La présente invention concerne un procédé et un système de sécurisation d'un paiement réalisé à l'aide d'une carte de paiement.

Un tel paiement se fait aujourd'hui par introduction dans le service de paiement par exemple d'un certain nombre d'informations telles que par exemple le numéro de la carte, la date limite de validité ou d'expiration de celle-ci et un cryptogramme de sécurisation.

Ces informations sont réparties par exemple sur chaque face de la carte, ce qui permet d'améliorer la sécurité de ce paiement car il est alors difficile d'avoir accès à toutes les informations requises pour valider un paiement par exemple frauduleux.

Ainsi par exemple certaines informations comme le numéro de la carte et la date limite peuvent être portées par une face de la carte tandis que le cryptogramme est porté par l'autre face de celle-ci.

Mais la récupération de toutes ces informations n'est pas complètement impossible ce qui se traduit par des problèmes de sécurisation générale de ce type de paiement.

Le but de l'invention est donc de résoudre ces problèmes.

A cet effet l'invention a pour objet un procédé de sécurisation d'un paiement réalisé à l'aide d'une carte de paiement associée à des données d'identification de la carte et à un cryptogramme de sécurisation, caractérisé en ce qu'il comporte une étape d'accès à des moyens formant serveur bancaire pour la génération dynamique du cryptogramme de sécurisation du paiement.

Le procédé selon l'invention peut comprendre l'une ou plusieurs des caractéristique(s) suivante(s), prise(s) isolément ou suivant toute(s) combinaison(s) techniquement possible(s) :

- il comporte une étape d'accès aux moyens formant serveur bancaire pour l'activation de la carte ;

- la génération/l'activation est déclenchée à l'initiative de l'utilisateur ;

- l'étape d'accès comporte:

- une étape d'introduction par l'utilisateur, de données d'identification,

- une étape de mise en relation vocale de l'utilisateur et des moyens formant serveur, et

- une étape d'authentification vocale de l'utilisateur pour valider ou non l'accès aux moyens formant serveur, par celui-ci ; - l'étape d'introduction par l'utilisateur de données d'identification comprend une étape d'introduction par celui-ci d'un code de connexion ;

- le code de connexion a été fourni à l'utilisateur par les moyens formant serveur, lors de l'enregistrement de cet utilisateur dans ces moyens formant serveur ;

- l'étape de mise en relation vocale de l'utilisateur et des moyens formant serveur, comporte une étape d'appel de l'utilisateur identifié à un numéro de téléphone préenregistré ;

- l'étape d'authentification vocale comporte la détermination de l'empreinte vocale de l'utilisateur, pour authentifier ou non cet utilisateur ;

- l'étape d'authentification vocale comporte l'acquisition par les moyens formant serveur, de messages préétablis dictés par l'utilisateur et la comparaison de ces messages acquis à des messages préenregistrés dans les moyens formant serveur par l'utilisateur, pour authentifier ou non cet utilisateur.

Selon un autre aspect l'invention a également pour objet un système pour la mise en œuvre d'un tel procédé.

L'invention sera mieux comprise à l'aide de la description qui va suivre donnée uniquement à titre d'exemple et faite en se référant aux dessins annexés sur lesquels :

- la figure 1 représente un schéma synoptique illustrant la structure et le fonctionnement d'un procédé et d'un système d'accès à des moyens formant serveur bancaire,

- les figures 2 et 3 représentent des interfaces graphiques illustrant l'accès à ces moyens formant serveur bancaire,

- les figures 4 et 5 représentent des interfaces graphiques illustrant l'enrôlement d'une carte bancaire auprès de ces moyens formant serveur bancaire,

- les figures 6 à 9 illustrent la génération dynamique et l'utilisation d'un cryptogramme de sécurisation d'un paiement à l'aide d'une carte bancaire, et

- les figures 10 à 12 représentent des interfaces graphiques illustrant l'activation d'une carte bancaire auprès de ces moyens formant serveur bancaire.

On a en effet illustré sur ces figures, un procédé et un système de contrôle de l'accès par un utilisateur à des moyens formant serveur notamment bancaire.

Cet accès se fait par exemple par l'intermédiaire de moyens informatiques, téléphoniques ou autre que l'utilisateur a à sa disposition.

Sur la figure 1 , les moyens formant serveur bancaire sont désignés par la référence générale 1 , tandis que l'utilisateur a à sa disposition un outil tel qu'un ordinateur muni de moyens d'introduction dans les moyens formant serveur, de données d'identification. C'est ainsi par exemple que cet ordinateur est désigné par la référence générale 2 sur la figure 1 , et est raccordé par exemple à travers un réseau de transmission d'informations par exemple 3 aux moyens formant serveur 1 .

L'utilisateur dispose également par exemple d'un téléphone tel qu'un téléphone mobile désigné par la référence générale 4.

En fait dans le procédé et le système selon l'invention, les moyens formant serveur sont associés à des moyens d'enregistrement de cet utilisateur dans ces moyens formant serveur, ces moyens d'enregistrement étant désignés par la référence générale 5 sur cette figure 1 .

Ces moyens d'enregistrement permettent alors par exemple à un opérateur des moyens formant serveur bancaire, d'entrer dans ceux-ci, des informations relatives à un utilisateur à enregistrer et en particulier par exemple un numéro de téléphone auquel l'utilisateur peut être contacté.

En réponse à l'enregistrement de cet utilisateur dans les moyens formant serveur bancaire, ceux-ci émettent à destination de l'utilisateur un code de connexion tel que par exemple un identifiant.

Cet identifiant est ensuite utilisé par l'utilisateur lorsqu'il souhaite se connecter aux moyens formant serveur bancaire.

Cet identifiant est ainsi par exemple introduit les moyens formant serveur par l'utilisateur à travers l'ordinateur 2, lorsqu'il souhaite accéder à ces moyens formant serveur et plus particulièrement aux services, opérations ou comptes... fournis ou gérés par ceux-ci.

Bien entendu d'autres modes de réalisation peuvent être envisagés, l'utilisateur pouvant également utiliser un téléphone tel que le téléphone mobile 4 pour introduire cet identifiant.

Après cette étape d'introduction par l'utilisateur de ses données d'identification, il est prévu une étape de mise en relation vocale de l'utilisateur et des moyens formant serveur.

A cet effet les moyens formant serveur appellent l'utilisateur au numéro de téléphone préenregistré et prérenseigné dans ces moyens formant serveur lors de l'enregistrement de l'utilisateur par exemple par l'opérateur.

Ces moyens formant serveur appellent alors par exemple le téléphone mobile de l'utilisateur, désigné par la référence générale 4, ce qui permet à l'utilisateur d'entrer en relation vocale et de s'authentifier par la voix auprès des moyens formant serveur.

Plusieurs façons d'authentifier l'utilisateur peuvent alors être envisagées. Ainsi par exemple, l'empreinte vocale de l'utilisateur peut être déterminée à partir d'une ou de phrases prononcées par celui-ci, pour assurer cette authentification. A titre d'exemple une phrase du type : « Bonjour. Prénom, nom. Je m'authentifie par ma voix », peut être utilisée comme cela sera décrit plus en détails par la suite.

Selon un autre mode de réalisation, l'utilisateur peut également être amené par exemple à dicter un ou des messages préétablis, les moyens formant serveur mettant alors en œuvre une étape d'acquisition de ces messages dictés et une étape de comparaison de ces messages acquis à des messages préenregistrés dans les moyens formant serveur par l'utilisateur, pour authentifier ou non cet utilisateur comme cela est illustré sur cette figure 1 .

Les moyens d'acquisition des messages dictés par l'utilisateur sont désignés par la référence générale 6 sur cette figure 1 , et ceux-ci sont comparés en 7 à des messages préenregistrés et stockés dans des moyens désignés par la référence générale 8, pour authentifier ou non l'utilisateur et permettre l'accès aux moyens formant serveur ou non à l'utilisateur.

Ce fonctionnement en authentification et accès sécurisés est par exemple également illustré sur les figures 2 et 3.

La figure 2 illustre en effet la connexion de l'utilisateur, celui-ci étant invité à entrer son identifiant tel que son code de connexion par exemple en 9 et à valider celui-ci, pour être appelé sur son téléphone par les moyens formant serveur.

Une fois en relation vocale avec les moyens formant serveur, l'utilisateur dicte alors un ou plusieurs messages ou phrases pour s'authentifier auprès des moyens formant serveur bancaire, ce qui, si c'est le cas c'est-à-dire si l'utilisateur est authentifié, comme cela est illustré sur la figure 3, donne à l'utilisateur l'accès à différents services opérations, comptes.... Proposés et/ou gérés par les moyens formant serveur bancaire pour l'utilisateur.

L'un des services proposés par les moyens formant serveur est par exemple un service d'enrôlement d'une ou de plusieurs cartes bancaires de l'utilisateur comme cela est illustré sur la figure 4.

Lorsque l'utilisateur active ce service ou déclenche le fonctionnement de cette opération, il convient alors à l'utilisateur d'entrer par exemple le numéro de la carte dans ces moyens formant serveur, afin d'enrôler celle-ci auprès des moyens formant serveur, comme illustré sur la figure 5.

On conçoit alors que ce procédé et ce système de contrôle d'accès permettent d'améliorer la sécurité d'accès aux moyens formant serveur bancaire d'une façon générale. En effet, l'utilisateur doit non seulement entrer un code de connexion mais également s'authentifier de façon vocale auprès des moyens formant serveur bancaire avant d'accéder aux différentes opérations, services ou comptes mis à disposition ou gérés par ces moyens formant serveur.

Ainsi par exemple l'un de ces services ou l'une de ces opérations peut être un service de génération dynamique d'un cryptogramme de sécurisation d'un paiement à l'aide de la carte bancaire par exemple qui a été enrôlée comme décrit précédemment auprès des moyens formant serveur par l'utilisateur.

Ceci est par exemple illustré sur les figures 6 à 9.

La figure 6 illustre l'activation du service à l'initiative de l'utilisateur par sélection par exemple de ce service dans une liste de services, opérations, comptes ou autres, proposée à l'utilisateur.

Comme illustré sur la figure 7, l'utilisateur sélectionne ensuite la carte bancaire qu'il va utiliser pour assurer un paiement quelconque, par exemple sur un site marchand ou autre.

Cette carte bancaire est par exemple sélectionnée en utilisant et en saisissant son numéro.

Une fois la carte bancaire sélectionnée, il est alors possible aux moyens formant serveur de lancer la génération dynamique d'un cryptogramme de sécurisation d'un paiement à l'aide de cette carte bancaire comme cela est illustré sur les figures 8 et 9.

Le cryptogramme est alors affiché à l'utilisateur (figure 8) qui peut ainsi le saisir pour valider et sécuriser un paiement (figure 9).

Ceci permet d'éviter que le cryptogramme soit porté et affiché de façon permanente par la carte avec les problèmes de sécurité correspondants.

En effet le cryptogramme de sécurisation du paiement par carte bancaire est de façon habituelle, imprimé sur le dos de la carte bancaire ce qui le rend facile d'accès et constitue une faille de sécurité.

Dans le système selon l'invention le cryptogramme est généré de façon dynamique, à la demande de l'utilisateur, et n'est donc pas imprimé de façon permanente sur la carte.

Ce cryptogramme peut alors avoir des attributs de validité prédéterminés.

Ainsi par exemple sur la figure 8, on peut constater que ce cryptogramme est associé à un message indiquant les attributs de validité du cryptogramme généré à l'utilisateur, celui-ci étant par exemple valable une fois durant quinze minutes pour assurer un paiement à l'aide de la carte. On conçoit ainsi que cette génération dynamique d'un cryptogramme de sécurisation permet d'améliorer la sécurité d'utilisation des cartes bancaires.

Un autre service proposé par les moyens formant serveur est par exemple un service d'activation d'une ou plusieurs cartes bancaires comme cela est illustré sur les figures 10, 1 1 et 12.

Lorsque l'utilisateur active ce service ou déclenche le fonctionnement de cette opération comme illustré sur la figure 10, il lui convient alors d'entrer par exemple le numéro de la carte à activer dans les moyens formant serveur, comme illustré sur la figure 1 1 , afin d'activer celle-ci comme illustré sur la figure 12.

Par défaut la carte peut en effet être désactivée et n'être activée qu'à la demande de l'utilisateur ou par quelqu'un agissant pour le compte de cet utilisateur, comme par exemple son représentant légal ou autre.

Ceci permet également d'améliorer la sécurité d'utilisation de ces cartes.

Des attributs d'activation peuvent bien entendu être associés à celle-ci comme par exemple un nombre d'utilisations possible et/ou un montant maximum autorisé et/ou une durée limite d'utilisation et/ou une zone géographique d'utilisation, etc.

Ainsi par exemple sur la figure 12, il est indiqué que la carte a été activée avec succès et qu'elle peut être utilisée une fois durant quinze minutes. Bien entendu ceci n'est qu'un exemple et d'autres attributs peuvent être envisagés.