SOULEZ, Christian (7Bis Allée des Chênes, Saint-Germain En Laye, F-78100, FR)
| R E V E N D I C A T I O N S 1. Procédé de télétransmission sécurisée ordonnée par une personne émettrice (11) à destination d'une personne réceptrice (22) comprenant : - une première étape principale (802, 302, 332) et une deuxième étape principale (804, 304, 334) activées lorsqu'un serveur sécurisé (SSTF) reçoit d'un premier appareil électronique (1, 7) une première requête contenant un code de désignation d'un objet sur lequel porte la télétransmission et une adresse d'équipement personnel récepteur (R) attribuable à la personne réceptrice ; - ladite première étape principale (802, 302, 332) consistant à fournir audit premier appareil électronique, un premier code de retrait (ALEA) et à envoyer ce premier code de retrait à l'équipement personnel récepteur par le premier appareil électronique ; - ladite deuxième étape principale (804, 304, 334) consistant à fournir audit équipement personnel récepteur, un ticket contenant des données comprenant au moins un deuxième code de retrait (Hash Data) de l'objet sur lequel porte la télétransmission; et - une troisième étape principale (366, 306, 336) activée lorsque le serveur sécurisé (SSTF) reçoit d'un deuxième appareil électronique (4, 5) une deuxième requête contenant le premier code de retrait (ALEA) et le deuxième code de retrait (Hash Data) ; - ladite troisième étape (366, 306, 336) consistant à vérifier une concordance entre le premier code de retrait (ALEA) et le deuxième code de retrait pour fournir ledit objet à la personne réceptrice (22) lorsque la concordance des codes est positivement vérifiée . 2. Procédé selon la revendication 1, caractérisé en ce que le premier code de retrait (ALEA) et le ticket comprenant au moins le deuxième code de retrait (Hash Data) sont transmis à l'équipement personnel récepteur par deux voies différentes de transmission pour renforcer la sécurité. 3. Procédé selon la revendication 2, caractérisé en ce que le premier appareil électronique envoie le premier code de retrait (ALEA) à l'équipement personnel récepteur de manière humainement contrôlable, avantageusement vocalement, directement ou au moyen d'un téléphone. 4. Procédé selon l'une des revendications 2 ou 3, caractérisé en ce que le ticket contenant des données comprenant au moins le deuxième code de retrait (Hash Data) est transmis par le serveur sécurisé (SSTF) à l'équipement personnel récepteur avantageusement sous forme d'un message court (SMS) . 5. Procédé de télétransmission sécurisée selon l'une des revendications 1 à 4, caractérisé en ce qu'il comprend : - une première étape périphérique (762) activée lorsque la personne émettrice (11) lance un appel à partir d'un équipement personnel émetteur (E) vers l'équipement personnel récepteur (R) ; - une deuxième étape périphérique (464) activée lorsque la personne réceptrice (22) prend l'appel lancé à partir de l'équipement personnel émetteur (E) ; - ladite première étape périphérique (762) et ladite deuxième étape périphérique (464) consistant à permettre à la personne émettrice (11) de reconnaître la personne réceptrice (22) de façon à s'assurer que l'équipement personnel récepteur (R) est effectivement attribué à la personne réceptrice (22) en lui communiquant ledit code de retrait (ALEA) . 6. Procédé de télétransmission sécurisée selon l'une des revendications 1 à 5 dans lequel le premier appareil électronique est un premier terminal (A) , le deuxième appareil électronique est un deuxième terminal (B) et comprenant : - une étape (108) de formulation dans laquelle le premier terminal (A) recevant un jeton (E) de vérification demande à la personne émettrice (11) d'indiquer le code de désignation de l'objet sur lequel porte la transmission ; - une étape (110) de requête dans laquelle ledit premier terminal (A) émet à destination du serveur sécurisé (SSTF) une requête comprenant ledit jeton (E) et ledit code de désignation pour demander au serveur sécurisé (SSTF) de fournir le code de retrait (ALEA) ; - une étape (112) de signalisation dans laquelle le premier terminal (A) communique le code de retrait (ALEA) à la personne émettrice (11) ; et - une étape (506) de distribution dans laquelle le deuxième terminal (B) fait aboutir la transmission en délivrant l'objet après réception du code de retrait et du code de désignation saisis par la personne réceptrice (22) et réception d'une autorisation émise par le serveur sécurisé (SSTF) pour confirmer une corrélation du code de retrait saisi avec le jeton de vérification. 7. Procédé selon la revendication 6 caractérisé en ce que : - dans l'étape (108) le premier terminal (A) demande à la personne émettrice (11) d'indiquer au moins un code nominatif univoque de la personne réceptrice et/ou de la personne émettrice ; et - dans l'étape (110) de requête ledit premier terminal (A) place le (s) dit (s) code (s) nominatif (s) univoque (s) dans la requête émise à destination du serveur sécurisé (SSTF) . 8. Procédé selon la revendication 7 caractérisé en ce que dans l'étape (506) le deuxième terminal (B) délivre l'objet après réception supplémentaire dudit au moins un code nominatif univoque saisi par la personne réceptrice. 9. Procédé selon la revendication 7 ou 8, caractérisé en ce que ledit code nominatif univoque est un numéro de téléphone. 10. Procédé selon l'une des revendications 7 à 9 caractérisé en ce que ledit code nominatif univoque est un numéro de téléphone de la personne réceptrice et en ce que la personne réceptrice reçoit par téléphone le code de désignation sur un premier canal de communication lié au serveur sécurisé et le code de retrait sur un deuxième canal de communication lié à la personne émettrice. 11. Procédé de télétransmission sécurisée selon la revendication 5 dans lequel le premier appareil électronique est l'équipement personnel émetteur (E) permettant d' accéder à un compte contrôlé par le serveur sécurisé (SSTF) et le deuxième appareil électronique est un terminal (B) , caractérisé en ce qu' il comprend une étape (333) de création de sous-compte accessible à partir de l'équipement personnel récepteur (R) lorsque le serveur sécurisé (SSTF) reçoit une demande d'ajout en provenance de l'équipement personnel (E) , et en ce que les données fournies dans la deuxième étape principale comprennent des informations d'accès au sous-compte. 12. Procédé de télétransmission sécurisée selon l'une des revendications précédentes, caractérisé en ce qu'il comprend : - une étape d'affichage (402, 412, 462) de données reçues du serveur sécurisé (SSTF) par l'équipement personnel récepteur ; - une étape de demande d'autorisation (504) émise vers le serveur sécurisé (SSTF) lorsque lesdites données reçues sont introduites avec le code d' accès (ALEA) dans le terminal (B) . 13. Procédé selon l'une des revendications précédentes, caractérisé en ce qu'une validité temporellement et/ou spatialement limitée est associée au code de retrait. 14. Procédé selon l'une des revendications précédentes, caractérisé en ce que ledit objet est une somme d'argent et en ce que ledit code de désignation est un montant de la somme d'argent. 15. Procédé selon la revendication 1 à 5, caractérisé en ce que ledit objet est un sous-compte, en ce que ledit code de désignation est un nom alias d'utilisateur du sous-compte et en ce que le deuxième appareil électronique est l'équipement personnel récepteur . 16. Procédé selon la revendication 15, caractérisé en ce que dans la troisième étape principale (336) , le serveur sécurisé (SSTF) crée un numéro de carte virtuelle . 17. Système de télétransmission sécurisée à destination d'une personne réceptrice (22) ordonnée par une personne émettrice (E) comportant : - un premier appareil électronique (1, 7) à disposition de la personne émettrice ; - un équipement personnel récepteur (4) attribuable à la personne réceptrice (22) ; - un serveur sécurisé (3) comprenant un programme de fourniture d'un code de retrait (ALEA) à au premier appareil électronique et de fourniture d'un code de désignation d'un objet sur lequel porte la télétransmission à l'équipement personnel (4); - et - un deuxième appareil électronique (4,5) comprenant une interface pour permettre à la personne réceptrice (22) de saisir au moins le code de retrait, des moyens de connexion au serveur sécurisé (3) pour émettre le code de retrait et le code de désignation et pour recevoir une autorisation du serveur sécurisé (3) qui confirme une corrélation du code de retrait saisi avec le code de désignation, et des moyens de délivrance automatique de l'objet après réception de ladite autorisation. 18. Système selon la revendication 17, caractérisé en ce qu' il comprend un équipement personnel émetteur (7) permettant à la personne émettrice (11) d'appeler l'équipement personnel récepteur (4) pour s'assurer que l'équipement personnel récepteur (4) est effectivement attribué à la personne réceptrice (22) . 19. Système selon la revendication 17 ou 18 caractérisé en ce que le premier appareil électronique est un premier terminal (1) comprenant une interface agencée pour demander à la personne émettrice (11) d'indiquer au moins un code nominatif univoque de la personne réceptrice et/ou de la personne émettrice de façon à placer le (s) dit (s) code (s) nominatif (s) univoque (s) dans une requête émise à destination du serveur sécurisé (3) . 20. Système selon la revendication 19 caractérisé en ce que le deuxième appareil électronique est un deuxième terminal (5) agencé pour délivrer l'objet après réception supplémentaire dudit au moins un code nominatif univoque saisi par la personne réceptrice. 21. Système selon la revendication 19 ou 20, caractérisé en ce que ledit code nominatif univoque est un numéro de téléphone. 22. Système selon l'une des revendications 19 à 21 caractérisé en ce que ledit code nominatif univoque est un numéro de téléphone de la personne réceptrice et en ce que la personne réceptrice reçoit par téléphone le code de désignation sur un premier canal de communication lié au serveur sécurisé et le code de retrait sur un deuxième canal de communication lié à la personne émettrice. 23. Système de télétransmission sécurisée selon la revendication 18 dans lequel le premier appareil électronique est l'équipement personnel émetteur (7) contenant un programme permettant d' accéder à un compte contrôlé par le serveur sécurisé (3) et le deuxième appareil électronique est un équipement personnel récepteur (4), caractérisé en ce que le serveur sécurisé (3) est agencé pour recevoir une demande d'ajout en provenance de l'équipement personnel (7), pour créer un sous-compte accessible à partir de l'équipement personnel récepteur (4) et pour émettre vers l'équipement personnel récepteur (4) des données comprenant des informations d'accès au sous-compte. 24. Système selon l'une des revendications 17 à 23, caractérisé en ce que le serveur sécurisé (3) est agencé pour limiter temporellement et/ou spatialement une validité associée au code de retrait. 25. Système selon l'une des revendications 17 à 24, caractérisé en ce que ledit objet est une somme d'argent et en ce que ledit code de désignation est un montant de la somme d'argent. 26. Système selon la revendication 17, caractérisé en ce que ledit objet est un sous-compte, en ce que ledit code de désignation est un nom alias d'utilisateur du sous-compte et en ce que le deuxième appareil électronique est l'équipement personnel récepteur (4). |
La présente invention concerne un procédé et un système de télétransmission sécurisée.
Les moyens de communication et de traitement de l'information connus procurent souplesse et rapidité pour mettre en œuvre des transmissions locales ou à distances qui facilitent les échanges entres personnes.
Cependant, les facilités offertes par les moyens de communication et de traitement de l'information ne doivent pas être source de vulnérabilité lorsque la matière transmise est sensible et/ou de valeur car il convient alors que la transmission aboutisse sans être corrompue, à la personne à qui elle est effectivement destinée. C'est notamment le cas lorsque la transmission porte sur un transfert d'argent.
Dans l'état antérieur de la technique connu, la publication du brevet EP0807910B1 le 4 juin 2008, divulgue un procédé de mise en œuvre de monnaie électronique dans lequel une institution de surveillance ordonne à une banque de transférer un montant de paiement à un compte bancaire après avoir vérifié la validité de la monnaie électronique. L'imposition d'un compte bancaire comme destinataire du transfert, est un facteur de sécurisation. Cependant le procédé divulgué dans ce premier brevet précité, a pour inconvénient de ne pas convenir lorsque le destinataire ne dispose pas d'un compte bancaire.
La publication du brevet EP1168762B1 le 16 juillet 2008, divulgue un système fournisseur d'informations dans lequel un dispositif terminal transmet des informations financières d'utilisateurs à un dispositif d'administration d'informations agencé pour effectuer un traitement de paiement. Cependant le procédé divulgué dans ce deuxième brevet précité, a pour inconvénient de ne pas permettre de délivrer concrètement un objet, notamment une somme d' argent à un destinataire de transfert d'argent.
Plus généralement, les techniques de sécurisation connues font essentiellement appel à des moyens électroniques qui se contrôlent l'un l'autre de manière relativement opaque à l'utilisateur. Ces techniques n'apportent pas entière satisfaction en termes de certitude pour l'utilisateur quant à la bonne réception de la somme correcte par le destinataire correct. D'autre part la non répudiation de la transmission par l'utilisateur, cruciale en matière de transfert d'argent, est difficile à garantir lorsque l'utilisateur confronté à l'opacité de contrôles purement électroniques, pourrait être tenté de réfuter l'intégrité des moyens de contrôle électronique.
Différentes tentatives utilisant des moyens de communication électroniques, ont été entreprises sans réel succès pour délivrer un objet à un destinataire, de manière à ne pas imposer au destinataire de disposer d'un compte bancaire, y compris lorsque l'objet est une somme d' argent .
La publication de délivrance du brevet EP0960499B1 le 2 novembre 2005, fait état d'un système adapté pour fournir des fonds demandés à un destinataire en vérifiant qu'un premier code de sécurité compris dans des données de transfert, est égal à un second code de sécurité compris dans des données de destinataire, les données de transfert étant saisies par un expéditeur et les données de destinataire étant saisie par le destinataire. Le procédé mis en œuvre n'apporte pas entière satisfaction en matière de sécurité, par exemple en cas d'interception du code de sécurité dans les données de transfert ou dans les données de destinataire.
La présente invention a pour but de palier les inconvénients ci-dessus présentés des dispositifs de sécurité connus. A cet effet, selon l'invention, un procédé de télétransmission sécurisée ordonnée par une personne émettrice à destination d'une personne réceptrice comprend :
- une première étape principale et une deuxième étape principale activées lorsqu'un serveur sécurisé reçoit d'un premier appareil électronique une première requête contenant un code de désignation d'un objet sur lequel porte la télétransmission et une adresse d'équipement personnel récepteur attribuable à la personne réceptrice ;
- la première étape principale consistant à fournir au premier appareil électronique, un code de retrait ;
- la deuxième étape principale consistant à fournir à l'équipement personnel récepteur, un ticket contenant des données comprenant au moins le code de désignation de l'objet sur lequel porte la télétransmission; et
- une troisième étape principale activée lorsque le serveur sécurisé reçoit d'un deuxième appareil électronique une deuxième requête contenant le code de retrait et tout ou partie des données comprenant au moins le code de désignation de l'objet ;
- la troisième étape consistant à vérifier une concordance entre le code de retrait et au moins le code de désignation de l'objet pour fournir l'objet à la personne réceptrice lorsque la concordance des codes est positivement vérifiée.
Avantageusement, le procédé de télétransmission sécurisée comprend :
- une première étape périphérique activée lorsque la personne émettrice lance un appel à partir d'un équipement personnel émetteur vers l'équipement personnel récepteur ;
- une deuxième étape périphérique activée lorsque la personne réceptrice prend l'appel lancé à partir de l'équipement personnel émetteur ; - la première étape périphérique et la deuxième étape périphérique consistant à permettre à la personne émettrice de reconnaître la personne réceptrice de façon à s'assurer que l'équipement personnel récepteur est effectivement attribué à la personne réceptrice et de lui communiquer le code de retrait. Selon un mode de réalisation possible, le premier appareil électronique est un premier terminal, le deuxième appareil électronique est un deuxième terminal et le procédé comprend :
- une étape de formulation dans laquelle le premier terminal recevant un jeton de vérification demande à la personne émettrice d' indiquer le code de désignation de l'objet sur lequel porte la transmission ;
- une étape de requête dans laquelle le premier terminal émet à destination du serveur sécurisé une requête comprenant le jeton et le code de désignation pour demander au serveur sécurisé de fournir le code de retrait ;
- une étape de signalisation dans laquelle le premier terminal communique le code de retrait à la personne émettrice ; et
- une étape de distribution dans laquelle le deuxième terminal fait aboutir la transmission en délivrant l'objet après réception du code de retrait et du code de désignation saisis par la personne réceptrice et après réception d'une autorisation émise par le serveur sécurisé pour confirmer une corrélation du code de retrait saisi avec le jeton de vérification.
Particulièrement :
- dans l'étape de formulation le premier terminal demande à la personne émettrice d' indiquer au moins un code nominatif univoque de la personne réceptrice et/ou de la personne émettrice ; et - dans l'étape de requête le premier terminal place le (s) dit (s) code (s) nominatif (s) univoque(s) dans la requête émise à destination du serveur sécurisé.
Plus particulièrement, dans l'étape de distribution, le deuxième terminal délivre l'objet après réception supplémentaire d'au moins un code nominatif univoque saisi par la personne réceptrice.
De préférence, le code nominatif univoque est un numéro de téléphone.
Avantageusement, le code nominatif univoque est un numéro de téléphone de la personne réceptrice et la personne réceptrice reçoit par téléphone le code de désignation sur un premier canal de communication lié au serveur sécurisé et le code de retrait sur un deuxième canal de communication lié à la personne émettrice.
Selon un autre mode de réalisation possible, le premier appareil électronique est l'équipement personnel émetteur permettant d' accéder à un compte contrôlé par le serveur sécurisé et le deuxième appareil électronique est un terminal. Le procédé comprend alors une étape de création de sous-compte accessible à partir de l'équipement personnel récepteur lorsque le serveur sécurisé reçoit une demande d'ajout en provenance de l'équipement personnel, et les données fournies dans la deuxième étape principale comprennent des informations d'accès au sous-compte.
Dans le cadre de l'un ou l'autre des modes de réalisation, le procédé de télétransmission sécurisée comprend de préférence:
- une étape d'affichage de données reçues du serveur sécurisé par l'équipement personnel récepteur ;
- une étape de demande d'autorisation émise vers le serveur sécurisé lorsque les données reçues sont introduites avec le code d' accès dans le deuxième terminal.
Particulièrement, une validité temporellement et/ou spatialement limitée est associée au code de retrait. Selon une variante possible, l'objet est une somme d'argent et le code de désignation est un montant de la somme d'argent.
Selon une autre variante possible, l'objet est un sous-compte, le code de désignation est un nom alias d'utilisateur du sous-compte et le deuxième appareil électronique est l'équipement personnel récepteur.
Avantageusement dans cette autre variante, le serveur sécurisé crée un numéro de carte virtuelle dans la troisième étape principale.
L'invention a aussi pour objet un système de télétransmission sécurisée à destination d'une personne réceptrice ordonnée par une personne émettrice, qui comporte :
- un premier appareil électronique à disposition de la personne émettrice ;
- un équipement personnel récepteur attribuable à la personne réceptrice ;
- un serveur sécurisé comprenant un programme de fourniture d'un code de retrait au premier appareil électronique et de fourniture d'un code de désignation d'un objet sur lequel porte la télétransmission à l'équipement personnel; et
- un deuxième appareil électronique comprenant une interface pour permettre à la personne réceptrice de saisir au moins le code de retrait, des moyens de connexion au serveur sécurisé pour émettre le code de retrait et le code de désignation et pour recevoir une autorisation du serveur sécurisé qui confirme une corrélation du code de retrait saisi avec le code de désignation, et des moyens de délivrance automatique de l'objet après réception de l' autorisation.
Avantageusement, le système comprend un équipement personnel émetteur permettant à la personne émettrice d'appeler l'équipement personnel récepteur pour s'assurer que l'équipement personnel récepteur est effectivement attribué à la personne réceptrice.
Selon un premier mode de réalisation possible, le premier appareil électronique est un premier terminal comprenant une interface agencée pour demander à la personne émettrice d' indiquer au moins un code nominatif univoque de la personne réceptrice et/ou de la personne émettrice de façon à placer le (s) dit (s) code (s) nominatif (s) univoque (s) dans une requête émise à destination du serveur sécurisé.
Particulièrement, le deuxième appareil électronique est un deuxième terminal agencé pour délivrer l'objet après réception supplémentaire d'au moins l'un du ou des codes nominatifs univoques saisis par la personne réceptrice.
Plus particulièrement le code nominatif univoque est un numéro de téléphone, plus particulièrement encore est un numéro de téléphone de la personne réceptrice et la personne réceptrice reçoit par téléphone le code de désignation sur un premier canal de communication lié au serveur sécurisé et le code de retrait sur un deuxième canal de communication lié à la personne émettrice.
Selon un deuxième mode de réalisation possible le premier appareil électronique est l'équipement personnel émetteur contenant alors un programme permettant d'accéder à un compte contrôlé par le serveur sécurisé et le deuxième appareil électronique est un équipement personnel récepteur. Le serveur sécurisé est alors agencé pour recevoir une demande d'ajout en provenance de l'équipement personnel, pour créer un sous-compte accessible à partir de l'équipement personnel récepteur et pour émettre vers l'équipement personnel récepteur des données comprenant des informations d'accès au sous- compte .
Dans l'un ou l'autre des modes de réalisation, le serveur sécurisé est avantageusement agencé pour limiter temporellement et/ou spatialement une validité associée au code de retrait.
Selon une variante possible du système l'objet est une somme d'argent et le code de désignation est un montant de la somme d'argent.
Selon une autre variante possible du système, l'objet est un sous-compte, le code de désignation est un nom alias d'utilisateur du sous-compte et le deuxième appareil électronique est l'équipement personnel récepteur.
L'invention sera mieux comprise, et d'autres buts, caractéristiques, détails et avantages de celle-ci apparaîtront plus clairement dans la description explicative qui va suivre faite en référence aux dessins techniques annexés donnés uniquement à titre d'exemple illustrant un mode de réalisation de l'invention et dans lesquels :
- la figure 1 est une vue schématique d'un système de mise en œuvre de l'invention ;
- la figure 2 montre des étapes de procédé selon l'invention pour permettre à une personne émettrice de transférer une somme d'argent ;
- la figure 3 montre des étapes de procédé selon l'invention pour permettre à une personne réceptrice de percevoir la somme d'argent ;
- les figures 4 et 5 montrent des étapes de procédé selon l'invention pour permettre à la personne émettrice de créer un sous-compte au bénéfice de la personne réceptrice ; et
- la figure 6 montre des étapes de procédé selon l'invention applicables à d'autres réalisations que celles présentées.
Le système représenté sur la figure 1 comprend un ordinateur 2 de banque qui héberge un compte bancaire dont dispose une personne 11 pour émettre un ordre de retrait d'une somme d'argent à partir du dit compte bancaire . Le système comprend d' autre part un premier terminal 1 qui permet une authentification forte de la personne 11 comme étant celle qui dispose du dit compte bancaire. Le terminal 1 est par exemple un automate bancaire du type Distributeur Automatique de Billets (DAB) au moyen duquel la personne 11 peut donner des éléments de preuve pour authentifier qu'elle dispose du compte en utilisant une carte bancaire associée à un code secret que seule la personne 11 connaît. Le terminal 1 est par exemple aussi un périphérique de l'ordinateur de banque, accessible uniquement par un employé de la banque qui occupe dans une agence, un point de rencontre équipé du périphérique et qui peut authentifier physiquement la personne 11 par ses papiers d' identité ou par la connaissance personnelle que l'employé a de la personne 11. Le terminal 11 est par exemple encore un téléphone mobile programmé ou dont la carte SIM est programmée de manière connue pour offrir les fonctions d'une carte bancaire. Les moyens d' authentification possibles ne se limitent pas à un code secret. Les moyens d' authentification peuvent être basés sur des caractéristiques biométriques de la personne 11. Le type du terminal 11 ne se limite pas à ceux qui viennent d'être énoncés mais s'étend à tout type d'équipement électronique qui offre des services d' authentification forte comparables comme c'est par exemple le cas d'un ordinateur personnel paramétré pour faire des opérations bancaires sur le compte bancaire au moyen d'un dialogue sécurisé avec un site Internet de la banque .
Le système comprend aussi un deuxième terminal 5 dont la fonction essentielle est de pouvoir distribuer des billets de banque. De part sa nature, un automate bancaire est bien adapté pour réaliser le terminal 5. Le terminal 5 permet à une personne 22 de pouvoir percevoir une somme d'argent sans avoir à justifier de disposer d'un compte bancaire, en d'autres termes sans avoir nécessairement un compte bancaire pour effectuer des opérations bancaires.
Le terminal 5 est relié à un deuxième ordinateur 6 de banque qui gère toute remise d'argent sur le terminal 5, notamment par délivrance de billets de banque.
L'ordinateur 6 de banque est connectable à l'ordinateur 2 de banque au moyen d'un réseau spécialisé interbancaire ou de liaisons sécurisées sur le réseau Internet 8. L'ordinateur 6 peut aussi, dans certains cas d'utilisation, être confondu avec l'ordinateur 2, notamment mais non nécessairement lorsque le terminal 5 est confondu avec le terminal 1. Les cas d'espèce dépendent essentiellement des positions géographiques respectives des personnes 11 et 22.
De manière remarquable, le système comprend un serveur 3 sécurisé de transfert de fonds (SSTF) connectable aux ordinateurs 2 et 6 par des moyens de connexion comparables à ceux utilisés par les ordinateurs 2 et 6 pour communiquer entre eux, de façon à mettre en place un service de transfert d'argent pouvant être opéré à l'intérieur d'une même banque ou par un opérateur tiers agissant pour le compte de plusieurs banques.
Le service de transfert d'argent offert par le serveur 3 se distingue des services de retrait d' argent connus en ce que la personne 22 à qui est remise matériellement une somme d'argent, notamment sous forme de billets de banque, n'est pas nécessairement la personne 11 qui s'authentifie pour débiter la somme d'argent du compte dont elle dispose.
Le serveur 3 est agencé pour délivrer un code de retrait ALEA à usage unique à la personne 11 authentifiée sur le terminal 1 par le système pour accéder au compte. La personne 11 communique, hors du système, le code à la personne 22 par des moyens qui lui permettent de s'assurer humainement, en d'autres termes de reconnaître que la personne 22 est réellement la personne à laquelle la personne 11 destine la somme d'argent. La personne 22 utilise ensuite le code pour retirer la somme d'argent sur le terminal 5.
Les usages de ce service sont multiples.
Selon un premier usage possible, la personne 22 est une personne située à distance de la personne 11, dans le même pays ou dans un pays éloigné. La personne 11 utilise son téléphone 7 pour appeler la personne 22 sur son téléphone 4. Reconnaissant la personne 22 au timbre de sa voix et éventuellement au dialogue personnalisé qui s'établit, la personne 11 communique vocalement le code de retrait à la personne 22.
Selon un deuxième usage possible, la personne 22 est proche de la personne 11. C'est par exemple le cas de deux personnes d'une même famille résidant à proximité l'une de l'autre. La personne 11 reconnaît visuellement la personne 22 et lui communique le code de retrait oralement ou écrit sur une feuille de papier.
Selon un troisième usage possible, la personne 22 est titulaire du compte sur lequel la somme d' argent est débitée mais elle ne possède pas de moyens d' authentification électronique de type carte bancaire ou semblable. La personne 11 est alors un employé dans une agence de la banque qui gère le compte. Après avoir dûment vérifié l'identité de la personne 22, l'employé utilise son périphérique personnel de l'ordinateur de banque sur lequel il est authentifié pour obtenir le code de retrait sous forme d'un récépissé papier qu'il donne à la personne 22. L'ordinateur de banque peut aussi envoyer directement le code de retrait par SMS sur le téléphone mobile 4. La personne 22 utilise ensuite le récépissé papier ou le SMS pour effectuer le retrait demandé sur l'automate de l'agence.
Selon un quatrième usage possible, la personne 22 et la personne 11 sont une seule et même personne qui souhaite retirer une somme d'argent sans avoir à porter son dispositif d' authentification, à titre illustratif sa carte bancaire au moment du retrait, par exemple en revenant d'une séance de sport ou de la plage. Il suffit à la personne 11 d'obtenir préalablement le code de retrait et de le retenir par cœur ou de se le noter au creux de la main si elle fait moins confiance à la personne 22 qu'elle sera devenue en revenant de sa séance de sport.
D'autres usages, obtenus par combinaison ou extension des usages ci-dessus mentionnés, sont possibles sans sortir du cadre de la présente invention.
Notamment, le terminal 1 peut être utilisé pour déposer une somme d'argent s'il est prévu à cet effet. C'est alors la somme déposée qui est transférée.
En référence à la figure 2, un terminal d'un premier système A (ci-après terminal A) initialement dans une étape 100 d'attente, exécute des étapes du procédé qui permettent à une personne émettrice (E) d'émettre un ordre pour remettre à une personne réceptrice (R) éloignée, une somme d'argent directement utilisable dont le montant est débité sur un compte géré par un ordinateur de banque du système A (ci-après banque A) . Typiquement, le terminal A et l'ordinateur de banque A sont hébergés respectivement par le terminal 1 et l'ordinateur 2 de la figure 1. La personne E est alors la personne émettrice 11 et la personne R est alors la personne réceptrice 22 de la figure 1.
Une transition 101 de signalement, est validée lorsque la personne E se présente au terminal A qui est par exemple un automate bancaire (GAB pour Guichet Automatique Bancaire en Français ou ATM pour Automated Teller Machine en anglais) de sa banque ou d'une banque en accord avec sa banque. Le terminal est par exemple encore un terminal de paiement électronique (TPE) , voire un équipement de télécommunication sécurisé tel qu'un téléphone mobile comprenant un module cryptographique. Différents modes de présentation au terminal A peuvent être mis en œuvre comme par exemple ceux consistant à introduire un support d' informations personnelles dans un lecteur du terminal A prévu à cet effet. A titre illustratif et nullement limitatif, on peut citer les cartes à piste magnétique et les cartes à puce conformes à la norme EMV ou à une autre norme assurant une interopérabilité internationale de transactions monétaires. Les informations personnelles mémorisées sur le support sont corrélées à un code confidentiel (PIN pour Personal Identification Number) détenu secrètement par la personne E ou à tout autre type d' identificateur comprenant notamment des données biométriques telles qu'une empreinte digitale, des veines de la main, un fond de l'œil ou une iris qui distinguent de manière univoque la personne E au sein du genre humain.
Une validation de la transition 101 active une étape 102 d'interrogation dans laquelle le terminal A demande à la personne E de communiquer son identificateur en tapant son code confidentiel sur un clavier du terminal ou en soumettant une partie de son corps appropriée à un capteur du terminal dédié à la donnée biométrique corrélée aux informations personnelles mémorisées sur le support .
Une transition 103 d'identification est validée lorsque la personne E a communiqué son identificateur au terminal A.
Une validation de la transition 103 active une étape
104 d' authentification dans laquelle le terminal A transmet l'identificateur à l'ordinateur de banque A, de préférence sous forme chiffrée par le terminal A.
L'ordinateur de banque A initialement dans une étape 200 d'attente, exécute des étapes du procédé qui permettent de lier le compte de la personne E pour autoriser une exécution de l'ordre émis par la personne E sur le terminal A.
Une transition 201 d'accès au compte, est validée lorsque l'ordinateur de banque A reçoit l'identificateur de la personne E, de préférence chiffré comme indiqué par l'étoile en exposant sur la figure 2. Une validation de la transition 201 active une étape 202 de vérification dans laquelle l'ordinateur de banque A vérifie la corrélation de l'identificateur avec les données personnelles de la personne E et génère un jeton lié à la personne E (jeton E) si la corrélation est vérifiée positivement. Le jeton est par exemple un élément cryptographique EMV. L'ordinateur de banque A utilise par exemple de manière connue un gestionnaire de GAB (GDG) à cet effet. L'ordinateur de banque A envoie alors le jeton E au terminal A.
Une transition 105 d'acquittement d' authentification est validée lorsque le terminal A reçoit le jeton E.
Une validation de la transition 105 active une étape 106 de sélection dans laquelle le terminal A demande à la personne E de sélectionner une fonction dans un menu parmi plusieurs fonctions monétaires proposées telles que le retrait de billets de banque, la consultation du compte et plus particulièrement dans le cadre de l'invention, le transfert consistant à remettre une somme d'argent en mains propres à une personne R.
D' autres étapes de procédés connus ou à venir dans le domaine technique de l'accès à distance à un compte bancaire peuvent être utilisées pour réaliser la phase préliminaire qui mène à l'étape 106 à partir de laquelle sont exécutées les étapes essentielles de l'invention qui sont expliquées ci-après. Les étapes 102 et 104 peuvent être par exemple regroupées en une seule étape dans le cas où une donnée biométrique détectée par un capteur du terminal A suffit au signalement et à l'identification de la personne E.
Indépendamment de la manière dont il est obtenu, le jeton E est l'élément qui permet de démarrer et de valider la phase de transmission sécurisée expliquée ci- après. Le jeton perd généralement sa validité lorsque la transmission sécurisée est terminée.
Une transition 107 de commande est validée lorsque la personne E sélectionne une fonction de transmission sécurisée conforme à l'invention, notamment la fonction « transfert d'argent » dans le menu.
Une validation de la transition 107 active une étape 108 de formulation dans laquelle le terminal A demande à la personne E d'indiquer un code de désignation d'un objet sur lequel porte la transmission sécurisée. Lorsque la transmission sécurisée est relative à un transfert d'argent, le code de désignation est le montant de la somme d'argent à transférer. Selon une variante de mise en œuvre préférée du procédé, le terminal demande aussi à la personne E un code nominatif univoque qui facilite, comme nous le verrons dans la suite de la description, le traitement de la transmission sécurisée. Le code nominatif est univoque en ce qu' il est attaché spécifiquement à la personne E ou à la personne R. Le code nominatif est par exemple une adresse qui permet de joindre la personne R pour l'informer des éléments nécessaires à un retrait de l'objet sur lequel porte la transmission, notamment un retrait de la somme d'argent qu'il est prévu de lui remettre. Ladite adresse est par exemple une adresse de messagerie Internet. De préférence ladite adresse est un numéro de téléphone auquel il est possible d'appeler la personne R. De préférence plus élevée, ladite adresse est un numéro de téléphone mobile qui permet de joindre généralement plus facilement la personne R et de lui envoyer des informations écrites par service de message court (SMS pour short service message en anglais) ou par service de message multimédia (MMS pour multimédia message service en anglais) . Le numéro de téléphone n'a pas comme seul avantage de permettre de joindre la personne R, il a aussi pour avantage d'être généralement mémorisé tant par la personne R que par la personne E mentalement ou dans un répertoire électronique et par conséquent facilement retrouvé tant par la personne E que par la personne R. A ce propos, le numéro de téléphone peut aussi bien être le numéro de téléphone de la personne E qui désigne personnellement la personne E, en d'autre termes qui désigne la personne E de manière univoque. Les personnes E et R, étant des personnes qui se connaissent, il suffit que la personne E communique son numéro de téléphone à la personne R par une voie quelconque pour que la personne R le retienne.
Une transition 109 de renseignement est validée lorsque la personne E indique le code de désignation de l'objet, notamment le montant de la somme d'argent à transférer et de préférence aussi le code nominatif univoque, notamment le numéro de téléphone mobile qui permet de joindre la personne R qui recevra la somme d'argent. De préférence, la personne E saisit le montant à transférer dans la devise du pays où réside la personne R. En d'autres termes, le montant est généralement exprimé dans la devise du pays où réside la personne E essentiellement si la personne R réside dans le même pays .
Une validation de la transition 109 active une étape 110 de requête dans laquelle le terminal A demande au serveur sécurisé de transfert de fonds SSTF, typiquement le serveur 3 de la figure 1, de fournir un premier code de retrait ALEA. Pour ce faire, le terminal A émet à destination du serveur SSTF une requête qui comprend le jeton émis dans l'étape 202 par l'ordinateur de banque A, le montant et l'adresse saisis par la personne E sur le terminal A.
Le serveur SSTF sécurisé, initialement dans une étape 300 d'attente, exécute des étapes du procédé de transmission sécurisée qui permettent de transmettre l'objet, plus précisément la somme d'argent à la personne R.
Une transition 301 de démarrage est validée lorsque le serveur SSTF reçoit la requête comprenant le jeton qui lie le compte à débiter et le montant de la somme d'argent à transférer. Dans la variante qui utilise le code nominatif univoque, la requête comprend aussi l'adresse, notamment le numéro de téléphone permettant d'informer du transfert, la personne à qui doit être remise la somme d'argent.
Une validation de la transition 301 active dans le serveur SSTF une étape 302 de réponse à la requête émise par le terminal A et une étape 304 de génération d'un ticket électronique de retrait de la somme d'argent.
Dans l'étape 302, le serveur SSTF crée une structure de donnée dédiée à la transmission sécurisée, notamment dédiée à la transaction de transfert d'argent, par exemple une ligne indexée par un identificateur ID dans une table associative. Pour ne pas alourdir inutilement le texte, on comprendra dans la suite de la description que le montant de la somme d'argent réfère aussi, de manière plus générale, au code de désignation de tout objet qui n'est pas nécessairement une somme d'argent. L' identificateur ID peut aussi être un pointeur sur un autre type de structure de données. Le serveur SSTF stocke dans la structure de données, les valeurs de paramètres communiquées dans la requête et comprenant le jeton, le montant de la somme d'argent à transférer avec l'adresse, notamment le numéro de téléphone permettant d'informer du transfert, la personne à qui doit être remise la somme d'argent, optionnellement un numéro de téléphone de la personne E et/ou un numéro de carte bancaire de la personne E. Le numéro de carte bancaire est par exemple obtenu auprès de l'ordinateur de banque A à partir du jeton, indépendamment ou non du terminal A. Le serveur SSTF tire ensuite un nombre, ou plus généralement une chaîne de caractères au hasard qui constitue le premier code de retrait ALEA dont la nature est aléatoire ou pseudo aléatoire. Le serveur SSTF mémorise le code ALEA dans une case de la structure de donnée réservée à ce mot et envoie le code ALEA dans un message de réponse au terminal A, éventuellement via le GDG lorsque le terminal A est un automate de paiement bancaire. On notera que le code ALEA peut aussi être généré sous forme d'un code PIN temporaire qui est utilisable une seule fois par le bénéficiaire. En ce cas un code de hachage est préférable, notamment pour deux personnes 11 et 22 différentes.
Dans l'étape 304, le serveur SSTF attribue à la future opération de retrait de la somme d' argent transférée, une plage temporelle de validité PTV qu'il mémorise dans la structure de données. La plage temporelle de validité procure une sécurisation supplémentaire de la transmission qui ne peut de ce fait être exécutée hors de la plage temporelle de validité. D'autres sécurisations supplémentaires peuvent être envisagées comme par exemple le voisinage d'un lieu de validité. Le serveur SSTF applique une fonction de hachage à tout ou partie du contenu de la structure de données qui donne un deuxième code de retrait Hash Data dont la nature est déterministe. Le serveur SSTF mémorise ou ne mémorise pas le code Hash Data dans une case de la structure de donnée, regroupe le deuxième code de retrait Hash Data avec la plage horaire de validité PTV et/ou un critère de localisation du retrait, de façon à générer le ticket électronique puis envoie le ticket électronique dans un message de notification à l'adresse de l'équipement personnel de la personne R qui est stockée dans la structure de données. Le message de notification est avantageusement envoyé sous forme d'un SMS lorsque l'adresse est un numéro de téléphone mobile. Lorsque aucune adresse de la personne R n'est communiquée dans la requête, une adresse de la personne R peut être disponible à partir d'une base de données sous réserve d'une inscription préalable. Lorsqu' aucune adresse de la personne R n'est connue d'une façon ou d'une autre, l'étape 304 peut très bien ne pas être exécutée.
Une transition 111 d'acquittement est validée lorsque le terminal A reçoit le premier code de retrait.
Une validation de la transition 111 active une étape
112 de signalisation dans laquelle le terminal A communique le premier code de retrait ALEA à la personne E. Différents modes de réalisation peuvent être envisagés pour communiquer le premier code de retrait ALEA à la personne E comme par exemple visuellement par affichage du code sur un écran local, vocalement au moyen d'un haut-parleur situé sur le terminal A ou d'une liaison sans fil au protocole 802.11 ou d'une communication par champ de proximité (NFC pour near field technology en anglais) ou autre vers un objet communiquant détenu par la personne E comme par exemple le téléphone mobile 7 équipé d'un récepteur radio à courte distance. Dans un mode de réalisation préférée, le terminal A imprime le montant de la somme à transférer, l'adresse de l'équipement personnel de la personne R et le premier code de retrait ALEA sur un récépissé qui est délivré à la personne E.
Une transition 401 d'alerte est validée lorsque l'équipement personnel de la personne R, typiquement le téléphone 4, reçoit le ticket électronique.
Une validation de la transition 401 active une étape 402 d'alarme dans laquelle l'équipement personnel de la personne R informe la personne R de manière à lui permettre de lire le contenu du ticket électronique pour prendre connaissance du deuxième code de retrait et de la plage temporelle dans laquelle le retrait de la somme d'argent est autorisé.
Les étapes 304 et 402 peuvent s'intégrer dans une option dans le cadre de laquelle le procédé propose à la personne E, le « payeur » d'avertir la personne R, le « payé » du transfert à venir par un SMS ou par appel téléphonique combiné à un dispositif de synthèse vocale, si le « Payé » dispose d'un téléphone mobile. Indépendamment de cette option, l'adresse communiquée dans la requête de l'étape 110 sous forme de numéro de téléphone, permet à la personne E d'indiquer facilement la personne R et à la personne R de facilement se faire reconnaître par association de la personne R avec le numéro de téléphone dont il est aisé de se souvenir tant pour la personne E que pour la personne R. Le numéro de téléphone constitue en quelque sorte un code de nommage univoque de la personne R comme nous allons le voir maintenant dans la suite de la description.
Cependant, ces étapes ne peuvent être optionnelles que si le code ALEA généré sert aussi par la suite de clé de transaction pour retrouver le ticket.
Dans le cas du transfert les étapes 302 et 304 ne sont pas optionnelles. L'étape 304 sert notamment à transmettre le numéro de carte virtuelle qui est généré sur la base du Hash code et selon la méthode décrite ci- après .
Idéalement, le SSTF construit un numéro de carte spécial comprenant en partie fixe, un numéro d'identification bancaire (BIN pour Bank Identification Number en anglais) spécifique qui permet d'identifier l'établissement bancaire auquel appartient l'émetteur du transfert. Le BIN est suivi d'un nombre corrélé au code ALEA, par exemple le code ALEA en clair ou le code ALEA chiffré. Le nombre corrélé peut aussi être le hashdata, notamment si le code ALEA est comparable à un code PIN temporaire .
Ici apparaît une notion comparable à celle que l'on retrouve dans les serveurs de noms de domaines « DNS » pour retrouver au final le numéro de carte de l'émetteur (comme en TCP/IP) avec plusieurs serveurs SSTF en réseaux, chacun rattaché à un serveur de banque comme par exemple ici au serveur 2 de la Banque A et au serveur 6 de la Banque B.
Le numéro de carte virtuelle ou PAN virtuel, est un alias du numéro de carte du porteur dont la partie BIN permet de remonter vers l'émetteur et de retrouver le serveur SSTF de la banque de l'émetteur, et dont la partie variable correspond au hashcode qui permet de retrouver le ticket dans le serveur SSTF de la Banque de 1 ' émetteur . On notera deux avantages rendus possible par le type d'architecture qui vient d'être décrit.
Un premier avantage est d'associer un code T-PIN au numéro de carte virtuelle qui ne modifie pas le transfert des données entre l'automate 5 de retrait et l'ordinateur 2 de la Banque A.
Un deuxième avantage est d'utiliser deux canaux différents de transmissions de ces deux informations qui renforce la sécurité.
L'étape 112 termine une première phase du procédé qui fournit à la personne E une clé immatérielle de contrôle sur le transfert de la somme d'argent qu'elle ordonne. Cette clé immatérielle de contrôle est constituée par le premier code de retrait ALEA.
Dans une deuxième phase, le « Payeur », c'est-à-dire la personne E communique personnellement le code de retrait ALEA au « Payé », c'est-à-dire à la personne R de manière humainement contrôlable par exemple vocalement, directement ou au moyen d'un téléphone, par remise en main propre ou par tout autre moyen conventionnel équivalent qui permet de s'assurer que la personne recevant le code de retrait est bien la personne R à qui le transfert d'argent est destiné. La rencontre ou le dialogue au cours duquel la personne E remet le code ALEA à la personne R, permet à la personne E de reconnaître le ton de la voix, les traits du visage de la personnes R et/ou des informations partagées par exemple sur la famille. A ce sujet, les téléphones mobiles 7 et 4 constituent des moyens particulièrement bien adaptés pour établir un canal de communication vocale, voire télévisuelle entre les personnes E et R.
Notamment lorsque la personne R est éloignée, la communication par téléphone permet à la personne E de s'assurer que l'information du code ALEA est bien transmise à la bonne personne. Les dispositifs de messagerie électronique (MEL) sur Internet ou les services de messages courts (SMS) , sont a priori écartés du procédé car ils sont sources d'erreur sauf à utiliser des pré enregistrements des « Payés » (Personnes potentiellement R) avec leur numéros ou adresses MEL avec contrôle préalable de ces données avant toute transaction.
La personne R, en d'autres termes le « Payé », ayant reçu par le canal vocal le code ALEA et, optionnellement ayant été averti pas SMS dans le cas d'une mise en œuvre de l'étape 402 sur son équipement personnel de communication, active la deuxième phase du procédé en se rendant sur un automate d'une banque en accord avec la banque de la personne E, en d'autres termes du « Payeur » ou sur un automate d'une banque ayant souscrit le service « Transfert d'argent » auprès du même opérateur que la banque de la personne E pour mettre en œuvre le procédé de l'invention.
En référence à la figure 3, le terminal d'un deuxième système B (ci-après terminal B) initialement dans une étape 500 d'attente, exécute des étapes du procédé qui permettent à la personne R de retirer la somme d'argent transmise par la personne E éloignée, et dont le montant est débité par compensation à partir d'un ordinateur de banque du système B (ci-après banque B) . Dans l'étape 500, le terminal B affiche typiquement un menu de plusieurs fonctions ou services possibles, comprenant à titre purement illustratif et non limitatif, le retrait de billet de banques, la consultation de compte bancaire et plus particulièrement dans le cadre de l'invention, le transfert d'argent et la perception d'argent transféré.
Une transition 501 de sélection, est validée dans le terminal B lorsqu'une personne, notamment la personne R, sélectionne la fonction « Perception d'argent ».
Une validation de la transition 501 active une étape 502 dans laquelle le terminal B affiche un formulaire électronique qui invite la personne R à saisir successivement ou aléatoirement, un ensemble de données comprenant :
- le montant de la somme à percevoir dans la devise locale du lieu où est installé le terminal B ;
- le premier code de retrait ALEA que la personne R a reçu de la personne E par le canal vocal ; et éventuellement
- selon l'option de mise en œuvre retenue, le code nominatif univoque, par exemple le numéro de téléphone de la personne R, et/ou tout ou partie du contenu du ticket électronique, par exemple le deuxième code de retrait Hash Data.
De préférence, un identifiant de transaction hashcode et/ou numéro de téléphone est notamment utile si le code ALEA est comparable à un PIN temporaire, généralement court pour faciliter la recherche de la transaction dans la base de données du SSTF.
On notera à ce sujet que lorsque deux codes de retrait sont saisis, ils sont a priori différents et ils sont tous deux saisis par la personne R.
Une transition 503 de réception de données, est validée dans le terminal B lorsque l'ensemble des données requises est reçu.
Une validation de la transition 503 active une étape 504 de requête dans laquelle le terminal B demande au serveur sécurisé de transfert de fonds SSTF de fournir une autorisation de retrait. La requête d'autorisation comprend les données demandées dans l'étape 502 par le terminal B, notamment le montant et le code ALEA saisis par la personne R sur le terminal B et optionnellement le deuxième code de retrait correspondant au hashcode reçu pendant les étapes optionnelles 304 et 402 notamment si le code ALEA est comparable à un Code PIN temporaire.
Différent modes d'acheminement de la requête vers le serveur sécurisé de transfert de fonds SSTF, sont possibles . Par exemple, le terminal B lorsqu'il est matérialisé par un automate bancaire, transmet dans un premier temps la requête d'autorisation au service de gestion GDG de l'ordinateur de banque B. Le montant et la devise sont transmis normalement selon les règles du protocole utilisé par l'automate pour dialoguer avec l'ordinateur de banque B (HOST-GDG) . L'ordinateur de banque B, identifiant alors dans la requête d'autorisation une demande spécifique de Transfert de Fonds grâce au BIN, route les données de la requête vers le SSTF.
Le serveur SSTF sécurisé initialement dans l'étape 300 d'attente, exécute la suite des étapes du procédé qui permettent de transférer la somme d'argent de la personne E à la personne R.
Une transition 305 de réception de données est validée lorsque le serveur SSTF reçoit les données de la requête comprenant notamment le montant et le code ALEA.
Une validation de la transition 305 active une étape 306 de recherche dans laquelle le SSTF (ou le réseau de SSTF) vérifie la validité du code ALEA et contrôle le montant avec sa devise. Optionnellement, on peut aussi effectuer un contrôle du hashdata. Après avoir effectué positivement tout contrôle et vérification, le serveur SSTF sécurisé retourne à l'ordinateur de banque B (HOST- GDG) une autorisation avec le montant et le numéro d'identification de Carte Bancaire (PAN pour Personal Authentication Number en anglais) du « Payeur », c'est-à- dire de la personne E. La transaction à laquelle est relative la validation de la transition 305 peut être retrouvée par indexation du code ALEA si il est pseudo aléatoire de façon à être univoque, par indexation du montant sur un premier niveau puis du code ALEA sur un deuxième niveau. De préférence, la transaction est retrouvée par indexation du code nominatif univoque spécialement transmis à cet effet par la personne R sur le terminal B. Une transition 601 d'approbation est validée lorsque l'ordinateur de banque B reçoit le montant approuvé par le serveur SSTF sécurisé.
Une validation de la transition 601 active une étape 602 dans laquelle l'ordinateur de banque B émet à destination du terminal B, une réponse à la requête d'autorisation. La réponse peut être élaborée de différentes manières, par exemple par retransmission directe du montant approuvé au terminal B. De préférence lorsque le montant approuvé est accompagné du PAN de la personne E, l'ordinateur de banque B commence par re ¬ router la requête d'autorisation sous forme modifiée avec le numéro de Carte Bancaire du « Payeur » vers son serveur d'autorisation (HOST-SA) standard de façon à remonter jusqu'à l'ordinateur de banque A du « Payeur » selon les schémas standards d'autorisation. Dans ce cas particulier, ce n'est qu'à réception de l'autorisation en provenance de l'ordinateur de banque A que l'ordinateur de banque B émet à destination du terminal B, l'autorisation de délivrer les fonds, c'est-à-dire de remettre la somme d'argent qui fait l'objet du transfert.
Une transition 505 d'autorisation est validée lorsque le terminal B reçoit une réponse positive à la requête d'autorisation qu'il avait émise en étape 504.
Une validation de la transition 505 active une étape
506 de distribution dans laquelle le terminal B effectue un dernier contrôle et procède à la délivrance de la somme d'argent, par exemple en distribuant des billets de banques en quantité correspondante au montant de la somme transférée. Lorsqu'il est réalisé sous forme d'un automate bancaire, le terminal B vérifie de manière classique l'autorisation reçue de l'ordinateur de banque B (HOST-GDG) pour effectuer le dernier contrôle.
Une transition 507 de retrait est validée lorsque la personne R retire les billets.
Une validation de la transition 507 active une étape 508 dans laquelle le terminal B génère un compte rendu de transaction qu'il transmet à l'ordinateur de banque B et optionnellement au serveur SSTF sécurisé.
Une transition 603 de confirmation est validée lorsque l'ordinateur de banque B reçoit le compte rendu.
Une validation de la transition 603 active une étape
604 dans laquelle l'ordinateur de banque B effectue une compensation de la somme d'argent avec l'ordinateur de banque A de manière connue.
Une transition 307 de confirmation est validée lorsque le serveur SSTF sécurisé reçoit le compte rendu.
Une validation de la transition 307 active une étape 308 optionnelle dans laquelle le serveur SSTF sécurisé notifie un avis de retrait effectué à la personne E. Si le numéro du téléphone 7 de la personne 11 est mémorisé dans le serveur SSTF sécurisé 3, le serveur SSTF sécurisé peut notifier l'avis de retrait effectué directement sur le téléphone 7, par exemple par envoi d'un SMS.
On notera que contrairement à certains procédés de l'état antérieur de la technique dans lesquels des informations comprenant un secret et une identification de transaction, sont transmises d'un "payeur" vers un "payé" par un seul canal avec pour inconvénient de favoriser l'interception, dans le procédé et le système de l'invention, un code obtenu par une fonction de hachage pour sceller un ensemble d'éléments de la transaction, est acheminé par un deuxième canal, en l'occurrence un SMS, différent d'un premier canal d' acheminement du code secret partagé par les personnes E et R en se fondant sur une reconnaissance mutuelle. Ce code haché qui signe la transaction et sert d' identification de la transaction coté « payé », ne peut être généré et vérifié que par le serveur SSTF. Ce code haché qui constitue le deuxième code de retrait, ne peut être reconstruit qu'à condition de posséder les clés du serveur SSTF ayant servi à le générer et les données remontées soit par le canal voix (notamment le secret,...) soit par le canal SMS (OTP, Montant, N° mobile du payé,...) .
Le SMS est un moyen efficace de transmettre les données au « payé », à savoir la personne R qui aura toute facilité à les reproduire lors du retrait. Mais elles restent inutilisables sans le secret, à savoir le premier code de retrait qui transite par le canal voix.
A supposer que la personne E décide d'envoyer le secret, en d'autres termes le code ALEA lui aussi par SMS à la personne R présentant en conséquence un risque d' interception des deux SMS en cas de corruption du canal de transmission alors unique, l'invention propose des mesures complémentaires de sécurisation expliquées ci- après .
D'autre part le procédé de l'invention pâlie d'éventuelles méprises sur 1 ' authentification de la personne R suite à une erreur sur le numéro de téléphone de la personne R, en imposant à la personne E de composer deux fois le numéro du «payé», à savoir une fois sur le premier terminal, notamment sur l'automate bancaire pour lequel la personne E ne peut pas utiliser son répertoire téléphonique, évitant ainsi les erreurs de sélection dans un annuaire, et une fois sur son téléphone mobile pour l'appel vocal ou l'envoi par SMS si la personne E décide d'utiliser ce canal en absence de moyens pour l'en empêcher .
Si la personne E fait une erreur lors de la saisie du numéro de téléphone de la personne R sur automate, le SMS de transmission du ticket à partir du serveur SSTF peut atteindre un destinataire non désiré mais le SMS sera inutilisable sans le secret constitué par le premier code de retrait ALEA.
Si la personne E fait une erreur de sélection lors de la transmission du secret par le canal voix, la personne E reconnaîtra tout de suite son erreur par exemple en détectant une voix inconnue. Si la personne E fait une bonne saisie du numéro de la personne R sur l'automate et décide ensuite de transmettre le secret, à savoir le premier code de retrait ALEA par SMS. Une éventuelle erreur sur le numéro de la personne R commise par la personne E à partir de son téléphone mobile 7, est sans conséquence néfaste car le destinataire erroné recevra un secret dont il ne saura que faire sans disposer du SMS transmis à partir du serveur SSTF.
Si la personne E fait une mauvaise saisie sur l'automate puis décide de transmettre le secret par SMS en sélectionnant le bon numéro de la personne R, le réceptionnaire du premier SMS ne pourra pas en faire usage sans le secret.
On considère aussi le risque d'erreur si la personne
E utilise deux fois le même mauvais numéro tant sur l'automate pour créer la transaction que sur son téléphone mobile pour transmettre le secret à la personne R, le destinataire erroné disposant alors de toutes les informations utiles pour faire le retrait.
Bien que le risque ci-dessus considéré est limité par le fait que la personne R est un familier de la personne E et que la personne E dispose en ce cas d'un numéro correct dans son annuaire, sans avoir à taper le numéro en direct sur son téléphone mobile, on peut améliorer le procédé en contrant ce risque par les moyens suivants .
On ajoute un critère de localisation de l'automate où le retrait peut-être effectué. Le destinataire erroné a peu de chance d'être à proximité de l'automate localisé pour faire le retrait dans les délais prévu par la plage temporelle .
De préférence, le procédé peut prévoir un pré enregistrement, coté gestionnaire de GAB de la banque de la personne E, des numéros de mobile de personnes R potentiellement autorisés à recevoir des transferts d'argent. Cette option peut présenter un avantage dans le cadre d'une législation sur le transfert de devises et du blanchiment d'argent.
En référence à la figure 4, un équipement personnel émetteur attribué à la personne émettrice (ci-après équipement personnel E) initialement dans une étape 700 d'attente, exécute des étapes du procédé, dites d'enrôlement qui permettent à la personne émettrice (E) d'émettre un ordre pour remettre à une personne réceptrice (R) éloignée, des moyens d'accéder à un sous- compte de compte associé à l'équipement personnel E sous le contrôle du serveur sécurisé SSTF. Typiquement, l'équipement personnel E est le téléphone mobile 7 de la figure 1 qui héberge un programme d'accès sécurisé au compte contrôlé par le serveur sécurisé 3. Le programme d'accès sécurisé comprend des instructions exécutables par un microprocesseur de l'équipement personnel sous forme de script ou de préférence sous forme d' applet afin de mettre en œuvre le procédé de l'invention. En comparaison d'un script de nature interprétée, l' applet de nature compilée présente l'avantage d'une plus grande rapidité et d'une meilleure convivialité d'exécution. L' applet est préalablement chargé par un processus de téléchargement connu dans le domaine technique. La personne E est typiquement la personne émettrice 11 et la personne R est alors la personne réceptrice 22 de la figure 1.
Une transition 725 de signalement, est validée lorsque la personne E active l' applet sur son équipement personnel. L' applet installé sur l'équipement personnel comprend par exemple les instructions et les données, de préférence sous forme chiffrée, qui permettent d'émuler , en liaison avec les données du compte de la personne E ouvert dans la base de données du serveur sécurisé SSTF, une carte conforme à la norme EMV ou à une autre norme assurant une interopérabilité internationale de transactions monétaires. Les informations personnelles mémorisées sur le support sont corrélées à un code confidentiel (E-PIN pour Electronic Personal
Identification Number) détenu secrètement par la personne E ou à tout autre type d' identificateur comprenant notamment des données biométriques telles qu'une empreinte digitale, des veines de la main, un fond de l'œil ou une iris qui distinguent de manière univoque la personne E au sein du genre humain.
Une validation de la transition 725 active une étape 726 d'interrogation dans laquelle l'applet activé sur l'équipement personnel, affiche un menu de différentes fonctions disponibles de télétransmission parmi lesquelles on peut citer à titre non exhaustif, celles qui portent sur un objet qui est une somme d'argent ou sur un objet qui est un sous-compte du compte principal accessible par le code confidentiel E-PIN.
Une transition 727 est validée lorsque la personne émettrice sélectionne dans le menu, une fonction d'ajout de bénéficiaire de compte.
Une validation de la transition 727 active une étape 728 qui retransmet la demande d'ajout au serveur sécurisé SSTF, typiquement au serveur 3 de la figure 1.
Une transition 319 est validée lorsque le serveur SSTF reçoit la demande d'ajout.
Une validation de la transition 319 active une étape 320 dans laquelle le serveur sécurisé émet à destination de l'équipement personnel une demande de code E-PIN.
Une transition 729 est validée lorsque l'équipement personnel reçoit la demande de code E-PIN en provenance du serveur sécurisé SSTF.
Une validation de la transition 729 active une étape
732 dans laquelle l'applet activé sur l'équipement personnel émetteur, demande à la personne émettrice 11 de saisir son code confidentiel E-PIN, par exemple sur un clavier de l'équipement personnel E.
Une transition 733 d'identification est validée lorsque la personne E a communiqué son identificateur à son équipement personnel. Une validation de la transition 733 active une étape 734 d' authentification dans laquelle l'équipement personnel transmet l'identificateur E-PIN au serveur SSTF, de préférence sous forme chiffrée par un module cryptographique de l'équipement personnel. L'étape 734 consiste à demander au serveur sécurisé, un code de retrait temporaire à usage unique de type aléatoire ou pseudo aléatoire et nommé ALEA pour la circonstance. Le code de retrait temporaire permettra à la personne réceptrice 22 de retirer des paramètres d'accès au sous- compte ou d'accès limité au compte principal. La transmission de l'identificateur E-PIN au serveur SSTF est accompagnée du numéro identité internationale d'équipement mobile IMEI (International Mobile Equipment Identity) de l'équipement personnel émetteur.
Une transition 321 est validée lorsque le serveur sécurisé reçoit le code E-PIN et le numéro IMEI.
Une validation de la transition 321 active une étape 322 dans laquelle le serveur sécurisé recherche le compte utilisateur associé au numéro IMEI et vérifie que le code E-PIN permet d'accéder au compte utilisateur retrouvé. Si la vérification est positive, le serveur sécurisé génère le code ALEA et conserve en mémoire le code ALEA ou une graine de génération de ce code. Ce code ALEA est différent et totalement indépendant d'autres codes ALEA généré à d'autres instants dans l'étape 322 pour d'autres utilisateurs ou généré pour d'autres usages dans d'autres étapes, par exemple dans l'étape 302. Le code ALEA n'est pas nécessairement généré dans l'étape 322 mais peut aussi l'être à une étape ultérieure 332 expliquée plus loin dans la description. En effet, à l'issue de l'étape 322, le serveur sécurisé envoie à l'équipement personnel, de préférence simplement un acquittement de code E-PIN correct, par exemple sous forme d'un jeton E conforme à la norme EMV.
Une transition 735 est validée lorsque l'équipement personnel E reçoit le jeton E. Une validation de la transition 735 active une étape 738 dans laquelle l'équipement personnel E qui poursuit l'exécution de l'applet activé, demande à la personne émettrice de spécifier le bénéficiaire à ajouter comme utilisateur secondaire R.
Une transition 739 est validée lorsque la personne émettrice pratique sur l'équipement personnel E, une saisie d'adresse d'équipement personnel récepteur (R) , par exemple sous forme d'un numéro de téléphone mobile lorsque l'équipement personnel R est le téléphone mobile 4. La personne émettrice saisit aussi un nom alias d'utilisateur autorisé du compte, de préférence sous contrôle de la personne émettrice qui est le titulaire du compte à titre principal.
Une validation de la transition 739 active une étape
740 dans laquelle l'équipement personnel E envoie au serveur sécurisé, l'adresse et le nom alias, éventuellement accompagnés du jeton E.
Une transition 331 est validée lorsque le serveur sécurisé reçoit les données émises dans l'étape 740.
Une validation de la transition 331 active une ou plusieurs étapes 332, 333, 334.
L'étape 333 consiste à créer une structure de donnée contenant un identificateur de transaction, l'adresse de destination qui de préférence est un numéro de téléphone mobile d'utilisateur secondaire, le numéro IMEI d'utilisateur principal en d'autres termes de l'équipement personnel émetteur, le code de retrait ALEA, une plage horaire d'enrôlement et des données de hachage.
L'étape 332 consiste à envoyer le code ALEA vers l'équipement personnel émetteur en utilisant de préférence une authentification MS-ISDN (acronyme de Mobile Station Integrated Services Digital Network en anglais) . Lorsque l'équipement personnel E est le téléphone mobile 7, le code ALEA est envoyé dans un SMS.
L'étape 334 consiste à envoyer par message court SMS à l'équipement personnel R attribuable à la personne réceptrice, un ticket comprenant au moins la plage horaire et les données de hachage .
Une transition 741 est validée lorsque l'équipement personnel E reçoit le code de retrait ALEA.
Une validation de la transition 741 active une étape
742 qui consiste à afficher visuellement ou vocalement le code ALEA pour information de la personne émettrice.
Une transition 411 est validée lorsque l'équipement personnel R reçoit le message associé au ticket.
Une validation de la transition 411 active une étape
412 qui consiste à signaler la réception du message contenant des données qui comprennent notamment la plage horaire et les données de hachage pour information de la personne réceptrice. De préférence, cette opération n'est possible qu'en présence d'un guichet de banque de façon à permettre une opération de contrôle complémentaire par intervention humaine.
En référence à la figure 5, une transition 411 est validée lorsque la personne réceptrice effectue une ouverture du message reçu en étape 412.
Une validation de la transition 411 active une étape 412 qui affiche le message SMS sur un écran de l'équipement personnel R. Le texte du message contient une demande de saisir le code de retrait ALEA.
De manière périphérique, la personne émettrice appelle la personne réceptrice sur son équipement personnel R. Lorsque la personne réceptrice décroche, la personne émettrice reconnaît le timbre de sa voix ou sa physionomie lorsque la visioconférence est possible. La personne émettrice peut ainsi s'assurer que l'équipement personnel récepteur est attribué à la bonne personne réceptrice. Après s'être assurée de la personne réceptrice, la personne émettrice lui communique le code de retrait ALEA de sorte que la personne réceptrice peut alors saisir le code ALEA dans le corps du message ouvert dans l'étape 412. Une transition 413 est validée lorsqu'un message de réponse contenant les données et le code ALEA est mis dans la boîte d'envoi de l'équipement personnel émetteur. Le message reçu contenant déjà les données, il suffit à la personne réceptrice de le compléter avec le code ALEA pour le renvoyer sous forme de message de réponse.
Une validation de la transition 413 active une étape 414 qui consiste à envoyer une requête de titularisation au serveur sécurisé SSTF sous forme du message de réponse contenant les données et le code ALEA.
Une transition 335 est validée lorsque le serveur sécurisé reçoit les données et le code ALEA en provenance de l'équipement personnel R.
Une validation de la transition 335 active une étape 336 dans laquelle le serveur sécurisé SSTF contrôle la plage horaire et vérifie que le code ALEA est corrélé avec les données de hachage . On peut envisager un contrôle manuel auprès de l'opérateur pour identifier l'utilisateur secondaire avec son identité réelle. Après vérification positive, le serveur sécurisé SSTF crée un numéro de carte virtuelle associée au compte de la personne émettrice et appairée avec l'équipement personnel R de la personne réceptrice alors répertoriée avec le nom allias précédemment communiqué. La carte virtuelle peut être à multi usage ou à usage unique avec un numéro d'identification personnel PAN (acronyme de Personal Authentication Number en anglais) généré immédiatement ou ultérieurement selon le type d'usage. Le serveur sécurisé envoie ensuite une confirmation de création de compte par SMS vers l'équipement personnel de la personne émettrice qui est l'utilisateur principal et vers l'équipement personnel de la personne réceptrice qui est l'utilisateur secondaire.
La réception d'un premier SMS de confirmation par l'équipement personnel de la personne émettrice valide une transition 747 qui active une étape 748 d'avis de titularisation effectuée. La réception d'un deuxième SMS de confirmation par l'équipement personnel de la personne réceptrice valide une transition 417 qui active une étape 418 d'avis de titularisation effectuée comprenant une mémorisation ou un affichage du numéro de carte virtuelle contenu dans le deuxième SMS de confirmation.
A partir de cette étape, un retrait d'argent sur un terminal bancaire avec l'équipement personnel R peut se faire en utilisant un procédé connu de retrait basé sur un téléphone mobile qui émule une carte bancaire virtuelle ou en utilisant un procédé basé sur celui précédemment expliqué en référence à la figure 3.
Pour augmenter la sécurité et permettre un contrôle de chaque retrait par l'utilisateur principal, le serveur sécurisé peut générer un numéro d'identification personnel temporaire T-PIN pour chaque retrait sur le modèle du code ALEA qui est communiqué chaque fois oralement par l'utilisateur principal à l'utilisateur secondaire .
La figure 6 montre les étapes essentielles du procédé conforme à l'invention qui s'applique aussi bien au premier mode de réalisation présenté en référence aux figures 2 et 3, au deuxième mode de réalisation présenté en référence aux figures 4 et 5 ou à tout autre mode de réalisation qui nécessite de s'assurer qu'un équipement personnel récepteur participant à une télétransmission est effectivement attribué à la personne réceptrice qu'une personne émettrice souhaite faire bénéficier de l'objet de la télétransmission.
Le procédé de télétransmission sécurisée ordonnée par la personne émettrice 11 à destination de la personne réceptrice 22 comprend des étapes de préparation qui sont exécutées au moyen d'un premier appareil électronique dont dispose la personne émettrice pour ordonner la télétransmission.
A partir d'une étape 800 de veille du premier appareil électronique, une transition 809 est validée lorsque la personne émettrice indique l'objet sur lequel porte la télétransmission et l'adresse, le numéro de téléphone ou tout autre type adapté de coordonnées de l'équipement personnel récepteur.
Une validation de la transition 809 active une étape
810 qui consiste à émettre une requête de télétransmission au serveur sécurisé SSTF initialement dans l'étape de veille 300.
Dans le mode de réalisation des figures 2 et 3, le premier appareil électronique est typiquement le premier terminal bancaire 1. Dans le mode de réalisation des figures 4 et 5, le premier appareil électronique est typiquement le téléphone mobile 7.
Dans le serveur sécurisé 3 qui est le pivot des mode de réalisation permis par l'invention, une première étape principale 802 et une deuxième étape principale 804 sont activées par une transition 801 qui est validée lorsque le serveur sécurisé 3 reçoit du premier appareil électronique, la première requête contenant le code de désignation de l'objet et l'adresse de l'équipement personnel récepteur attribuable à la personne réceptrice. L'équipement personnel récepteur est typiquement le téléphone mobile 4.
La première étape principale 802 qui correspond à l'étape 302 de la figure 2 ou à l'étape 332 de la figure 4, consiste essentiellement à fournir au premier appareil électronique, un code de retrait ALEA.
La deuxième étape principale 804 qui correspond à l'étape 304 de la figure 2 ou à l'étape 334 de la figure 4, consiste essentiellement à fournir à l'équipement personnel récepteur, un ticket contenant des données qui comprennent au moins le code de désignation de l'objet sur lequel porte la télétransmission en clair ou crypté.
La réception du code ALEA dans le premier appareil électronique, valide une transition 811 qui active une étape 812 consistant essentiellement à afficher le code ALEA de façon à le porter à la connaissance de la personne émettrice.
La réception de tout ou partie du ticket dans l'équipement personnel récepteur, valide une transition 461 qui active une étape 462 consistant essentiellement à mémoriser dans l'équipement personnel récepteur, voir à afficher les données du ticket qui sont utiles à l'exécution de la télétransmission depuis l'équipement personnel récepteur.
L'équipement personnel E, typiquement le téléphone mobile 7, est ensuite utilisé pour exécuter une première étape périphérique 762 activée par une transition 761 qui est validée lorsque la personne émettrice 11 lance un appel vers l'équipement personnel récepteur R, typiquement le téléphone mobile 4.
L'équipement personnel R, typiquement le téléphone mobile 4, est ensuite utilisé pour exécuter une deuxième étape périphérique 464 activée par une transition 463 qui est validée lorsque la personne réceptrice 22 prend l'appel lancé à partir de l'équipement personnel émetteur E.
Les étapes périphériques 762 et 464 consistent essentiellement à permettre à la personne émettrice 11 de reconnaître la personne réceptrice 22 de façon à s'assurer que l'équipement personnel récepteur R est effectivement attribué à la personne réceptrice 22 de façon à lui communiquer le code de retrait ALEA vocalement ou télévisuellement pour un malentendant.
Un deuxième appareil électronique initialement dans une étape de veille 900, typiquement le terminal bancaire 5 pour la réalisation des figures 2 et 3 ou le téléphone mobile 4 pour la réalisation des figures 4 et 5, est utilisé pour effectuer une étape 904 de communication du code ALEA et des données par la personne réceptrice au serveur sécurisé. L'étape 904 est activée par une transition 903 qui est validée lorsque les données et le code ALEA sont introduits dans le deuxième appareil électronique .
Lorsque le deuxième appareil électronique est le terminal bancaire 5, les données affichées dans l'étape 462 et le code ALEA communiqué dans l'étape 464, sont introduits par la personne réceptrice.
Lorsque le deuxième appareil électronique est le téléphone mobile 4, les données mémorisées dans l'étape 462 résident déjà dans le deuxième appareil électronique. Seul le code ALEA communiqué dans l'étape 464, est introduit par la personne réceptrice.
Une troisième étape principale 366 est activée par une transition 365 qui est validée lorsque le serveur sécurisé 3 reçoit du deuxième appareil électronique 4 ou 5, le code de retrait ALEA et tout ou partie desdites données comprenant au moins le code de désignation de l'objet sous forme de deuxième requête.
La troisième étape 366 qui correspond à l'étape 306 de la figure 2 ou à l'étape 336 de la figure 3, consiste essentiellement à vérifier une concordance entre le code de retrait ALEA et au moins le code de désignation de l'objet pour fournir l'objet de la télétransmission à la personne réceptrice 22 lorsque la concordance des codes est positivement vérifiée.
Accessoirement, une étape 764 est activée par une transition 763 qui est validée lorsque l'équipement personnel E reçoit un compte rendu de la télétransmission en provenance du serveur sécurisé 3. L'étape 764 consiste essentiellement à afficher le compte-rendu.