en œuvre de l'invention.

Figures

D'autres caractéristiques et avantages de l'invention apparaîtront plus clairement à la lecture de la description suivante d'un mode de réalisation préférentiel, donné à titre de simple exemple illustratif et non limitatif, et des dessins annexés, parmi lesquels :

[Fig 1] illustre les principales étapes d'un procédé de prise de contrôle à distance d'un terminal de paiement, dans un mode de réalisation particulier de la technique proposée ;

[Fig 2] présente un exemple d'environnement réseau dans lequel le procédé selon la technique proposée est susceptible d'être mis en œuvre, dans un mode de réalisation particulier ;

[Fig 3] décrit une architecture simplifiée d'un terminal de paiement pour la mise en œuvre de la technique proposée, dans un mode de réalisation particulier.

Description détaillée de l'invention

La présente technique se rapporte à un procédé de prise de contrôle à distance d'un terminal de paiement. Par « terminal de paiement », on entend ici un terminal de paiement électronique classique, c'est-à-dire un dispositif dédié spécifiquement conçu pour mettre en œuvre des opérations de paiement, mais également tout dispositif doté de moyens matériels et logiciels lui permettant d'être utilisé en lieu et place d'un terminal de paiement électronique classique pour mettre en œuvre des opérations de paiement, tout en satisfaisant aux mêmes exigences sécuritaires (de tels dispositifs « assimilés » à un terminal de paiement incluent par exemple des dispositifs portables de type smartphone ou tablette, comprenant au moins un élément sécurisé et des moyens cryptographiques appropriés pour la mise en œuvre d'applications opérant sur des données sensibles ou confidentielles). La présente technique vise plus précisément à permettre à un utilisateur identifié distant, typiquement un technicien ou un expert faisant partie d'un service de support technique, de prendre temporairement et à distance le contrôle sur un tel terminal de paiement, afin par exemple d'effectuer des opérations de support (e.g. pour aider un commerçant rencontrant des difficultés lors de l'utilisation de son terminal), de formation, d'administration, ou encore de maintenance. De cette manière, il est possible de réduire le nombre d'interventions sur le terrain et donc de limiter les coûts associés à de tels déplacements, tout en garantissant un traitement de ces opérations avec un maximum d'efficacité puisqu'elles sont effectuées par des opérateurs spécifiquement formés à ces tâches (et non par le commerçant lui-même). Comme montré par la suite, divers garde-fous sont cependant prévus dans le cadre de la présente technique, afin d'assurer la conformité du procédé de prise de contrôle à distance proposé (et du terminal de paiement configuré pour mettre en œuvre ce procédé) aux règles et contraintes en vigueur dans le domaine du paiement. L'utilisation des terminaux de paiement est en effet soumise à une règlementation sécuritaire stricte, obligatoire et imposée. Plus particulièrement, ces terminaux doivent être certifiés conformes à diverses normes sécuritaires incluant par exemple les normes PCI (pour « Payment Card Industry »), comme par exemple la norme PCI-PTS (pour « Payment Card Industry -PIN Transaction Security »), ces normes définissant des exigences sécuritaires tant sur la conception physique du matériel que sur la partie logicielle mise en œuvre au sein de ces terminaux. Le procédé selon la technique proposée prévoit des mécanismes de restriction de la prise de contrôle à distance d'un terminal de paiement, afin que ces normes restent respectées.

Ce procédé de prise de contrôle à distance, illustré en relation avec la figure 1 dans un mode de réalisation particulier, est mis en œuvre par un module logiciel dédié (par exemple une application dédiée) exécuté au sein du terminal de paiement, par exemple par un processeur sécurisé.

Selon la technique proposée, la prise de contrôle à distance du terminal de paiement est conditionnée à la mise en œuvre préalable, dans une étape 10, de mesures sécuritaires visant à limiter le périmètre de la prise de contrôle à distance du terminal de paiement, et à préserver ainsi la conformité aux normes sécuritaires en vigueur (par exemple, à titre illustratif et non limitatif, une conformité aux normes PCI).

Ces mesures sécuritaires comprennent notamment, dans un mode de réalisation particulier de la technique proposée, la désactivation (ou le blocage) d'au moins une fonctionnalité du terminal de paiement. De telles désactivations peuvent être mises en œuvre au moyen d'interfaces de programmation applicative (API) dédiées, offertes par exemple par le système d'exploitation du terminal de paiement. Selon une caractéristique particulière, tous les moyens d'obtention d'informations en provenance d'un dispositif de paiement quelconque (e.g. carte de paiement, smartphone ou montre connectée disposant de fonctionnalités de paiement, etc.) sont ainsi désactivés au sein du terminal de paiement. Ceci inclut par exemple la désactivation des différents moyens de lecture disponibles dans le terminal de paiement : lecteur de carte à puce, lecteur de carte à bande magnétique, lecteurs NFC sans contact, lecteur de QR-codes, etc. De cette manière, le terminal de paiement ne peut pas être utilisé pour mettre en œuvre une transaction de paiement lorsqu'il est contrôlé à distance.

Ces mesures sécuritaires comprennent également, dans un mode de réalisation particulier de la technique proposée, la vérification de la présence, au sein du terminal de paiement, d'au moins une structure de données représentatives de restrictions à appliquer lors de la prise de contrôle du terminal de paiement, une fois celle-ci effective. Selon une caractéristique particulière, cette structure de donnée prend par exemple la forme d'un fichier signé, listant par exemple, parmi les applications installées sur le terminal de paiement (ou susceptibles de l'être), celles qui sont autorisées à être exécutées dans le cadre d'une prise de contrôle à distance (cas d'une liste blanche d'applications) ou, au contraire, celles qui ne sont pas autorisées à être exécutées dans le cadre d'une prise de contrôle à distance (cas d'une liste noire d'application). Selon une caractéristique particulière, en cas de détection de l'absence d'une telle structure de données au sein du terminal de paiement, par exemple au lancement de l'application dédiée de prise de contrôle à distance, le procédé est immédiatement interrompu. Les étapes 11, 12 et 13 d'initialisation d'une session de prise de contrôle à distance, décrites ci-après, ne sont alors pas mises en œuvre, interdisant ainsi toute prise de contrôle à distance du terminal de paiement.

Dans un mode de réalisation particulier, une fois les mesures sécuritaires de l'étape 10 mises en œuvre, et lorsque l'application de ces mesures n'a pas mis en évidence la nécessité d'interrompre le procédé de prise de contrôle à distance, une phase d'initialisation INIT d'une session de prise de contrôle à distance est mise en œuvre, comprenant les étapes 11, 12 et 13 décrites ci-après.

Plus particulièrement, cette phase d'initialisation comprend un échange de données de signalisation entre le terminal de paiement et un serveur de mise en relation, illustré en relation avec les étapes 11 et 12 de la figure 1. Cet échange est par exemple réalisé dans le cadre du traitement d'une requête de demande de prise de contrôle du terminal de paiement, qui peut avoir pour origine, selon différents modes de réalisation particuliers, soit le terminal de paiement lui-même (dans ce cas, c'est le terminal de paiement qui émet une requête sollicitant sa prise de contrôle à distance : il signifie ainsi au serveur de mise en relation qu'il est disponible pour faire l'objet d'une prise de contrôle), soit un terminal distant candidat à ladite prise de contrôle (dans ce cas, c'est le terminal distant qui émet une requête sollicitant la prise de contrôle à distance du terminal de paiement : il signifie ainsi au serveur de mise en relation qu'il est disponible pour prendre le contrôle du terminal de paiement).

Dans le cadre de cet échange, dans une étape 11, le terminal de paiement transmet au serveur de mise en relation des données de signalisation associées au terminal de paiement, afin que le serveur de mise en relation les relaie à un terminal distant candidat pour la prise de contrôle.

Dans une étape 12, le terminal de paiement reçoit, en provenance du serveur de mise en relation et par l'intermédiaire du module logiciel dédié, des données de signalisation associées au terminal distant candidat pour ladite prise de contrôle. Un tel terminal distant est typiquement le poste de travail (un ordinateur, une tablette ou un smartphone par exemple) d'un opérateur d'un service de support disponible pour prendre en charge des opérations à effectuer à distance sur le terminal de paiement (assistance technique, formation, maintenance, administration, etc.).

Selon que la requête de demande de prise de contrôle du terminal de paiement ait été initiée par le terminal de paiement lui-même ou par un terminal distant candidat à la prise de contrôle, les étapes 11 et 12 peuvent être exécutées dans l'ordre illustré sur la figure 1 (étape 11 puis étape 12), ou dans l'ordre inverse (étape 12 puis étape 11).

Dans une étape 13, une liaison point à point (également appelée liaison de pair à pair, ou « peer to peer » en anglais) est établie entre le terminal de paiement et le terminal distant (par exemple entre l'application dédiée de prise de contrôle côté terminal de paiement, et un navigateur internet côté terminal distant), au moyen des données de signalisation associées respectivement au terminal de paiement et au terminal distant, préalablement échangées par l'intermédiaire du serveur de mise en relation lors des étapes 11 et 12. Par liaison « point à point », on entend dans le cadre du présent document une liaison qui permet une communication entre le terminal de paiement et le terminal distant sans nécessairement transiter par le serveur de mise en relation, une telle communication étant néanmoins susceptible de transiter par d'autres équipements réseaux faisant office de serveurs relais entre le terminal de paiement et le terminal distant, comme décrit par la suite.

Selon la technique proposée, cette liaison point à point comprend au moins un flux média et un flux de contrôle.

Le flux média est un flux de diffusion vidéo en continu (i.e. de « streaming », en anglais) émis à destination du terminal distant, représentatif des informations affichées sur l'écran du terminal de paiement. De cette manière, un flux vidéo temps-réel (ou quasi temps-réel, à un faible temps de latence près) de ce qui se passe à l'écran du terminal de paiement peut être affiché sur au moins une partie d'un écran du terminal distant.

Le flux de contrôle est un canal utilisé pour la réception de commandes en provenance du terminal distant. Il prend par exemple la forme d'un canal bidirectionnel d'échanges de données entre le terminal de paiement et le terminal distant.

Les étapes 10, 11, 12 et 13 précédemment décrites sont par exemple mises en œuvre au lancement, sur le terminal de paiement, du module logiciel dédié de prise de contrôle à distance (les moyens de contacter le serveur de mise en relation, e.g. son adresse IP, étant par exemple prédéfinis dans les paramètres de configuration de ce module logiciel).

En tout état de cause, l'établissement d'une liaison point à point entre le terminal distant et le terminal de paiement décrit en relation avec l'étape 13 est conditionné à la mise en œuvre préalable des mesures sécuritaires décrites en relation avec l'étape 10 : l'établissement de la liaison point à point n'est mis en œuvre que si l'application de ces mesures n'a pas mis en évidence la nécessité d'interrompre le procédé de prise de contrôle à distance. Aussi, l'étape 10 est nécessairement mise en œuvre avant l'étape 13. Dans un mode de réalisation particulier non illustré, l'étape 10 peut toutefois être réalisé postérieurement aux étapes 11 et 12 d'échange de données de signalisation avec le serveur de mise en relation.

Une fois la liaison point à point établie, la phase d'initialisation I N IT de la session de prise de contrôle à distance est terminée, et une phase de contrôle effectif CTRL débute, durant laquelle le terminal de paiement peut être contrôlé à distance à partir du terminal distant tant que cette session de prise de contrôle reste ouverte.

Dans une étape 14 de la phase de contrôle CTRL, le module logiciel de prise de contrôle à distance du terminal de paiement reçoit une commande en provenance du terminal distant, via le flux de contrôle de la liaison point à point établie durant la phase d'initialisation I N IT de la session. Cette commande appartient par exemple au groupe de commandes comprenant des commandes (liste donnée à titre illustratif et non limitatif) : de lancement d'une application installée sur le terminal de paiement ; d'ouverture du menu des paramètres du terminal de paiement, pour accéder à la configuration de l'appareil, et éventuellement de modification de cette configuration ; de lancement d'un auto-diagnostic du terminal de paiement, si une telle fonctionnalité est disponible sur le terminal de paiement ; de navigation entre différentes applications ouvertes sur le terminal de paiement ; d'utilisation d'une application en cours d'exécution sur le terminal de paiement ; de prise d'une capture d'écran de l'affichage du terminal de paiement.

Dans une étape 15, la commande reçue fait l'objet d'une vérification de sa conformité, au regard d'une politique sécuritaire visant à assurer que les exigences sécuritaires définies par exemple dans le cadre des normes PCI restent bien respectées. En d'autres termes, on vérifie lors de cette étape 15 que la commande reçue est bien une commande autorisée dans le cadre d'un contrôle à distance du terminal de paiement. Cette vérification peut notamment s'appuyer, dans un mode de réalisation particulier de la technique proposée, sur la structure de données représentative de restrictions à appliquer, dont on a vérifié la présence au démarrage du module logiciel de prise de contrôle du terminal de paiement (lors de l'étape 10). Lorsque la commande reçue est associée à une application (par exemple parce qu'il s'agit d'une commande de lancement de cette application, ou d'utilisation d'une fonctionnalité mise à disposition par cette application), on vérifie par exemple, dans un mode de réalisation particulier, que le contrôle à distance de cette application est bien autorisé, en s'assurant que l'application en question est bien présente au sein d'une liste blanche d'applications dont l'exécution sur le terminal de paiement est autorisée dans le cadre d'une prise de contrôle à distance, ou au contraire qu'elle est bien absente d'une liste noire d'applications dont l'exécution sur le terminal de paiement est interdite dans le cadre de ladite prise de contrôle à distance.

Lorsque la commande reçue n'est pas conforme à la politique sécuritaire en vigueur (par exemple parce que l'application que l'opérateur tente de lancer à distance est une application non autorisée, ce qui peut être le cas pour une application de paiement notamment), elle n'est pas exécutée, et le module logiciel de prise de contrôle se met en attente de la réception d'une nouvelle commande. En revanche, dans le cas contraire (conformité positive), la commande est exécutée sur le terminal de paiement, dans une étape 16. Le flux vidéo diffusé en continu vers le terminal distant (i.e. le flux média) permet alors, au niveau du terminal distant, de visualiser en temps-réel les résultats de l'exécution de la commande par le terminal de paiement (à tout le moins lorsque l'exécution de cette commande entraine des modifications des informations affichées sur l'écran du terminal de paiement). Une fois la commande exécutée, le module logiciel de prise de contrôle se met en attente de la réception d'une nouvelle commande. De multiples itérations des étapes 14, 15 et 16 précédemment décrites peuvent être mises en œuvre durant la session de contrôle à distance CTRL du terminal de paiement. Il est ainsi possible pour un opérateur distant, d'effectuer sur le terminal de paiement, via le terminal distant, de nombreuses opérations de la même manière que s'il était physiquement présent devant le terminal de paiement (tant que ces opérations font partie des actions autorisées dans le cadre d'une prise de contrôle à distance).

Dans un mode de réalisation, le procédé de prise de contrôle comprend également la journalisation, au sein d'une structure de données (typiquement une base de données, ou un fichier de traces, également appelé fichier log), des opérations effectuées à distance durant la session de contrôle CTRL du terminal de paiement. Cette étape de journalisation comprend par exemple l'enregistrement, dans un fichier de traces, des commandes reçues en provenance du terminal distant lors de l'étape 14. Selon une caractéristique particulière, le résultat de la vérification de conformité d'une commande, obtenu en étape 15, est également journalisé, i.e. enregistré dans le fichier de trace. De la même manière, des informations relatives à l'exécution d'une commande, lors de l'étape 16, peuvent aussi être consignées dans ce fichier de traces. Le fichier de trace (i.e. la structure de données de journalisation) est ainsi alimenté au fur et à mesure des commandes reçues, tout au long de la session de contrôle à distance CTRL.

Lorsqu'il est mis fin à la session de contrôle à distance - soit à l'initiative de l'opérateur distant, à partir du terminal distant, soit à l'initiative de l'utilisateur, à partir du terminal de paiement, par exemple au moyen d'un bouton mis à disposition à cet effet par l'application dédiée de prise de contrôle à distance - diverses opérations sont mises en œuvre, en plus de l'interruption de la liaison point à point entre le terminal distant et le terminal de paiement. En particulier, les fonctionnalités du terminal de paiement qui avaient été désactivées en étape 10 sont rétablies. Par exemple, les différents lecteurs du terminal de paiement (lecteur de carte à puce, lecteur de carte à bande magnétique, lecteur sans contact, etc.) sont débloqués et rendus à nouveau fonctionnels. Dans un mode de réalisation particulier, le fichier ou les données de traces associés à la session de contrôle en cours ou qui vient de s'achever est téléchargé sur un serveur de maintenance ou un serveur de gestion de flotte de terminaux de paiement (un tel serveur pouvant éventuellement être confondu avec le serveur de mise en relation), de manière à ce que le contenu de ce fichier ou ces données soient accessible pour consultation ultérieure, par exemple par un service support. Ce fichier ou ces données de traces sont éventuellement stockés sous une forme chiffrée sur le serveur, pour empêcher toute exploitation de son contenu par des personnes non habilitées.

On présente maintenant, en relation avec la figure 2, un exemple d'environnement réseau dans lequel le procédé selon la technique proposée est mis en œuvre, dans un mode de réalisation particulier. Comme décrit précédemment, un tel environnement comprend différentes entités connectées à un réseau de communication (typiquement le réseau Internet), ces entités incluant au moins un terminal de paiement TP, un terminal distant TD, et un serveur de mise en relation SMR. Le terminal de paiement TP et le terminal distant TD sont aptes à échanger des données avec le serveur de mise en relation SMR, respectivement au moyen d'un canal de communication Cl et d'un canal de communication C2, selon divers protocoles de communication appropriés.

Le terminal de paiement TP comprend un module logiciel 21 de demande de prise à contrôle à distance, qui prend typiquement la forme d'une application dédiée installée sur le terminal de paiement. Lorsqu'elle est lancée, cette application met en œuvre les différentes étapes du procédé de prise de contrôle à distance, selon l'un des modes de réalisation déjà décrits en relation avec la figure 1.

Plus particulièrement, dans un mode de réalisation de la technique proposée l'établissement d'une liaison point à point LPP entre le terminal de paiement TP et un terminal distant TD candidat à sa prise de contrôle repose sur la technologie WebRTC (en anglais « Web Real-Time Communication »). Dans le contexte d'une communication WebRTC, le serveur de mise en relation SMR est utilisé pour mettre en relation le terminal de paiement TP et terminal distant TD, via l'échange de données de signalisation lors d'une phase d'initialisation de la session. À l'issue de cette phase d'initialisation, une liaison point à point (i.e. de pair à pair) LPP est établie, comprenant un flux média et un flux de contrôle tels que définis précédemment. Ces deux flux ne transitent normalement pas par le serveur de mise en relation SMR, mais directement (éventuellement via un ou plusieurs serveurs relais de type TURN ou STUN, si des contraintes réseau l'exigent, comme décrit ultérieurement dans le document) entre l'application dédiée 21 lancée sur le terminal de paiement TP et un module client 22, typiquement un navigateur internet, lancé sur le terminal distant TD. Afin de pouvoir communiquer avec le module client 22 du terminal distant TD d'une part, et avec le module logiciel 21 du terminal de paiement TP d'autre part, le serveur de mise en relation SMR comprend respectivement un module serveur 23 et un module d'affectation 24, ces deux modules 23 et 24 étant interconnectés via un module d'interconnexion 25. Ainsi, un canal de signalisation est établi entre le terminal de paiement TP et le terminal distant TD, par l'intermédiaire de ces modules 23, 24 et 25 du serveur de mise en relation SMR. Ce canal de signalisation permet de négocier, lors de la phase d'initialisation de la session, les caractéristiques de la liaison point à point (connexion réseau, résolution d'adresses, ports, formats vidéo, codecs, etc.), via l'échange d'offres et de réponses SDP (de l'anglais « Session Description Protocol ») sur les canaux de communication Cl et C2. Lors de cette phase d'initialisation, des sceaux de certificats auto-signés sont également échangés entre l'application dédiée 21 lancée sur le terminal de paiement TP et le navigateur internet 22, lancé sur le terminal distant TD, afin d'établir la confiance entre ces deux modules lors de la session point à point. La technologie WebRTC offre également divers mécanismes pour déterminer d'éventuelles configurations ou restrictions réseaux (e.g. architectures mettant en œuvre des dispositifs NAT - en anglais « Network Address Translation » - de traduction d'adresse réseau, présence de pare-feux, etc.) susceptibles de compliquer ou de faire obstacle à une connexion directe entre le terminal de paiement TP et le terminal distant TD, et mettre en œuvre le cas échéant des solutions de contournement. Ces mécanismes ne sont pas décrits plus en détails dans le présent document, mais ils comprennent notamment l'utilisation d'un protocole d'établissement de connectivité interactif (en anglais « Interactive Connectivity Establishment » ou ICE), et de serveurs STUN (en anglais « Session Traversai Utilities for NAT ») et TURN (en anglais « Traversal Using Relays around NAT »). Ils permettent par exemple d'identifier la nécessité de recourir à un éventuel serveur relais SR pour permettre la communication entre le terminal de paiement TP et le terminal distant TD.

Différentes piles de protocoles sont ensuite utilisées pour gérer la liaison point à point LPP établie dans le cadre de la communication WebRTC. Plus particulièrement, le flux de contrôle est transporté en utilisant le protocole SCTP (en anglais « Stream Control Transmission Protocol ») et s'appuie sur le protocole DTLS (en anglais « Datagram Transport Layer Security ») pour assurer la confidentialité et l'authenticité des paquets SCTP échangés. Le chiffrement est notamment assuré au moyen des certificats auto-générés, dont les sceaux ont été précédemment échangés lors de la phase d'initialisation de la session. Le flux media, assurant la diffusion vidéo en continu des informations affichées sur l'écran du terminal de paiement TP, est pour sa part transporté en utilisant le protocole SRTP (en anglais « Secure Real-time Transport Protocol »), et s'appuie également sur le protocole DTLS pour assurer la confidentialité et l'authenticité des paquets SRTP échangés. Ainsi, la liaison LPP est sécurisée.

En plus de son rôle de serveur intermédiaire pour la mise en relation d'un terminal de paiement avec un terminal distant, le serveur de mise en relation SMR peut intégrer d'autres fonctionnalités. Par exemple, le serveur SMR peut également être utilisé pour la gestion (stockage, consultation, suppression, etc.) des fichiers de traces consolidés à l'issue des sessions de prises de contrôle à distance de terminaux de paiement, auquel cas il comprend également un module 26 de journalisation en charge de la mise en œuvre de ces fonctionnalités.

Selon un autre aspect, la technique proposée se rapporte également à un terminal de paiement, dont une architecture simplifiée est présentée en relation avec la figure 3, dans un mode de réalisation particulier. Un tel terminal de paiement électronique (TermE) comprend une mémoire 31, une unité de traitement 32 équipée par exemple d'un microprocesseur, et pilotée par un programme d'ordinateur 33. Le terminal électronique comprend également une mémoire sécurisée 34, qui peut être fusionnée avec la mémoire 31 (comme indiqué en pointillés, dans ce cas la mémoire 31 est une mémoire sécurisée), une unité de traitement sécurisée 35 équipée par exemple d'un microprocesseur sécurisée et de mesure physiques de protection (protection physique autour de la puce, par treillis, vias, etc. et protection sur les interfaces de transmission de données), et pilotée par un programme d'ordinateur 36 spécifiquement dédié à cette unité de traitement sécurisée 35, ce programme d'ordinateur 36 mettant en œuvre toute ou partie du procédé de prise de contrôle à distance tel que précédemment décrit. Le groupe composé de l'unité de traitement sécurisée 35, de la mémoire sécurisée 34 et du programme d'ordinateur dédié 36 constitue la portion sécurisée (PS) du terminal électronique. Dans au moins un mode de réalisation, la présente technique est mise en œuvre sous la forme d'un ensemble de programmes installé en partie ou en totalité sur cette portion sécurisée du terminal de traitement de transaction. Dans au moins un autre mode de réalisation, la présente technique est mise en œuvre sous la forme d'un composant dédié (CpX) pouvant traiter des données des unités de traitement et installé en partie ou en totalité sur la portion sécurisée du terminal de traitement de transaction. Par ailleurs, le terminal comprend également des moyens de communication (CIE) se présentant par exemple sous la forme de composants réseaux (WiFi, 3G/4G/5G) qui permettent au terminal de recevoir des données (I) en provenance d'entités connectées à un ou plusieurs réseaux de communication (par exemple un serveur de mise en relation, des serveurs STUN et/ou TURN, un terminal distant, etc.) et de transmettre des données traitées (T) à de telles entités.

Un tel terminal de paiement comprend en outre, en fonction des modes de réalisation : des moyens de mise en œuvre de mesures sécuritaires de restriction de ladite prise de contrôle ; des moyens d'échange de données de signalisation avec un serveur de mise en relation, les moyens d'échange comprenant des moyens de réception, en provenance de ce serveur de mise en relation, de données de signalisation associées à un terminal distant candidat pour ladite prise de contrôle et des moyens de transmission, au serveur de mise en relation, de données de signalisation associées au terminal de paiement ; des moyens d'établissement d'une liaison point à point entre le terminal distant et le terminal de paiement, ladite liaison comprenant au moins : un flux de diffusion vidéo en continu, à destination du terminal distant, d'informations affichées sur un écran du terminal de paiement, dit flux média ; -- un flux pour la réception d'au moins une commande en provenance dudit terminal distant, dit flux de contrôle.

La présente technique, dans l'un quelconque des modes de réalisation décrits précédemment, offre ainsi une solution permettant de faciliter la gestion d'une flotte de terminaux de paiement, en permettant la mise en œuvre à distance de nombreuses opérations (formation, support technique, dépannage, maintenance, administration, etc.), et ceci dans un cadre sécurisé et conforme aux normes sécuritaires en vigueur dans le domaine du paiement.