DES IDENTIFIANTS PERSONNELS ET DE SERVICES

Domaine de l'invention

La présente invention concerne le domaine des transactions électroniques à 1 ' aide d'un terminal connecté à un serveur. Elle concerne notamment le domaine du paiement électronique, du commerce électronique et plus généralement de tout type de transactions informatiques et accès sécurisé à une ressource numérique ou physique (par exemple contrôle d'accès).

La sécurité des transactions constitue un enjeu essentiel, et a donné lieu à de nombreuses solutions permettant de limiter les risques de fraudes en ce qui concerne l'auteur de la transaction ou la nature de la transaction .

Les solutions les plus usitées sont basées sur 1 'utilisation d'un jeton numérique enregistré sur un support physique contrôlé par l'utilisateur. Ce support physique est par exemple une carte à mémoire, une clé USB, un téléphone ou une tablette comportant une mémoire pour 1 'enregistrement du jeton. Cette solution est généralement insuffisante, car il suffit de dérober le support physique pour se substituer à 1 'utilisateur autorisé .

On a alors proposé des solutions d' authentification forte . Certaines combinent une authentification par jeton à un ou plusieurs autres moyens d' authentification, par combinaison « identifiant - mot de passe » , par envoi d'un code de validation par un canal distinct de celui utilisé pour la transaction ou encore par utilisation d'une information biométrique . Une autre solution d ' authentification forte s ' appuie sur 1 'utilisation d'un jeton unique et d' un algorithme de génération de mots de passe unique, à durée de vie courte, qui se synchronise avec une application cliente installée sur le poste de travail. Cet algorithme peut être installé sur une calculette se contentant alors d'afficher le code généré, sur une clé USB, qu'il faudra brancher à l'appareil, ou sur une carte à puces qui transmet le code par contact avec un appareil de lecture. Le mot de passe ainsi généré n'est valable que pour une période de temps de 1 à 2 minutes.

Il existe également des cartes reposant sur le principe du jeton unique, mais sans code à saisir pour l'utilisateur. La transmission de ce code s'effectue alors par ondes électromagnétiques, mais nécessite la mise en place d'un récepteur. Enfin, le principe du jeton est aussi appliqué sur des cartes plastiques imprimées. Sur ces cartes figurent une série de numéro et l'utilisateur découvre leur ordre d'entrée et la composition du code unique lors de la phase d' authentification. Le logiciel client se charge de lui indiquer la ligne et la colonne du chiffre à saisir pour s'authentifier.

Plus récemment, l'évolution des techniques de reconnaissance biométrique conduit a permis de développer des technologies d' authentification forte reposant sur des systèmes de capture d' images couplés à une base de données centrale stockant les informations personnelles. Ces technologies utilisent : - la reconnaissance digitale,

— la reconnaissance d'iris,

— la reconnaissance faciale et

— la reconnaissance vocale.

L'avantage de ces méthodes est clair t l'utilisateur a toujours sur lui ses "codes d' authentification" et ne peut les perdre ou les oublier. Toutes ces solutions sont basées sur une distinction entre « 1 ' identification » et « 1 ' authentification » .

L ' identification est réalisée soit par un jeton contenant dans son certificat des informations transmises au serveur, soit par la saisie d'un code personnel , de type

« PIN ».

L ' authentification est réalisée par une action distincte et complémentaire, destinée à valider la première information d' identification. Optionnellement, une troisième étape de certification est réalisée par un tiers de confiance pour vérifier si un utilisateur dûment identifié et authentifié est autorisé à utiliser un service.

Etat de la technique On connaît dans 1 ' état de la technique la demande de brevet internationale WO 1998015924 décrivant un moyen et un procédé conçus pour permettre à un client d' utiliser un système informatique pour entrer un numéro d' identification personnel (PIN) , un ou plusieurs échantillons biométriques d ' enregistrement, et un ou plusieurs de ses comptes bancaires . Au cours d'une étape de lancement, le client lance 1 ' accès à son compte à partir d' un guichet automatique (ATM) , d'un ordinateur personnel ou de tout autre dispositif d ' accès à un fichier financier, en entrant les informations relatives à son authentification, qui comprennent un PIN et au moins un échantillon biométrique d ' entrée en session. Aucun dispositif à mémoire artificielle portable, comme une carte à puce ou une carte magnétique, n'est nécessaire dans cette étape .

Au cours d' une étape de transmission, un message de demande d' accès au compte, comprenant les informations relatives à 1 ' authentification du client et d ' autres données, est envoyé à partir de 1 ' ATM à destination du système informatique . Après que le système informatique a reçu les informations relatives à 1 ' authentification personnelle contenues dans le message de demande d'accès au compte, les informations relatives à 1 ' authentification personnelle sont comparées aux échantillons biométriques entrés, afin d'accepter ou de refuser l'identification du client au cours d'une étape d'identification du client.

Si cette identification est acceptée, un numéro de compte bancaire du client est extrait, au cours d'une étape d'extraction. Le client est finalement autorisé à accéder à son compte bancaire après que son identification a été acceptée. Avec la présente invention, un client peut avoir accès à ses comptes bancaires sans nécessiter l'utilisation d'un jeton enregistré sur des dispositifs à mémoire portables, par exemple des cartes à puce ou des cartes magnétiques. Cette solution permet aux clients de choisir rapidement un compte parmi différents comptes bancaires.

On connaît aussi le brevet WO 2001027723 décrivant un procédé permettant 1 ' authentification d'un utilisateur par une plate-forme informatique contenant un composant éprouvé contenant un processeur sécurisé protégé contre toute interférence physique et logique. Ce procédé consistes

- pour le processeur sécurisé à authentifier un lecteur biométrique et à authentifier un jeton sécurisé contenant les données biométriques authentiques de 1 ' utilisateur;

- à saisir les données biométriques de 1 ' utilisateur à 1 ' aide du lecteur biométrique, et à transférer les données biométriques de 1 ' utilisateur ainsi saisies dans le processeur sécurisé;

- à transférer les données biométriques authentiques de 1 ' utilisateur dans le processeur sécurisé;

- à comparer les données biométriques authentiques de 1 ' utilisateur avec les données biométriques de 1 ' utilisateur saisies; - et, pour le processeur sécurisé, à authentifier l'utilisateur sur la base de la comparaison de ces données biométriques .

Le brevet américain US 6154879 décrit une méthode pour 1 ' accès sans jeton biométrique aux comptes financiers dans un établissement utilisant un guichet automatique.

Cette méthode comprend une étape d ' enregistrement de 1 ' utilisateur, dans lequel un utilisateur s ' enregistre avec un identifiant électronique associé à un ou plusieurs enregistrement d 'échantilIons biométriques et un ou plusieurs comptes d ' utilisateurs .

Au cours d' une étape d ' initiation, 1 ' utilisateur procède à un accès au compte à un guichet automatique en soumettant au moins un échantillon biométrique . L ' identifiant électronique associé à l'échantillon biométrique dans le message de demande d' accès à un compte auprès d' un échantillon biométrique d ' inscription, sont traités pour produire soit une identification réussi ou échoué de 1 ' utilisateur . Lors de 1 ' identification réussie de 1 ' utilisateur, au moins un compte financier de 1 ' utilisateur sont récupérées , et dans une étape d ' accès, après une identification réussie de 1 ' utilisateur et la récupération réussie de compte financier, 1 ' utilisateur est autorisé à accéder au compte financier de 1 ' utilisateur. On connaît également la demande de brevet internationale WO 2006111205 qui concerne un système de stockage de données qui permet de protéger la vie privée et de garantir la sécurité. Ce système comprend une pluralité de noeuds dans une architecture en réseaux, lesdits noeuds étant conçus pour communiquer et coopérer en toute sécurité entre eux de manière à permettre le stockage et 1 ' extraction de données . Une seule donnée biométrique est associée à un identificateur aveugle et divisée, de façon sécurisée, à travers au moins un noeud, pour le stockage de données. Les données mêmes et le lien avec l'individu d'origine, à partir de qui sont acquises les données biométriques, ne peuvent pas être obtenus sans coopération avec au moins deux noeuds.

On connaît encore l'article « JIANG PENG et al : an anonymous and efficient remote biométries user authentification scheroe in a multi serveur environment » paru dans FRONTIERS OF COMPUTER SCIENCE Springer Berlin Heidelberg, Vol. 9, n° 1, 20 décembre 2014, ISSN s 2095-2228, XP035435864.

Inconvénients des solutions de l'art antérieur

En premier lieu, les solutions de 1 'art antérieur présentent des failles au niveau du protocole d' identification et/ou d' authentification. Un attaquant peut réaliser des opérations malveillantes (exemple de la « Yes Card » ) en se faisant passer pour 1 'utilisateur autorisé .

D ' autres attaques existent au niveau des serveurs stockant les informations transactionnelles telles que le numéro de la carte, le cryptogramme, 1 ' identité du porteur,... Les solutions de 1 'art antérieur sont généralement basées sur 1 'utilisation d'une information numérique unique constituant un identifiant, associée à d ' autres informations numériques, notamment biométriques , pour 1 ' authentification de 1 ' identifiant . Les solutions de 1 'art antérieur présentent un problème technique majeur car elles ne permettent pas le stockage de données biométriques sous une forme qui assure à la fois leur sécurité et leur anonymisation.

Une des sources de vulnérabilité réside dans la gestion des identifiants. La connaissance de l'identifiant permet de franchir une première étape de la procédure d'autorisation à un service, l'information biométrique servant à 1 'étape suivante qui est 1 ' authentification de 1 'utilisateur ayant transmis — licitement ou frauduleusement — un identifiant valide. La sécurité de 1 ' identifiant dépend des mesures prises par l'utilisateur pour en conserver le caractère secret, et le cas échéant des moyens électroniques prévues sur le support physique de 1 ' identifiant lorsqu'il est enregistré sur une clé, une carte ou un équipement portable tel qu'un téléphone.

Les solutions de 1 'art antérieur présentent un second inconvénient qui concerne la sécurité des données biométriques authentiques enregistrées lors de la création d'un compte d'un utilisateur. Ces données sont généralement enregistrées dans une zone sécurisée DMZ du serveur, mais en cas d'attaque informatique, il reste possible de récupérer 1 'ensemble des données biométriques associées aux identifiants des utilisateurs .

Un troisième inconvénient réside dans le risque d' interception des données biométriques et de réuti1isation frauduleuse de ces données . Un quatrième inconvénient réside dans le risque de création d'un faux compte pour accéder à des services d'un utilisateur tiers .

Par ailleurs, toutes ces solutions de 1 'art antérieur sont basées sur une étape d' identification utilisant une information numérique attribuée de manière arbitraire à 1 'utilisateur, et vérifiée par un premier protocole distinct du protocole d ' authentification et le cas échéant du protocole de certification.

On accepte implicitement que 1 ' identification soit vulnérable et ne nécessite que peu de puissance de calcul sur 1 ' équipement de l'utilisateur, dans la mesure où la sécurité viendra de la robustesse du protocole d' authentification et optionnellement de certification, nécessitant des ressources traitement plus puissantes, mutualisées au niveau d'un serveur.

Solution apportée par l'invention Pour remédier à ces inconvénients, la présente invention concerne selon son acception la plus générale un procédé de transaction sécurisé sans support physique d'un identifiant de sécurité et sans jeton consistant à enregistrer sur un serveur biométrique B un profil biométrique P _± lié de manière intrinsèque à un utilisateur unique U _± , le ledit profil Pi étant associé à au moins un identifiant de service, enregistré sur un serveur S distinct du serveur biométrique B, ledit identifiant de service étant accessible par l'utilisateur U _A , et, lors d'une transaction, à acquérir le profil biométrique d'un utilisateur P _ir à le transmettre au serveur biométrique B pour comparaison avec les profils biométriques enregistrées et rechercher et activer sur le serveur de service S un service associé au profil P _A caractérisé en ce que l'étape d 'enregistrement d'un nouvel utilisateur comporte au moment de la réception par un serveur central d'un profil P _± , profil P _± , 1 ' exécution d'une étape de génération d'une clé maître , caractérisé en ce que ladite clé maître est une clé aléatoire X temporaire .

Le procédé selon 1 ' invention comporte avantageusement : une étape de génération d'un identifiant de référence IDR _X calculé par 1 ' application d'une fonction cryptographique de référence FR non réversible à ladite clé X et d 'enregistrement dans une table biométrique le couple unique (P _± , IDR _X ) enregistré sur le serveur biométrique B,

- une étape de génération d'un identifiant personnel IDP _X calculé par 1 'application d'une fonction cryptographique FP non réversible, distincte de la fonction de référence FR, à ladite clé aléatoire X et d'enregistrement dans une table d'identité du couple désigne les informations personnelles associées audit profil I ₁ , stockées sur un serveur P distinct du serveur biométrigue B, - une étape de génération d'au moins un identifiant de service IDSE _X calculé par 1 ' application d'une fonction cryptographique FSE non réversible, distincte des fonctions de référence FR et FP, à ladite clé aléatoire X et d ' enregistrement dans une table d ' identité du couple (SE.,, IDSE _X ) où SE _j désigne les services associés audit profil P ₁ , stockés sur au moins un serveur S distinct du serveur biométrigue B,

La réalisation d'une transaction comporte de préférence : - au moment de la réception par ledit serveur central d'un profil P _t , 1 'exécution d'une étape de recherche du couple (Pi, IDR _X ) sur le serveur biométrigue B et d'application de la fonction inverse FR ^-1 à la donnée IDR _X pour déterminer la clé X,

- puis la recherche, si nécessaire, sur le serveur P des informations personnelles I ₁ par application de la fonction

FP à ladite clé X, afin de calculer 1 ' identification IDP _X et obtenir les informations personnelles I ₁

- et enfin la recherche d'au moins un service SE _j sur au moins un serveur S par application de la fonction FSE à ladite clé X, afin de calculer 1 ' identifiant IDSE _Z et obtenir le service SE _j .

Cette invention est particulière en ce sens gu'elle ne met en œuvre aucun « identifiant » attribué arbitrairement à 1 'utilisateur, mais seulement des données biométrigues intrinsèguement et irrévocablement liées à 1 'utilisateur. Par « identifiant attribué arbitrairement à 1 'utilisateur » , on comprend un numéro, un nom, un couple nom-prénom, un pseudonyme, ou toute autre séquence numérique qui est attribuée sans relation physique intrinsèque avec l'utilisateur.

L'invention concerne aussi un terminal pour la réalisation d'une transaction sécurisée sans support physique d'un identifiant de sécurité et sans jeton selon le procédé susvisé caractérisé en ce que ledit terminal comprend un capteur biométrique, un écran d'affichage et un microprocesseur commandé pour transmettre un profil biométrique acquis par le capteur biométrique lors de 1 ' initialisation d'une transaction, à afficher les informations provenant du serveur, relatives à au moins un service accessible, le terminal comportant en outre des moyens de saisie de données destinées au dialogue avec ledit service .

L'invention concerne aussi un programme d'ordinateur pour commander 1 ' exécution sur un terminal informatique d'une transaction sécurisée sans support physique d'un identifiant de sécurité et sans jeton selon le procédé susvisé, caractérisé en ce qu'il est constitué par un code commandant 1 ' acquisition d'un profil biométrique par le capteur biométrique dudit terminal et sa transmission à un serveur central , ainsi que 1 'affichage des informations provenant dudit serveur central , relatives à au moins un service accessible et le protocole d' échange de données entre le terminal et le serveur pour 1 'exploitation dudit service . L ' invention concerne encore un ensemble de serveurs pour la réalisation de transactions sécurisées sans support physique d'un identifiant de sécurité et sans jeton, caractérisé en ce que ledit ensemble de serveurs comprend des serveurs de répartition de la charge, un serveur d 'entrée pour la réception des flux d' informations provenant des terminaux des utilisateurs, des serveurs d' exécution et de finalisation des transactions conformément au procédé susvisé, des serveurs assurant 1 ' interface avec les équipements informatiques de tiers de confiance permettant d' accéder à un serveur biométrique B et à au moins un serveur de service S, et du serveur de clés formant le support desdites fonctions non réversibles.

De préférence, cet ensemble de serveurs pour la réalisation de transactions sécurisées comporte en outre des serveurs de traitement pour la réalisation des traitements de contrôle, de sécurité et de vraisemblance des informations provenant des équipements des utilisateurs.

L'invention concerne aussi un programme d'ordinateur pour commander l'exécution sur un serveur informatique de la réalisation d'une transaction sécurisé sans support physique d'un identifiant de sécurité et sans jeton caractérisé en ce qu'il est constitué par un code commandant l'acquisition d'un profil biométrique provenant d'équipements distants, le traitement desdits profil biométriques conformément au procédé susvisé et l'exécution du protocole d'échange de données entre le terminal et le serveur pour l'exploitation desdits.

Description détaillée d'un exemple non limitatif de réalisation

La présente invention sera mieux comprise à la lecture de la description qui suit, se référant aux dessins annexés où :

- la figure 1 représente l'architecture matérielle d'un serveur pour la mise en œuvre de l'invention,

- la figure 2 représente le schéma fonctionnel de

1 'invention. Nous décrivons également les protocoles détaillés de création des identifiants et d'identification ainsi que les fonctionnalités du terminal biométrique. Architecture matérielle de l'invention

La figure 1 représente un schéma de principe de l'architecture matérielle d'un système pour la mise en œuvre de 1 ' invention. Le système comprend des serveurs de répartition de la charge (1, 6, 12 et 17) .

Le serveur d'entrée et de sortie ( 1 ) reçoit les flux d ' informations provenant des équipements des utilisateurs, gère les files d ' attente, pour la distribution à la volée sur des serveurs de traitement (2 à 5 ) et les retours vers les terminaux biométriques . Ces serveurs de traitement ( 2 à 5 ) réalisent par exemple des traitements de contrôle, de sécurité et de vraisemblance, et de transmission afin de vérifier que les informations transmises sont bien de nature biométrique . Il s ' agit notamment de la vérification si l'identifiant du terminal (par exemple son adresse IF) figure sur un terminal enregistré sur une liste noire, ou si les informations présentent des anomalies représentatives de tentatives d ' attaques , de saturation ou de fraudes . Le serveur (6) répartit la charge des informations validées et prétraitées par les serveurs (2 à 5 ) pour les distribuer à une pluralité de serveurs ( 7 à 10 ) .

Ces serveurs ( 7 à 10 ) exécutent la transaction conformément à 1 ' invention décrite ci-après de manière plus détaillée. En particulier ces serveurs ( 7 à 10 ) ouvrent une session transactionnelle pour interagir avec le serveur ( 17 ) donnant accès aux serveurs ( 18 à 20 ) pour obtenir les profils biométriques , services et informations personnelles et rétroagissent avec les serveurs (2 à 5 ) pour échanger avec 1 'utilisateur concerné par une session transactionnelle ainsi qu ' avec le répartiteur de charge ( 12 ) pour finaliser via les serveurs (13 à 16) la transaction en mode synchrone ou asynchrone.

Les serveurs (18 à 20} assurent quant à eux l'interface avec les équipements informatiques des tiers de confiance et gèrent l'accès consolidé aux les profils biométriques, informations personnelles et services, en interagissant avec un serveur de clés (21} formant le support des fonctions non réversibles mises en œuvre par le procédé selon l'invention. Le répartiteur de charge (17) assure l'accès sur les serveurs (18 à 20) pour accéder aux profils biométriques, services et informations personnelles.

Le répartiteur de charge (12) assure l'accès sur les serveurs (13 à 16) pour exécuter les transactions en mode synchrone ou asynchrone.

La base de données (11) conserve la trace de toutes les transactions, afin de permettre l'audit des transactions et en cas de crash physique, la restauration des transactions.

Schéma fonctionnel de l'invention La figure 2 représente un exemple de schéma fonctionnel .

Le client accède au service par l'intermédiaire d'un équipement informatique (51 ) qui comprend un capteur biométrique, par exemple un capteur d'empreinte digitale, un capteur d'iris, un capteur de reconnaissance faciale ou encore d'un capteur vocal. Cet équipement (51) est connecté à un réseau pour ouvrir une session avec le système (50) qui héberge l'ensemble de serveurs constitutif de l'architecture matérielle de l'invention. La première fonction (52) consiste à récupérer, contrôler et transmettre les informations nécessaires à la transaction , en particulier le profil biométrique acquis par le terminal (51) ainsi que des informations associés (par exemple la géolocalisation du terminal, les identifiants du terminal (adresse IP, différents identifiants tels que carte SIM,), 1 'horodatage, ainsi des informations que sur la nature de la transaction. Cette information provient soit de 1 ' identifiant du couple fournisseur/terminal , par exemple lorsqu ' il s ' agit d'un terminal d ' un fournisseur mis à disposition des utilisateurs, soit par 1 ' identification de la page d'accès au service .

Dans le cas où le terminal (51 ) est mis à disposition du client par un fournisseur, par exemple dans un commerce physique où les deux parties de la transaction sont présentes en face à face, le fournisseur commence par une étape d' initialisation de son terminal . Cette étape d ' initialisation est gérée par le même protocole d' identification que celui concernant 1 ' identification du client. Elle consiste à saisir le profil biométrique du fournisseur, à procéder à un traitement décrit ci-après, et à enregistrer sur le terminal (51) un identifiant du service ou du fournisseur reconnu par ce traitement .

Ce traitement (52 ) est réalisé par les serveurs (2 à 5 ) via le répartiteur de charge ( 1 ) . La fonction suivante (53) consiste à piloter les chaines de traitement correspondant aux sessions transactionnelles ouvertes pour chaque utilisateur. A cet effet, chaque session transactionnelle consiste à transmettre, contrôler et réconcilier les données biométriques , les informations personnelles le cas échéant , les services fournis par la fonction (54) , puis à propager les résultats au terminal (51) puis à obtenir le service sélectionné par le client ainsi que 1 ' accord de la transaction et la validation du service géré par la fonction (52 ) . Ce traitement (53} est réalisé par les serveurs (7 à 10} via le répartiteur de charge (6}, en interagissant avec les serveurs {.18 à 20) et (2 à 5). Le traitement (54} est quant à lui spécifiquement réalisé par les serveurs (18 à 20) via le répartiteur de charge (17).

La transaction implique ensuite un traitement (55) d'orchestration, de contrôle et de passage d'ordre de manière synchrone ou asynchrone vers les services clients et fournisseurs, puis l'envoi d'une confirmation de transaction vers le client et le fournisseur, prise en charge par la fonction (52 ) .

Ce traitement (55) est réalisé par les serveurs (13 à 16) via le répartiteur de charge (12}.

Le système (50) intègre également des fonctions de gestion des clients, des fournisseurs et des tiers de confiance ainsi que de la traçabilité et les protocoles de sécurité.

Protocoles de création des identifiants et d'identification

La description qui suit présente de manière plus détaillée le protocole de création des identifiants, puis dans la partie suivante, le protocole d'identification à partir d'un profil biométrique présenté au système.

Un des buts importants de l'invention est de garantir une sécurité des données intégrée nativement dans son architecture ( « by design » ) du fait que 1 ' identifiant de référence du profil biométrique et les identifiants de références des services sont structurellement différents, leur génération étant gérée par un algorithme basé sur une fonction cryptographique à sens unique de manière à pouvoir effectuer des rapprochements à la volée selon les besoins transactionnels . Le mécanisme proposé repose sur l'usage de protocoles cryptographiques tel que RSA avec des clés de taille supérieures à 128 bits.

L'opérateur du service doit choisir des fonctions cryptographiques F à sens unique pour gérer ses échanges avec chaque tiers de confiance. Elles seront appelées ci-après FR (pour la fonction de référence), FP (pour l'accès, le stockage et la mise à jour des informations personnelles) et FSE (pour l'accès, le stockage et la mise à jour des informations de service ) .

Ces fonctions permettront aux serveurs (18 à 21) de calculer en temps réel des valeurs Y = F(KQ,X) en fonction d'une valeur X et en utilisant une clef publique KQ afin que la connaissance de Y ne permette pas de remonter à X de façon algorithmiquement réaliste (les temps de reconstruction de la valeur source devant être rédhibitoires en pratique).

Pour remonter à X, il doit être nécessaire de disposer d'une clef privée KV tenue secrète qui permet de reconstruire X = F ^-1 (KV,Y) à partir de Y en utilisant une fonction F ^-1 de décryptage.

La génération des identifiants de référence, des identifiants personnels et des identifiants de service d'un utilisateur U ₁ se fera alors selon le protocole suivant s

Les serveurs ( 18 à 20) tirent au hasard une valeur aléatoire X par exemple à 1 ' aide d'une fonction de hachage pour éviter statistiquement les collisions.

Les serveurs ( 18 à 20) interagissent avec le serveur (21) pour obtenir les clefs publiques KR, KP et KSE pour gérer respectivement les échanges avec les tiers de confiance gérant les informations biométriques , les informations personnelles et les services . Les serveurs (18 à 20) fabriquent l'identifiant de référence IDR, l'identifiant personnel IDP et l'identifiant de service IDSE selon les règles simples suivantes (en cas de collision avec un identifiant existant, une nouvelle valeur X sera générée) :

De cette manière, les identifiants sont bien liées à travers X, ce qui permet de reconstituer un identifiant à partir de 1 ' identifiant de référence à 1 'aide de la clef cryptographique privée qui permet le décryptage de 1 ' identifiant de référence et donc de reconstituer la valeur aléatoire X à partir de leur connaissance. Les services clients appartenant à une personne physique donnée, reconnue à 1 'aide de son profil biométrique, pourront donc être ainsi reconstitués.

Fonctionnalités du terminal biométrique

Le terminal (51) réalise des fonctionnaiités relativement simples en fonctionnement nomina1 z - Saisir / Transmettre des bio-données

- Saisir / Afficher / Stocker / Modifier /

- Transmettre les caractéristiques fournisseurs (sert aussi en phase d'initialisation où 1 'utilisateur est un fournisseur) - Recevoir / Afficher / Transmettre des listes de services

- Recevoir / Afficher un quitus d'une transaction Le terminal doit également réaliser des fonctions plus élaborées pour traiter le cas des transactions hors connexion :

- Entrer / Sortir du mode hors connexion

- Recevoir / Mettre à jour une clef de secours

- Vérifier la validité de la clef de secours.