Les circuits électroniques ont largement contribué au déve- loppement des sociétés modernes et sont utilisés dans de nombreux do- maines de la technique.

Ces circuits ont en particulier permis la création et l'essor des systèmes dits « de paiement électronique » qui permettent d'effectuer diverses transactions à partir de terminaux de paiement électronique équipés de claviers numériques en utilisant des cartes de crédit.

Or, ces systèmes doivent tre sécurisés de façon à protéger tant les clients que les commerçants en évitant tout risque de transactions frauduleuses.

Dans ce but, les banques et les fabricants de cartes de cré- dit attribuent à celles-ci des numéros d'identification personnels que leurs propriétaires doivent entrer dans le clavier numérique équipant les termi- naux de paiement électronique.

Après leur introduction, les numéros d'identification ainsi que d'autres données confidentielles figurant sur les cartes de crédit sont cryptés dans des modules de sécurité préalablement à la transaction.

Le numéro d'identification personnel permet donc de vérifier que la carte de crédit est bien utilisée par son véritable propriétaire, et non par un intrus ayant trouvé ou volé celle-ci.

Pour des raisons évidentes de sécurité, il est essentiel qu'entre son introduction dans le clavier numérique d'un terminal de paiement électronique et son cryptage un numéro d'identification person- nel ne soit pas accessible à des tiers malintentionnés.

Il est par suite nécessaire d'associer des dispositifs de pro- tection à ces claviers.

Les fraudeurs font cependant preuve de plus en plus d'astuce pour tenter d'obtenir des données confidentielles et par suite la sécurisation des claviers numériques des terminaux de paiement électro- nique est de plus en plus difficile.

A titre d'exemple, les fraudeurs peuvent :

- visualiser la saisie d'un code confidentiel (directement ou par l'intermédiaire de systèmes vidéo) ; - accéder à l'électronique du système, notamment en insérant dans ce- lui-ci une carte électronique « moucharde » ; - « écouter » les émissions électromagnétiques émises par l'électronique du système pour les corréler avec les touches appuyées ; - voler les informations lorsqu'elles sont frappées, par exemple en posant un faux clavier au-dessus du clavier véritable, ou en répandant sur celui-ci une substance telle que de la poussière qui laisse des traces sur les touches utilisées.

Etat de la technique Différents moyens ont déjà été proposés pour tenter de sé- curiser les claviers numériques des terminaux de paiement électronique.

On a à titre d'exemple déjà proposé de dissimuler les tou- ches des claviers des regards indiscrets (document WO 00/68859) ou en- core de changer la position des touches à chaque nouvelle utilisation (document WO 98/27518).

Ces différents moyens rendent plus difficile la détermination des données confidentielles en regardant un utilisateur les taper sur un clavier numérique.

Il a également déjà été proposé d'enfermer le clavier, son contrôleur ainsi que le module de sécurité associé à celui-ci dans un boî- tier scellé, de façon à interdire aux fraudeurs d'avoir accès au système électronique en amont du cryptage des données confidentielles introduites dans le clavier.

A titre d'exemple, on a déjà proposé conformément au do- cument WO 01/92349 d'enfermer l'électronique entre le clavier et une plaque de verre.

De telles solutions s'avèrent cependant très onéreuses et particulièrement difficiles à mettre en oeuvre.

Par suite, jusqu'à ce jour, il n'a pas été proposé de moyen de sécurisation sûr et satisfaisant sur le plan économique des claviers numériques des terminaux de systèmes de paiement électronique.

But de l'invention La présente invention a pour objet de combler cette lacune en proposant un boîtier sécurisé renfermant un clavier numérique conçu de manière à empcher les intrus de pouvoir accéder frauduleusement

aux données confidentielles introduites avant leur cryptage par un module de sécurité.

L'invention a en particulier pour objet de permettre de dé- tecter un dispositif placé sur le clavier afin de déterminer les données confidentielles entrées, ou de prévenir toute altération du système effec- tuée dans le mme but.

Un autre objet de l'invention est d'empcher toute écoute des émissions électromagnétiques générées par l'électronique du système.

Le boîtier qui fait l'objet de l'invention est tout spécialement adapté à la sécurisation des claviers numériques équipant les terminaux de paiement des systèmes de paiement électronique mais peut s'adapter à la sécurisation de tout système dans lequel des données confidentielles sont transmises par clavier.

Exposé de l'invention La présente invention concerne donc un boîtier sécurisé permettant d'introduire des données confidentielles telles qu'un numéro d'identification personnel destiné en particulier à un système de paiement électronique et comportant une matrice tactile capacitive reliée d'une part par des fils de liaison à une carte de circuit imprimé portant un contrôleur associé, un module de sécurité ainsi qu'une électronique sensible aux va- riations de la capacité du système et prise d'autre part en sandwich entre deux plaques de verre, à savoir une plaque de verre avant ou plaque de protection et une plaque de verre arrière ou plaque de support.

Un tel boîtier permet donc d'utiliser les propriétés des écrans tactiles capacitifs, bien connus de l'homme du métier, pour détec- ter la présence d'un dispositif extérieur fixé sur le clavier numérique, comme par exemple un faux clavier ou une substance déposée afin de marquer les touches enfoncées lors de la saisie du code confidentiel.

Le clavier numérique est affiché au dessous des plaques de verre par un dispositif quelconque tel qu'écran LCD, CRT, LED, autocol- lant,... et est lu par transparence.

Pour introduire son code confidentiel, l'utilisateur touche avec ses doigts la plaque de protection au dessous de laquelle le clavier est affiché.

Cette manipulation a pour conséquence de changer locale- ment la capacité du système, ce qui permet au contrôleur de connaître la position touchée, donc de déterminer le code confidentiel introduit.

Il s'agit là du fonctionnement classique d'un écran tactile capacitif.

Pour que le système de sécurisation puisse fonctionner de manière satisfaisante, il est bien entendu nécessaire d'avoir déterminé lors d'une étape d'étalonnage préalable, mise en oeuvre pendant la fabrication du boîtier, la capacité du système au repos (au repos signifiant qu'il n'y a aucun objet à côté ou sur l'écran tactile) au niveau des différents empla- cements de la plaque de protection correspondant aux différentes touches du clavier.

La liste de ces valeurs de capacité est enregistrée dans une mémoire en tant que référence.

Toute tentative de « masquage » du clavier dans un but frauduleux modifie la capacité du système.

Par suite, en cours de fonctionnement, les valeurs réelles de capacité sont constamment comparées aux valeurs enregistrées et toute déviation supérieure à un niveau de déviation autorisé prédéterminé est interprétée comme indicative d'une fraude et déclenche une alarme ou l'arrt du système.

Le boîtier sécurisé qui fait l'objet de l'invention est caracté- risé en ce que la plaque de protection est réalisée en un verre fragmenta- ble et est équipée d'un conducteur électrique constitué par un long fil accolé à celle-ci ou par une métallisation en forme de boucle.

Ce conducteur électrique fait d'une part partie d'un circuit de détection de fraudes comportant une source de tension ainsi qu'un détecteur de courant associé à un organe d'alarme et se rompt d'autre part sous l'effet d'une fragmentation de la plaque de protection pour en- traîner l'interruption du courant dans le circuit de détection de fraudes et l'activation de l'organe d'alarme.

Selon l'invention, le verre fragmentable est de préférence constitué par un verre trempé se brisant en une multitude de fragments en réponse à un choc.

Selon une autre caractéristique de l'invention, la plaque de support est elle aussi réalisée en un verre fragmentable et équipée d'un conducteur électrique faisant partie du circuit de détection de fraudes et se rompant sous l'effet d'une fragmentation de celle-ci pour entraîner l'interruption du courant dans le circuit de détection de fraudes et l'activation de l'organe d'alarme.

Selon l'invention, il est également possible d'adjoindre au boîtier une troisième plaque de verre ou plaque de recouvrement recou- vrant la plaque de support sur sa face arrière et se prolongeant au niveau de la face arrière de la carte de circuit imprimé.

La présence de cette plaque de recouvrement permet d'améliorer la sécurisation de la carte de circuit imprimé.

Cette plaque de recouvrement peut avantageusement tre elle aussi réalisée en un verre fragmentable et équipée d'un conducteur électrique faisant partie du circuit de détection de fraudes et se rompant sous l'effet d'une fragmentation de celle-ci pour entraîner l'interruption du courant dans le circuit de détection de fraudes et l'activation de l'organe d'alarme.

Compte tenu des caractéristiques susmentionnées, toute tentative d'accès aux parties sensibles du boîtier sécurisé (module de sé- curité par exemple entraîne la fragmentation des plaques de verre et par suite la rupture d'un conducteur qui est immédiatement détectée par le détecteur de courant et interrompt l'alimentation d'une mémoire de sau- vegarde de paramètres de fonctionnement du clavier stockés lors de la fa- brication.

La détection de cette rupture entraîne une alarme et avan- tageusement la désactivation du système.

Selon une autre caractéristique de l'invention, la carte de circuit imprimé est située à proximité immédiate de la matrice tactile ca- pacitive recouverte par la plaque de protection.

Cette caractéristique permet aux fils de liaison de la matrice tactile capacitive et de la carte de circuit imprimé d'tre aussi court que possible, ce qui a pour résultat d'interdire l'accès au circuit où transitent des données confidentielles non sécurisées.

Selon une autre caractéristique de l'invention, la carte de circuit imprimé et les composants électroniques fixés sur celle-ci sont noyés dans une résine cassante, notamment une résine époxy.

Cette caractéristique permet de garantir que les fils reliant les différents composants électroniques soient automatiquement brisés en cas d'attaque physique, notamment de tentative de « poinçonnage » des plaques de verre.

La configuration du boîtier sécurisé conforme à l'invention permet donc d'interdire à un intrus d'avoir accès à des données confide- tielles non sécurisées en aval de la plaque de protection.

En effet, toute tentative dans ce sens aurait pour consé- quence de casser les différentes plaques de verre et/ou la résine cassante dans laquelle est noyée la carte de circuit imprimé, et par suite d'endommager l'électronique du système et de détruire les données confi- dentielles qu'elle contient.

Selon une autre caractéristique particulièrement avanta- geuse de l'invention, le circuit de détection de fraudes est parcouru par un courant oscillant à haute fréquence modulé en amplitude et en fréquence de façon à provoquer un brouillage des émissions électromagnétiques du système vis à vis de l'extérieur et à empcher ainsi toute tentative de lec- ture des signaux internes du système à l'aide d'un récepteur haute fré- quence extérieur.

Selon l'invention, on peut également prévoir d'autres orga- nes de sécurisation du boîtier, par exemple associer à l'écran un filtre op- tique standard connu en lui-mme de façon à permettre de réduire l'angle de vision sur lequel le clavier peut tre lu.

Dessins Les caractéristiques du boîtier sécurisé qui fait l'objet de l'invention seront décrites plus en détail en se référant aux dessins an- nexés dans lesquels : - la figure 1 est une perspective « éclatée » schématique illustrant la con- figuration du boîtier sécurisé ; - la figure la est un schéma illustratif du mode d'utilisation du boîtier ; - la figure lb est un schéma illustratif d'une tentative de fraudes ; - la figure 2 est un schéma représentant le circuit de détection de frau- des.

Description de modes de réalisation Selon la figure 1, le boîtier sécurisé 1 comporte une matrice tactile capacitive prise en sandwich entre deux plaques réalisées en un verre cassant à savoir une plaque de protection 3 et une plaque de sup- port 5.

La matrice tactile capacitive 2 est reliée par des fils de liai- son 6 à une carte de circuit imprimé 7 portant le contrôleur associé, un module de sécurité 16 (figure 2) ainsi qu'une électronique sensible aux variations de la capacité du système.

La carte de circuit imprimé 7 et les composants électroni- ques fixés sur celle-ci sont noyés dans une résine époxy cassante 8.

Comme représenté sur la figure 1, la carte de circuit impri- mé 7 est située à proximité immédiate de la matrice tactile capacitive 2 recouverte par la plaque de protection 3 dont la longueur est supérieure à celle de la plaque de support 5.

La plaque de support 5 peut le cas échéant tre recouverte sur sa face arrière opposée à la plaque de protection 3 par une troisième plaque de verre non représentée sur les figures, à savoir une plaque de recouvrement se prolongeant au niveau de la face arrière de la carte de circuit imprimé 7.

Cette configuration permet de réduire au maximum le trajet dans lequel transitent des données confidentielles non sécurisées après leur introduction dans le boîtier 1.

En effet, à la sortie du boîtier 1, ces données ont subi un cryptage leur évitant d'tre interceptées par un fraudeur.

Il est à noter que conformément à l'exemple de réalisation représenté sur les figures, la matrice tactile fonctionne selon la technologie classique des écrans tactiles capacitifs projetés.

Par suite la matrice tactile est constituée par une matrice de fins micro fils connectés au contrôleur.

Une fréquence d'oscillation est assignée à chacun de ces micro fils.

Selon la figure la, pendant une utilisation normale, l'utilisateur touche avec ses doigts la plaque de protection 3 au travers de laquelle le clavier est affiché par un dispositif d'affichage 4.

Le fait de toucher la plaque de protection 3 modifie la fré- quence d'oscillation des micro fils situés à l'emplacement correspondant.

Cette modification qui est une fonction de la capacité du système permet au contrôleur fixé sur la carte de circuit imprimé 7 de déterminer à quel endroit la plaque de protection 3 et par suite l'écran projeté a été touché par l'utilisateur, et donc de déterminer le code confi- dentiel introduit.

Lors d'une étape d'étalonnage préalable on a mesuré la ca- pacité au repos au niveau de chaque croisement de fils de la matrice tac- tile 7.

La liste des valeurs ainsi mesurées est enregistrée en tant que référence dans une mémoire 9 associée au module de sécurité 16 d'une façon représentée schématiquement sur la figure 2.

Selon la figure lb, si un intrus applique sur la plaque de protection 3 un dispositif de « marquage » 10 tel que faux clavier ou cou- che de poussière à des fins frauduleuses, la capacité réelle du système est modifiée et cette modification est constatée par l'électronique de com- mande qui peut en réponse générer une alarme ou arrter le système.

Bien entendu, l'invention pourrait tre transposée à de nombreuses autres technologies d'écrans tactiles capacitifs sans pour cela sortie du cadre de celle-ci.

Selon la figure 2, le boîtier 1 renferme en outre un circuit de détection de fraudes 11 comportant essentiellement une source de tension 12 ainsi qu'un conducteur électrique en forme de boucle 13 accolé à la plaque de protection 3.

Ce circuit 11 renferme également un détecteur de courant 14 associé à un organe d'alarme non représenté.

Une tentative d'accès aux parties sensibles du boîtier, no- tamment à la carte de circuit imprimé 7 a pour conséquence de casser la plaque de protection 3 et par suite de rompre le conducteur 13 entraînant ainsi l'émission d'une alarme, et également la désactivation du système par suite de l'effacement de la mémoire 9.

Selon la figure 2, le circuit de détection de fraudes 11 est également équipé d'un dispositif de protection 15 permettant d'alimenter ce circuit en un courant oscillant à haute fréquence modulé en amplitude et en fréquence de façon à provoquer un brouillage des émissions électro- magnétiques du système vis-à-vis de l'extérieur.