Les boîtiers électroniques sécurisés sont utilisés dans de nombreuses applications et permettent notamment de lire des cartes à puce telles que par exemple des cartes bancaires, des porte-monnaie électroniques, des cartes multiservices (téléphonique, bancaire, porte- monnaie électronique, santé...) ou encore des cartes de paiement privatives.

Afin d'éviter les fraudes, ils sont équipés de systèmes protections, tels que des dispositifs anti-intrusion, qui garantissent leur intégrité physique.

On peut citer l'exemple des terminaux de paiement électronique (TPE), notamment par carte bancaire. Ces terminaux électroniques sont la cible d'escrocs qui tentent par tous les moyens de les ouvrir et les modifier pour une utilisation frauduleuse. En réaction, les organismes de carte bancaire, telle que Visa International, imposent des normes de sécurité contraignantes pour homologuer ces terminaux de paiement. Selon l'une de ces normes, les terminaux doivent tre en mesure de détecter toute tentative d'ouverture de leur boîtier. La détection de l'ouverture entraîne notamment la mise hors service du module de sécurité, lequel contient par exemple un ensemble d'algorithmes cryptographiques et de codes secrets servant à valider la carte à puce ou carte à piste magnétique et à assurer l'intégrité des informations de paiement (compteurs d'unités ou transactions).

Les terminaux de paiement électronique par carte bancaire comportent parfois des boîtiers codes confidentiels, encore appelés Pinpad dans la littérature anglo-saxonne. Ces boîtiers servent à lire une carte bancaire, entrer son code secret, et vérifier la validité du code entré. Ils comportent généralement un clavier numérique, un écran à cristaux liquides, un lecteur de carte à puce, éventuellement un cache code, et une connexion par fil à un terminal point de vente. Dans cet exemple, le terminal de

paiement électronique est l'ensemble constitué du boîtier code confidentiel et du terminal point de vente.

Dans les techniques actuelles, les terminaux de paiement électronique sont équipés d'interrupteurs qui détectent l'ouverture. Ces interrupteurs sont placés en général sous le capot du boîtier, connectés à un circuit imprimé contenant le module de sécurité. L'ouverture du capot provoque l'ouverture des interrupteurs, ce qui invalide ou détruit le module de sécurité. Ces interrupteurs sont plus ou moins nombreux suivant la fiabilité requise, un grand nombre correspondant à une meilleure fiabilité.

Un inconvénient de ces techniques est le coût : ces interrupteurs sont des composants onéreux, et leur nombre va croissant à cause de normes de sécurité de plus en plus sévères.

Un autre inconvénient est le manque de fiabilité de ces interrupteurs, en particulier les fausses détections. Elles arrivent souvent en cas de choc, notamment lorsque le boîtier tombe. Le boîtier se déforme et s'écarte localement, au niveau d'un ou plusieurs interrupteurs, pendant une fraction de seconde. Ceci est particulièrement pénalisant pour son propriétaire qui ne peut alors plus l'utiliser. Afin de limiter ces fausses détections, les interrupteurs peuvent tre équipés de ressorts destinés à absorber les chocs et les vibrations, mais ceci augmente encore le coût du boîtier code confidentiel. Une autre solution consiste à filtrer les détections de durée inférieures à quelques fractions de secondes par un filtre électronique, mais ceci diminue la sensibilité et par conséquent la fiabilité du système anti-intrusion.

Un but de l'invention est de pallier les inconvénients précités, et notamment de réduire les coûts de production des terminaux de paiement électronique.

A cet effet, l'invention concerne un dispositif anti-intrusion pour boîtier électronique sécurisé (20) qui détecte toute tentative d'ouverture du boîtier. Le dispositif comporte une membrane élastomère (50) dans laquelle est moulé au moins un bouton (51) ; le bouton étant sous pression lorsque le boîtier est fermé pour agir sur un circuit électronique (60), le bouton étant au repos lorsque le boîtier est ouvert.

L'invention a pour principaux avantages qu'elle est plus fiable que les dispositifs anti-intrusions déjà connus, qu'elle est facile à monter, et

qu'elle permet de placer un grand nombre de boutons, et avantageusement de façon aléatoire sans surcoût important comparé aux systèmes connus.

D'autres caractéristiques et avantages de l'invention apparaîtront plus clairement dans la description qui va suivre et dans les figures annexées qui représentent : -la figure 1a, un exemple d'utilisation de l'invention dans un terminal de paiement électronique autonome ; -la figure 1b, un exemple d'utilisation de l'invention dans un boîtier code confidentiel relié à une caisse enregistreuse ; -la figure 1c, un exemple d'utilisation de l'invention dans lecteur sécurisé servant de périphérique à un ordinateur ; -la figure 1d, un exemple d'utilisation de l'invention dans un distributeur de billets ; -la figure 1e, un exemple d'utilisation de l'invention dans un lecteur de porte-monnaie électronique ; -la figure 1f, un exemple d'utilisation de l'invention dans un terminal de communication ; -la figure 2, un boîtier code ; -les figures 3a et 3b, le capot et le socle du boîtier code confidentiel représenté sur la figure 2 ; -les figures 4a et 4b, un exemple de dispositif anti-intrusion selon l'art antérieur ; -la figure 5a, un exemple de membrane élastomère anti- intrusion selon l'invention ; -la figure 5b, une vue en coupe de la membrane représentée sur la figure 5a ; -les figures 6a et 6b, un exemple de dispositif anti-intrusion. selon l'invention.

On se réfère tout d'abord aux figures 1a, 1b, 1c, 1d, 1e, et 1f qui représentent des exemples d'applications possibles de l'invention.

La figure 1a représente un terminal de paiement électronique 1, qui sert à effectuer des paiements par carte bancaire notamment chez les commerçants. On appelle encore ce type de terminaux des terminaux point de vente (TPV) en raison de leur usage. Ce terminal fonctionne de façon

autonome ; il n'est pas relié à une caisse enregistreuse. II comporte notamment : un clavier, servant au commerçant pour saisir le montant de la transaction, et au client pour saisir son code secret ; un afficheur, pour transmettre des messages au commerçant ou au client ; une imprimante thermique pour l'édition des tickets ; un lecteur de carte à puce ; une liaison radio avec un modem ; une mémoire contenant par exemple un historique des opérations, les transactions enregistrées et une liste noire. Cet appareil doit tre sécurisé pour éviter les risques de fraude, en particulier ceux liés à la lecture de données secrètes contenues dans ce terminal. II contient donc un dispositif physique de sécurité qui permet de détecter toute tentative d'ouverture du boîtier.

La figure 1b représente un boîtier code confidentiel 2, relié à une caisse enregistreuse. Ce boîtier sert à saisir le code secret d'une carte bancaire, et à vérifier la validité du code entré. II comporte généralement une liaison par fil vers la caisse enregistreuse, un cache code qui masque la vue du clavier des regards indiscrets, un afficheur, un clavier, et un lecteur de carte à puce. Ce boîtier code confidentiel est utilisé par le client uniquement, et n'imprime pas de ticket. La saisie du montant de la transaction et l'impression du ticket s'effectuent sur la caisse enregistreuse. Un risque de fraude est l'interception du code secret de la carte bancaire. Les fraudeurs modifient le boîtier code confidentiel pour ajouter un dispositif de lecture sous le clavier, qui transmet la séquence de touches appuyées par le client, c'est à dire le code secret. Afin de contrer ce type de fraude, les boîtiers code confidentiel sont sécurisés, et sont en mesure de détecter toute tentative d'ouverture.

La figure 1c représente un lecteur sécurisé servant de périphérique à un ordinateur. Ce lecteur permet de lire des cartes à puce ce qui peut servir par exemple à effectuer des paiements électroniques sécurisés par carte bancaire sur Internet, à identifier le porteur d'une carte à puce pour autoriser l'accès à des données contenues dans l'ordinateur, ou encore à lire ou écrire des données sur une carte à puce privative. Dans l'application de paiement sécurisé sur Internet, ce lecteur a au moins deux avantages : la sécurité et la confidentialité. La sécurité et la confidentialité résultent du fait qu'aucune donnée concernant la carte bancaire, tel que le code secret, la date d'expiration, le nom du propriétaire de la carte, ne circule

en clair sur le réseau. La fraude est possible à partir du moment ou ce lecteur est modifié, c'est pourquoi il doit tre sécurisé et notamment tre capable de détecter toute tentative d'ouverture du boîtier.

La figure 1d représente un distributeur automatique de billets 4.

Nous ne rappelons pas ici le principe de fonctionnement ni ses éléments constitutifs. II doit tre évidemment protégé contre toute tentative d'ouverture du capot, pour notamment invalider le module de sécurité.

La figure 1e représente un lecteur sécurisé de carte à puce 5, pouvant tre par exemple un lecteur de porte-monnaie électronique. Cet appareil comporte une protection physique, qui permet notamment de détecter toute tentative d'ouverture du boîtier afin d'éviter par exemple la production de fausse monnaie électronique.

La figure 1f représente un terminal de communication sécurisé 6.

Ce terminal peut tre par exemple un téléphone offrant des services de vidéo en temps réel ainsi qu'un accès à Internet, comportant avantageusement un lecteur de carte à puce permettant d'accéder à un portail sécurisé. Ce terminal contient des données confidentielles, telles que par exemple des clefs de cryptage ou des données privées stockées en mémoire. II est équipé d'un système qui permet de détecter toute tentative d'ouverture du boîtier, et qui entraîne la destruction des données confidentielles.

Une caractéristique commune des appareils décrits ci-dessus, est qu'ils doivent tre en mesure de détecter toute tentative d'ouverture de leur boîtier ou d'un capot pour assurer l'intégrité ou la confidentialité de leur contenu.

Dans la description qui va suivre, nous illustrerons un exemple de I'art antérieur et une application de l'invention dans un boîtier code confidentiel. On se réfère à la figure 2 sur laquelle est représenté un boîtier code confidentiel 20, comprenant notamment un corps de boîtier 21, un capot de boîtier 22, un afficheur 23, un clavier 24, un lecteur de carte à puce 25. La figure 3a représente le capot du boîtier seul, et la figure 3b représente le corps du boîtier 21.

On se réfère maintenant aux figures 4a et 4b pour décrire un exemple de réalisation de dispositif anti-intrusion selon les techniques connues. Ces figures représentent une vue en coupe d'un circuit

électronique 40, et d'un capot de boîtier 22. Le capot 22 appartient au boîtier 20 représenté sur la figure 2. Deux interrupteurs électroniques 41 et 42 sont placés sur le circuit électronique 40. Lorsque le boîtier 20 est fermé comme représenté sur la figure 4a, son capot 22 repose sur les interrupteurs 41 et 42, ce qui a pour effet de les fermer. Si quelqu'un tente d'ouvrir le boîtier, le capot 22 ne repose plus sur les interrupteurs, ce qui les ouvre comme représenté sur la figure 4b. Toute tentative d'intrusion est ainsi détectée par le circuit relié à chaque interrupteur, ce qui a pour effet d'invalider le module de sécurité.

Un inconvénient de cette technique est son coût : les interrupteurs sont des composants onéreux et complexes à monter, et leur nombre va croissant à cause de normes de sécurité de plus en plus sévères.

Un autre inconvénient est le manque de fiabilité de ces interrupteurs, en particulier les fausses détections. Elles arrivent souvent en cas de choc, notamment lorsque le boîtier tombe. Le boîtier se déforme et s'écarte localement, au niveau d'un ou plusieurs interrupteurs, pendant une fraction de seconde. Ceci est particulièrement pénalisant pour son propriétaire qui ne peut alors plus l'utiliser. Afin de limiter ces fausses détections, les interrupteurs peuvent tre équipés de ressorts destinés à absorber les chocs et les vibrations, mais ceci augmente encore le coût du boîtier code confidentiel. Une autre solution consiste à filtrer les détections de durées inférieures à quelques fractions de secondes par un filtre électronique, mais ceci diminue la sensibilité et par conséquent la fiabilité du système anti-intrusion.

On se réfère maintenant aux figures 5a et 5b qui représentent un exemple de réalisation de membrane élastomère anti-intrusion selon l'invention. Cette membrane 50, en matière élastomère telle que le silicone, appartient au clavier 24 du boîtier code confidentiel 20 représenté sur la figure 2. Elle contient les boutons des touches du clavier 24, tels que par exemple les boutons 54,55,56. Elle contient aussi trois boutons 51,52,53, qui sont environ par exemple moins hauts que les boutons de touche de clavier. Les boutons moulés dans la membrane sont recouverts d'un substrat conducteur tel que représenté sur la vue en coupe figure 5b : par exemple le bouton 52 comprend un ergot 57 prolongé par une partie en carbone 58.

On se réfère aussi aux figures 6a et 6b qui représentent cette membrane vue en coupe avec d'autres éléments. La membrane est placée sous le capot 22 du boîtier 20 représenté sur les figures 2 et 3a. Un circuit électronique 60, permettant notamment de détecter les touches du clavier appuyées, est placé sous la membrane. Lorsque le boîtier est fermé comme représenté sur la figure 6a, le capot 22 repose sur les boutons 51,52,53.

Ces boutons sont enfoncés sous la pression exercée par le capot 22 par rapport à leur position de repos. La partie conductrice des boutons est par conséquent en contact avec le circuit électronique 60. Ces points de contacts conducteurs permettent de relier entre elles des pistes conductrices du circuit 60. Ainsi, les boutons 51,52 et 53 établissent des liaisons électriques dans le circuit 60 tant que le boîtier est fermé. Lorsque le boîtier est ouvert comme représenté sur la figure 5b, le capot 22 ne repose plus sur les boutons 51, 52,53. Ces boutons se mettent alors dans leur position de repos et ne sont plus en contact avec le circuit électronique 60. Ils fonctionnent à la manière d'interrupteurs qui permettent de détecter toute tentative d'ouverture du boîtier.

Un avantage de l'invention par rapport à fart antérieur est l'économie sur les composants. Lorsqu'on ajoute des boutons, on ne change pas le prix de la membrane car il suffit de modifier le moule de fabrication et d'ajouter le mme substrat conducteur que sur les touches de claviers. Cela est à comparer par exemple aux interrupteurs dont I'ajout augmente le coût du dispositif anti-intrusion au moins du prix des interrupteurs. On économise grâce à l'invention le coût induit par I'ajout d'interrupteurs. On peut donc rendre le dispositif anti-intrusion plus fiable en ajoutant des boutons, sans pour autant augmenter son coût.

Un autre avantage de l'invention est la fiabilité du dispositif anti- intrusion. En effet, les propriétés d'élasticité de la membrane évitent les fausses détection induites notamment par des chocs. La membrane remplace ainsi avantageusement les filtres mécaniques ou électroniques qui pouvaient diminuer la sensibilité du dispositif anti-intrusion.

Un autre avantage de l'invention est sa facilité de montage. La membrane est simplement posée pour tre mise en place. Elle ne requiert pas de soudure ou d'autre intervention mécanique pour la lier aux autres composants présents dans le boîtier. En conséquence, les temps de

montage sont réduits par rapport aux techniques connues utilisant des interrupteurs, ce qui contribue à une réduction de coût additionnelle.

Selon une variante avantageuse, les boutons servant à détecter l'ouverture du boîtier peuvent tre répartis aléatoirement sur la surface de la membrane. Ainsi, les fraudeurs ne pourront pas localiser l'emplacement des dispositifs anti-intrusion sur un boîtier pour déjouer le système de sécurité d'un autre boîtier de mme modèle. II suffit pour cela de prévoir plusieurs moules de fabrication de membrane avec des répartitions différentes de ces boutons. Les circuits électroniques seront eux aussi fabriqués avec des pistes conductrices dont les positions dépendent de celles des boutons. Par rapport aux dispositifs anti-intrusion à base d'interrupteurs électroniques, cette solution présente l'avantage d'tre réalisable facilement sur une chaîne de montage, et donc à moindre coot.

Bien entendu, la présente invention ne se limite pas à la forme de réalisation décrite ci-avant à titre d'exemple. Elle s'étend à d'autres variantes.

On comprendra ainsi que la membrane a été décrite avec trois boutons servant à détecter l'ouverture du boîtier, mais que l'invention s'applique aussi à toute membrane comprenant un autre nombre de boutons.

Ce nombre peut tre plus ou moins important selon par exemple le niveau de sécurité requis ou encore la taille de la membrane élastomère.

En outre, la membrane sur laquelle sont placés les boutons n'est pas nécessairement une membrane de clavier. En particulier, cette membrane peut ne contenir que des boutons servant à détecter l'ouverture du boîtier et aucun autre type de bouton. Elle peut par exemple ne contenir qu'un seul bouton, ou encore un très grand nombre de boutons. Une telle variante de réalisation permet notamment de remplacer avantageusement un dispositif contenant un très grand nombre d'interrupteurs électroniques servant à détecter l'ouverture du boîtier.

Dans la description qui précède, le capot repose sur la membrane, mais le dispositif anti-intrusion selon l'invention fonctionne tout aussi bien si une autre pièce mécanique que le capot repose sur la membrane. La membrane peut par exemple tre placée sous un autre composant contenu dans le boîtier, tel que par exemple un deuxième circuit électronique. Le premier circuit électronique placé sous la membrane contient les moyens de traitements sur lesquels agissent les boutons précités ; le second circuit

électronique placé sur la membrane met en pression les boutons lorsque le boîtier est fermé.

L'invention s'applique bien entendu à tout type de boîtier électronique sécurisé. De manière générale, elle s'applique aux boîtiers sécurisés dont on cherche à garantir l'intégrité physique par un moyen de détection d'ouverture.