TITRE : Dispositif de saisie de données comprenant des moyens de détection d'un dispositif espion, procédé de détection et produit programme d'ordinateur correspondants

Domaine technique

L'invention se rapporte au domaine des dispositifs électroniques en libre-service, dits non surveillés (qualifié en anglais de dispositifs « unattended »), et plus particulièrement aux dispositifs de ce type qui intègrent un clavier pour la saisie de données, et qui peuvent à ce titre être qualifiés de dispositifs de saisie de données.

Art antérieur

De nombreux dispositifs électroniques en libre-service, installés dans des lieux publics, souvent en extérieur, intègrent un clavier permettant à un utilisateur de saisir des données. C'est le cas notamment de nombreuses machines automatiques de vente (e.g. pompes de distribution de carburant dans une station-service, bornes d'achat de titres de transports, bornes de paiement de parking, distributeurs divers, etc.), ou encore des distributeurs automatiques de billets (DAB/ATM) par exemple. Dans un cas courant, ce clavier est par exemple utilisé pour saisir un code confidentiel associé à une carte de paiement préalablement insérée dans le dispositif électronique, au niveau d'un terminal de paiement électronique intégré au dispositif, afin de finaliser une transaction de paiement relative à l'achat d'un bien ou d'un service.

Il est fréquent qu'un tel clavier soit positionné au fond d'un renfoncement du dispositif électronique de saisie de données. Une telle disposition est en effet avantageuse à plusieurs titres. D'une part elle permet de mieux assurer la confidentialité de la saisie, le renfoncement limitant les angles de vue sur le clavier et rendant ainsi plus difficile pour un tiers de voir les informations, potentiellement sensibles, qu'un utilisateur est en train de saisir sur le clavier. D'autre part elle offre une protection physique accrue du clavier, notamment contre les intempéries ou contre d'éventuels actes de vandalisme. Le clavier ainsi positionné au fond du renfoncement est par exemple bien plus difficile à atteindre avec un projectile qu'un clavier qui affleurerait la face avant du dispositif de saisie de données. Cette disposition du clavier au fond d'un renfoncement ne présente cependant pas que des avantages. En particulier, le renfoncement peut être exploité par une personne malveillante pour y installer, au-dessus du clavier d'origine, par exemple par collage, un dispositif espion destiné à collecter des données potentiellement confidentielles d'un utilisateur du dispositif de saisie de données. Un tel dispositif espion est typiquement un faux clavier. Ainsi installé dans le renfoncement, et pour peu que l'apparence du faux clavier se rapproche de celle d'un clavier légitime, il peut s'avérer difficile pour un utilisateur non averti de détecter la présence de ce faux clavier en surcouche, puisque son épaisseur est au moins partiellement masquée par les parois (ou bords) du renfoncement. Des moyens de stockage ou des moyens de communication sont généralement également dissimulés au sein du faux clavier, permettant à la personne malveillante de prendre connaissance des données saisies par l'utilisateur, et en particulier de données sensibles telles que, par exemple, le code confidentiel (ou code PIN) d'une carte bancaire de l'utilisateur.

Pour lutter contre ce type de fraudes, des solutions ont été développées pour faciliter la détection d'un dispositif espion, notamment d'un faux clavier, sur le vrai clavier du dispositif de saisie de données. Parmi ces solutions, on peut notamment citer : l'ajout d'un module de rétroéclairage externe au-dessus des touches du clavier du dispositif de saisie de données : ainsi, si un faux clavier est collé par-dessus le clavier d'origine, le faux clavier modifie et notamment limite l'éclairage sur le haut du clavier, ce qui peut être aisément détecté par simple observation du dispositif ; l'ajout d'embossages (i.e. de protubérances) créant du relief sur le clavier du dispositif de saisie de données : ainsi, le collage d'un faux clavier sur le clavier d'origine est rendu plus complexe du fait de la présence de ces protubérances ; par ailleurs, si un faux clavier est collé par-dessus le clavier d'origine, ce faux clavier masque ces embossages, ce qui peut être aisément détecté par simple observation du dispositif ; l'aménagement de découpes au niveau d'au moins un rebord du renfoncement au sein duquel le clavier du dispositif de saisie de données est positionné : ainsi si un faux clavier est collé par-dessus le clavier d'origine, le faux clavier affleure ou dépasse au niveau des découpes aménagée dans les rebords du renfoncement, ce qui peut être aisément détecté par simple observation du dispositif. Comme décrit précédemment, toutes ces solutions reposent cependant sur une inspection visuelle du clavier (par exemple par une personne en charge de la maintenance et de la surveillance ponctuelle du dispositif de saisie de données). En d'autres termes, la détection du faux clavier n'est pas réalisée de manière automatique, et un certain temps (parfois plusieurs heures, voire plusieurs jours) peut s'écouler avant la prochaine inspection visuelle, durant lequel d'éventuelles tentatives de fraudes peuvent se poursuivre.

Il existe donc un besoin pour une solution de détection d'un dispositif espion qui ne présente ces inconvénients des solutions existantes, et qui permette notamment de remonter plus rapidement et de manière automatique une alerte en cas de présomption de présence d'un tel dispositif espion en surcouche d'un clavier d'un dispositif de saisie de données.

Résumé de l'invention

La présente technique se rapporte à une solution visant à remédier à certains inconvénients de l'art antérieur. La présente technique se rapporte en effet à un dispositif de saisie de données comprenant un clavier positionné au fond d'un renfoncement dudit dispositif de saisie de données, ce dispositif comprenant en outre : au moins un capteur de proximité positionné au sein d'un logement aménagé dans un élément dudit dispositif formant protubérance au voisinage dudit clavier, ledit élément correspondant à une paroi dudit renfoncement, ledit capteur de proximité étant orienté vers ledit clavier, ledit capteur de proximité délivrant des mesures ; des moyens d'analyse desdites mesures, délivrant une information représentative d'une présomption de présence d'un dispositif espion sur ledit clavier lorsque lesdites mesures sont supérieures à un seuil prédéterminé pendant un intervalle de temps prédéterminé.

De cette manière le dispositif de saisie de données est à même de détecter de manière automatique - i.e. sans qu'il soit nécessaire d'avoir recours à une inspection visuelle par un opérateur sur le terrain - la présence d'un dispositif espion, typiquement un faux clavier, installé en surcouche du clavier légitime du dispositif de saisie de données, ou à tout le moins de remonter automatiquement une information représentative d'une présomption de présence d'un tel dispositif espion.

Dans un mode de réalisation particulier, ledit au moins un capteur de proximité est positionné au sein d'un logement aménagé dans une paroi supérieure dudit renfoncement. Dans un mode de réalisation particulier, ledit au moins un capteur de proximité est un capteur de proximité infra-rouge.

Dans un mode de réalisation particulier, ledit dispositif de saisie de données comprend des moyens d'affichage d'un message d'alerte sur un écran dudit dispositif de saisie de données, activés lorsque ladite information représentative d'une présomption de présence d'un dispositif espion est délivrée.

Dans un mode de réalisation particulier, ledit dispositif de saisie de données comprend des moyens de communication d'une alerte à un dispositif distant, activés lorsque ladite information représentative d'une présomption de présence d'un dispositif espion est délivrée.

Dans un mode de réalisation particulier, ledit dispositif de saisie de données comprend des moyens de blocage d'au moins une partie dudit dispositif de saisie de données, activés lorsque ladite information représentative d'une présomption de présence d'un dispositif espion est délivrée.

Selon une caractéristique particulière de ce mode de réalisation, lesdits moyens de blocage comprennent des moyens d'extinction d'un écran dudit dispositif de saisie de données et/ou des moyens d'obturation d'une fente d'insertion carte d'au moins un lecteur de carte de transaction dudit dispositif de saisie de données.

Selon un autre aspect, la technique proposée se rapporte également à un procédé de détection d'un dispositif espion positionné sur un clavier d'un dispositif de saisie de données, ledit procédé comprenant les étapes suivantes : obtention de mesures délivrées par au moins un capteur de proximité positionné au sein d'un logement aménagé dans un élément dudit dispositif de saisie de données formant protubérance au voisinage dudit clavier, et orienté vers ledit clavier ; analyse desdites mesures ; délivrance d'une information représentative d'une présomption de présence d'un dispositif espion sur ledit clavier lorsque lesdites mesures sont supérieures à un seuil prédéterminé pendant un intervalle de temps prédéterminé.

Selon un autre aspect, la technique proposée se rapporte également à un produit programme d'ordinateur téléchargeable depuis un réseau de communication et/ou stocké sur un support lisible par ordinateur et/ou exécutable par un microprocesseur, comprenant des instructions de code de programme pour l'exécution d'un procédé de détection d'un dispositif espion tel que décrit précédemment, lorsqu'il est exécuté sur un ordinateur.

La technique proposée vise également un support d'enregistrement lisible par un ordinateur sur lequel est enregistré un programme d'ordinateur comprenant des instructions de code de programme pour l'exécution des étapes du procédé tel que décrit précédemment, dans l'un quelconque de ses modes de réalisation.

Un tel support d'enregistrement peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une clé USB ou un disque dur.

D'autre part, un tel support d'enregistrement peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens, de sorte que le programme d'ordinateur qu'il contient est exécutable à distance. Le programme selon l'invention peut être en particulier téléchargé sur un réseau, par exemple le réseau Internet.

Les différents modes de réalisation mentionnés ci-dessus sont combinables entre eux pour la mise en œuvre de l'invention.

Figures

D'autres caractéristiques et avantages de l'invention apparaîtront plus clairement à la lecture de la description suivante d'un mode de réalisation préférentiel, donné à titre de simple exemple illustratif et non limitatif, et des dessins annexés, parmi lesquels :

[Fig 1] présente un exemple de dispositif de saisie de données selon la technique proposée, dans un mode de réalisation particulier ;

[Fig 2] illustre les principales étapes d'un procédé de prise de contrôle à distance d'un terminal de paiement, dans un mode de réalisation particulier de la technique proposée ;

[Fig 3] décrit une architecture simplifiée d'un dispositif de saisie de données pour la mise en œuvre de la technique proposée, dans un mode de réalisation particulier.

Description détaillée de l'invention La présente technique se rapporte à un dispositif de saisie de données, tel qu'illustré par exemple en relation avec la figure 1, dans un mode de réalisation particulier. Le dispositif de saisie de données DS comprend un clavier C, parfois qualifié dans la suite du document de clavier « légitime » ou « vrai clavier », en ce sens que ce clavier C est le clavier authentique du dispositif de saisie de données DS. Selon le principe général de la technique proposée, le dispositif de saisie de données DS comprend en outre des moyens permettant de détecter de manière automatique la présence d'un dispositif espion, typiquement un faux clavier (ou « clavier pirate »), installé en surcouche du clavier légitime du dispositif, ou à tout le moins de remonter une information représentative d'une présomption de présence d'un tel dispositif espion. Par « détection de manière automatique », on entend ici qu'il n'est pas nécessaire, selon la technique proposée, de procéder à une inspection visuelle du dispositif de saisie de données pour détecter la présence d'un dispositif espion, contrairement aux solutions de l'art antérieur.

Ces objectifs sont atteints grâce à l'association, au sein du dispositif de saisie de données DS, d'un capteur de proximité CP (ou, éventuellement, d'une pluralité de capteurs de proximité) positionné et orienté de manière particulière, et de moyens d'analyse des mesures délivrées par ce capteur.

Selon la technique proposée, le capteur de proximité CP est plus particulièrement positionné au sein d'un logement aménagé dans un élément (EP) du dispositif de saisie de données DS formant protubérance au voisinage du clavier. Par élément formant protubérance au voisinage du clavier, on entend un élément positionné dans une zone périphérique proche du clavier (par exemple à moins de quelques centimètres d'un bord du clavier, par exemple à moins de deux ou trois centimètres), et s'étendant sensiblement perpendiculairement à la surface principale du clavier (i.e. la surface qui porte les touches du clavier). Ainsi, le capteur est protégé physiquement au sein de son logement. Le capteur de proximité est par ailleurs orienté de manière à ce que sa zone de détection soit dirigée vers le clavier C. Plus particulièrement, le capteur de proximité est positionné, orienté, et sélectionné de manière à ce que la zone de détection de ce capteur englobe ou coïncide avec l'intégralité ou une majeure partie d'un volume situé immédiatement au-dessus du clavier, de surface de base la surface du clavier. Ainsi, le capteur de proximité est capable de détecter la présence d'un faux clavier collé sur le clavier légitime, même si ce faux clavier est de très faible épaisseur (de l'ordre du millimètre). Dans un mode de réalisation particulier, correspondant à celui illustré en relation avec la figure 1, le clavier C est positionné au fond d'un renfoncement R du dispositif de saisie de données, et l'élément protubérant EP (au sein duquel est installé le capteur de proximité CP) correspond à une paroi P du renfoncement R. Par renfoncement, on entend ici par exemple une cavité aménagée au sein du dispositif de saisie de données, ou encore une zone du dispositif comprise entre les parois d'un cache-clavier formant protubérance sur une surface du dispositif. Qu'il prenne la forme d'une cavité ou de l'intérieur d'un cache-clavier, le renfoncement est délimité par au moins une paroi sensiblement perpendiculaire au fond du renfoncement. Dans le cas classique d'un clavier rectangulaire, le renfoncement est généralement délimité par quatre parois : une paroi supérieure au-dessus du clavier, une paroi inférieure au-dessous du clavier, et deux parois latérales respectivement à gauche et à droite du clavier. Dans un tel mode de réalisation, le capteur de proximité est par exemple positionné, orienté, et sélectionné de manière à ce que la zone de détection de ce capteur englobe ou coïncide avec l'intégralité ou une majeure partie du volume situé immédiatement au-dessus du clavier, de surface de base la surface du renfoncement, et de hauteur inférieure ou égale à la hauteur du renfoncement. Ainsi, le capteur de proximité est en mesure de détecter toute intrusion d'un objet dans le volume défini par le renfoncement. Selon une caractéristique particulière de ce mode de réalisation, plusieurs capteurs de proximité sont positionnés dans les parois du renfoncement, de manière à limiter ou supprimer la présence d'éventuels « angles morts » - c'est à dire de zones potentiellement non couvertes par au moins un capteur de proximité - au sein du renfoncement.

Dans un mode de réalisation particulier, correspondant à celui illustré en relation avec la figure 1, le capteur de proximité est positionné au sein d'un logement aménagé dans une paroi supérieure du renfoncement. Une telle caractéristique est avantageuse, car les dispositifs de saisie de données selon la présente technique sont le plus souvent destinés à être utilisés par une personne debout (ou éventuellement par un conducteur installé dans son véhicule, par la fenêtre ouverte du véhicule), aussi le clavier de saisie de données est-il le plus souvent positionné dans un plan vertical ou sensiblement vertical, plus adapté pour ce type d'utilisation qu'un positionnement « à plat » (i.e. dans un plan horizontal ou sensiblement horizontal). Le fait que le capteur de proximité soit positionné dans la paroi supérieure du renfoncement permet alors non seulement d'accroitre sa protection physique (ce côté du renfoncement est par exemple celui qui est le moins susceptible d'être atteint par un projectile, lorsque le clavier est positionné de manière verticale et sensiblement à mi-hauteur d'homme), mais également de le rendre moins visible que s'il était positionné sur une autre paroi du renfoncement. Ainsi mieux dissimulé, le capteur de proximité risque moins de faire l'objet d'attaques de personnes malveillantes qui chercheraient par exemple à le désactiver afin de pouvoir installer un faux clavier sur le clavier légitime.

Dans le cadre de la présente technique, différents types de capteurs de proximité peuvent être utilisé pour permettre la détection d'un dispositif espion, tels que par exemple des capteurs de proximité capacitifs, magnétiques, à ultra-sons, photoélectriques, etc. Toutefois, dans un mode de réalisation particulier, le capteur de proximité est un capteur à technologie infra-rouge, qui présente de multiples avantages en ce sens qu'il est peu coûteux, robuste, apte à détecter tout type d'objets (métalliques ou non) de jour comme de nuit, et de portée adaptée aux dimensions classiques d'un clavier équipant les dispositif de saisie de données plus particulièrement concernés par la technique proposée, tels que les bornes intégrant des terminaux de paiement par exemple (i.e. les dimensions d'un tel clavier sont typiquement de l'ordre de quelques centimètres, en largeur comme en longueur).

Le capteur de proximité délivre de manière répétée (par exemple toutes les secondes) au moins une mesure, généralement représentative d'une différence d'énergie entre un signal émis par un émetteur du capteur de proximité (par exemple la lumière infrarouge émise par une LED infrarouge du capteur) et un signal reçu par un récepteur du capteur de proximité (par exemple la lumière infrarouge reçue par un récepteur infrarouge). Ces mesures sont fournies en entrée des moyens d'analyse du dispositif de saisie de données, qui prennent typiquement la forme d'un ou plusieurs processeurs associés à une ou plusieurs mémoires.

Les moyens d'analyse déterminent si, pendant un temps prédéterminé correspondant par exemple à une durée supérieure à la durée moyenne d'utilisation du dispositif de saisie de données par un utilisateur, les mesures obtenues du capteur de proximité diffèrent (en valeurs instantanées ou en valeurs moyennes glissantes) de manière significative des mesures obtenues dans un état de repos du dispositif de saisie de données, correspondant à un état dans lequel : le dispositif de saisie de données n'est pas utilisé ; aucun dispositif espion n'est installé sur le clavier du dispositif de saisie de données.

Dans l'affirmative, une information représentative d'une présomption de présence d'un dispositif espion sur le clavier est délivrée en sortie des moyens d'analyse, car cette variation significative des mesures obtenues par le capteur de proximité peut avoir pour origine une modification de structure au voisinage du clavier du dispositif de saisie de données (par exemple une modification de structure au sein d'un renfoncement dans lequel le clavier est positionné).

Plus particulièrement, les mesures délivrées par le capteur de proximité sont comparées (en valeurs instantanées ou en moyenne) à un seuil prédéfini stocké au sein du dispositif de saisie de données. La valeur de ce seuil est déterminée en fonction de plusieurs facteurs, comprenant notamment le type de capteur de proximité utilisé et la structure du dispositif de saisie de données (notamment la géométrie et les dimensions du renfoncement lorsque le clavier est positionné au fond d'un renfoncement). Elle est par exemple déterminée en usine ou en laboratoire, avant l'installation du dispositif de saisie de données à son emplacement de destination, en comparant des mesures délivrées par le capteur de proximité lorsque le dispositif de saisie de données est dans un état de repos tel que défini précédemment avec des mesures délivrées par le capteur de proximité lorsque le dispositif de saisie de données est dans un état dit « altéré », avec un objet positionné sur le clavier de forme proche d'un dispositif espion tel qu'un faux clavier. Selon une caractéristique particulière, le dispositif de saisie de données comprend des moyens de mises à jour de ce seuil, permettant d'ajuster la sensibilité de détection même après installation du dispositif de saisie de données, si cela s'avère nécessaire.

Dans un mode de réalisation particulier, l'information représentative d'une présomption de présence d'un dispositif espion sur le clavier est délivrée lorsque les mesures obtenues en provenance du capteur de proximité restent supérieures à un seuil prédéterminé pendant un intervalle de temps prédéterminé.

En cas de délivrance de l'information représentative d'une présomption de présence d'un dispositif espion sur le clavier du dispositif de saisie de données, divers mécanismes sont mis en œuvre, dans divers modes de réalisation particuliers alternatifs ou complémentaires décrits ci-après, pour protéger les utilisateurs du dispositif de saisie de données d'un risque de fraude et/ou pour alerter un opérateur en charge de la gestion (e.g. administration, maintenance, etc.) du dispositif de saisie de données.

Dans un mode de réalisation particulier, le dispositif de saisie de données comprend par exemple des moyens de communication d'une alerte à un dispositif distant, activés lorsque l'information représentative d'une présomption de présence d'un dispositif espion est délivrée. Ces moyens prennent par exemple la forme d'une interface réseau (filaire ou sans-fil, e.g. Wifi, Bluetooth, cellulaire, etc.) permettant de transmettre à un serveur distant et/ou à un dispositif de communication (smartphone, tablette) d'un technicien de terrain un message d'alerte comprenant un identifiant du dispositif de saisie de données. De cette manière, l'opérateur en charge de la gestion du dispositif de saisie de données a la possibilité d'intervenir rapidement pour inspecter le dispositif et, le cas échéant, prendre les mesures appropriées pour mettre hors service le dispositif espion, limitant ainsi l'ampleur de la fraude.

De manière complémentaire, le dispositif de saisie de données comprend par exemple des moyens d'affichage d'un message d'alerte sur un écran du dispositif de saisie de données, activés lorsque ladite information représentative d'une présomption de présence d'un dispositif espion est délivrée. Ainsi, un message dissuadant l'utilisateur d'insérer sa carte de paiement dans le lecteur et/ou d'utiliser le clavier pour saisir des données peut être affiché sur l'écran du dispositif de saisie de données, limitant les chances de succès de la fraude.

Dans un autre mode de réalisation particulier, alternatif ou complémentaire, le dispositif de saisie de données comprend par exemple des moyens de blocage d'au moins une partie du dispositif de saisie de données, activés lorsque l'information représentative d'une présomption de présence d'un dispositif espion est délivrée. Par exemple, ces moyens peuvent prendre la forme de moyens d'extinction de l'écran du dispositif de saisie de données et/ou de moyens d'obturation (e.g. un volet de protection) d'une fente d'insertion d'une carte de paiement d'un lecteur du dispositif de saisie de données, avec l'objectif d'empêcher un utilisateur de pouvoir utiliser le dispositif de saisie de données dans cette situation où un risque de fraude est identifié.

Selon un autre aspect, la technique proposée se rapporte également à un procédé de détection d'un dispositif espion positionné sur un clavier d'un dispositif de saisie de données. Les principales étapes d'un tel procédé sont illustrées en relation avec la figure 2, dans un mode de réalisation particulier. Ce procédé est par exemple mis en œuvre par module logiciel dédié exécuté au sein du dispositif de saisie de données, par exemple par un processeur sécurisé du dispositif de saisie de données, et il comprend : dans une étape 21, l'obtention de mesures délivrées par au moins un capteur de proximité positionné au sein d'un logement aménagé dans un élément du dispositif de saisie de données formant protubérance au voisinage du clavier ; dans une étape 22, l'analyse desdites mesures, comprenant la comparaison de ces mesures (en valeurs instantanées ou en moyenne) à un seuil prédéterminé ; dans une étape 23, la délivrance d'une information représentative d'une présomption de présence d'un dispositif espion sur ledit clavier lorsque lesdites mesures sont supérieures au seuil prédéterminé pendant un intervalle de temps prédéterminé.

Comme déjà présenté précédemment en relation avec la description du dispositif de saisie de données, diverses étapes complémentaires (non représentées sur la figure 2) peuvent également être mises en œuvre lorsqu'une information représentative d'une présomption de présence d'un dispositif espion sur le clavier est délivrée à l'issue de l'étape 23. Ces étapes comprennent par exemple : la transmission d'un message d'alerte à au moins un dispositif distant, via un réseau de communication ; l'affichage d'un message d'alerte sur un écran du dispositif de saisie de données ; et/ou l'activation de moyens de blocage d'au moins une partie du dispositif de saisie de données.

On présente maintenant, en relation avec la figure 3, une architecture simplifiée d'un dispositif de saisie de données DSD apte à mettre en œuvre le procédé de détection d'un dispositif espion tel que présenté précédemment, dans un mode de réalisation particulier. Un tel dispositif de saisie de données DSD comprend une mémoire 31, une unité de traitement 32 équipée par exemple d'un microprocesseur, et pilotée par un programme d'ordinateur 33. Le dispositif de saisie de données comprend également une mémoire sécurisée 34, qui peut être fusionnée avec la mémoire 31 (comme indiqué en pointillés, dans ce cas la mémoire 31 est une mémoire sécurisée), une unité de traitement sécurisée 35 équipée par exemple d'un microprocesseur sécurisée et de mesure physiques de protection (protection physique autour de la puce, par treillis, vias, etc. et protection sur les interfaces de transmission de données), et pilotée par un programme d'ordinateur 36 spécifiquement dédié à cette unité de traitement sécurisée 35, ce programme d'ordinateur 36 mettant en œuvre toute ou partie du procédé de détection tel que précédemment décrit. Le dispositif de saisie de données DSD comprend également un ou plusieurs capteurs de proximité connecté à l'unité de traitement 32 et/ou à l'unité de traitement sécurisée 35, les mesures effectuées par ces capteurs étant susceptibles d'être stockées au moins temporairement dans la mémoire 31 et/ou dans la mémoire sécurisée 35. Le groupe composé de l'unité de traitement sécurisée 35, de la mémoire sécurisée 34 et du programme d'ordinateur dédié 36 constitue la portion sécurisée (PS) du dispositif de saisie de données DSD. Dans au moins un mode de réalisation, la présente technique est mise en œuvre sous la forme d'un ensemble de programmes installé en partie ou en totalité sur cette portion sécurisée du dispositif de saisie de données. Dans au moins un autre mode de réalisation, la présente technique est mise en œuvre sous la forme d'un composant dédié (CpX) pouvant traiter des données des unités de traitement et installé en partie ou en totalité sur la portion sécurisée du dispositif de saisie de données DSD. Par ailleurs, le dispositif de saisie de données DSD comprend également des moyens de communication (CIE) se présentant par exemple sous la forme de composants réseaux non filaires (WiFi, 3G/4G/5G, etc.) ou filaires (Ethernet, USB, etc.) qui permettent au dispositif de recevoir des données (I) en provenance d'entités connectées à un ou plusieurs réseaux de communication et des transmettre des données traitées (T) à de telles entités.