Procédé de génération et d' utilisation d' un titre dématérialisé dans un dispositif portable et système de gestion de titres correspondant L ' invention se rapporte à un procédé de génération et à un procédé d'utili sation d' un j eton stocké dans un di spositif portable, et à un système de gestion de j etons correspondant.

L'invention s ' inscrit dans le domaine des transactions électroniques pouvant être effectuées à partir d' un di spositif portabl e.

Dans le cadre de systèmes transactionnel s, des documents, ci- après nommés titres, susceptibles de conférer un droit, ne serait-ce que temporaire, sont délivrés à un utili sateur afin qu' il pui sse bénéficier de l ' obtention d' un service ou d'un bien auprès d' un organi sme en échange de ce document.

Un tel titre se rapporte par exemple à un titre restaurant, un bon de réduction, un ticket de parking ou encore à un titre de paiement.

Le titre restaurant est par exemple matériali sé par des coupons papier sécuri sés.

Dans le cadre de la gestion de ces titres et plus préci sément pour ce qui concerne la gestion des titres restaurant, celle-ci est très contraignante.

En effet, un salarié a droit à un et un seul titre restaurant par j our de travail effectif, les j ours d'ab sence du salarié en étant exclus, quel que soit le motif, et notamment pour cause de maladie ou de congés.

Dans un tel contexte, il apparaît inenvi sageable dans la pratique, tant du point de vue de l'employeur que de celui du salarié, de di stribuer quotidiennement un titre restaurant par salarié. Ainsi, dans la plupart des cas l 'employeur commande des carnets de plusieurs titres restaurant afin qu' un ou plusieurs de ces carnets soient di stribués à chaque salarié en début de moi s. Dans ce mode de fonctionnement un titre restaurant ne peut être utili sé que par le salarié auquel il a été remi s par l'employeur. Cependant, un inconvénient maj eur qui se pose dans la mi se en œuvre d' un tel procédé est lié au fait que des contraintes obligent l'employeur à commander les carnets de titres par avance et à maintenir une liste des titres di stribués à chaque salarié, tout en veillant à ne pas accumuler trop de carnets de titres, ceux-ci ayant de façon connue une période de validité déterminée. Un tel procédé n'est donc pas sati sfai sant car il requiert des ressources matérielles et humains importantes .

Pour pallier cet inconvénient on connaît dans l ' art antérieur des procédés permettant de gérer des documents de même nature que ceux précédemment évoqués mais sous une forme dématériali sée. De tel s documents sont gérés habituellement sous formes de compteurs associés à des paramètres de gestion tel que le titre, la date de validité, la ou les val eurs, etc ..

Dans de tel s procédés, les mécani smes de dématériali sation de titres avec des compteurs sont gérés de deux manières différentes.

Selon une première technique, des compteurs correspondants aux différents titres utili sés sont implémentés dans une carte à puce d' authentification, cette carte à puce étant prévue pour être utili sée avec un terminal lecteur de cartes .

Ce terminal a pour fonction d' effectuer des opérations de débits de titres en mode non connecté en contrôlant le type, la validité et le ou les compteurs des titres, ainsi que de réali ser la décrémentation des compteurs, la génération des transactions de débit et, en mode connecté, la tél écollecte périodique de ces transactions vers un serveur de gestion.

Ce terminal permet également de recharger la carte à puces en titres en mettant en œuvre des étapes d' authentifi cation de la carte, de contrôle des compteurs et leurs paramètres respectifs, de connexion au serveur de gestion afin d'incrémenter les compteurs des nouveaux titres à di sposition.

Une seconde manière consi ste en ce que le terminal est cette fois-ci connecté au serveur de gestion des titres. Les opérations de débits de s titres sont alors effectuées via le terminal par le serveur de gestion des titres. Ainsi une foi s la carte authentifiée, le terminal transmet le type de titre et le nombre de titres à décrémenter. Le serveur effectue un contrôle et décrémente les compteurs correspondant au type de titre et enregi stre la transaction.

Le chargement des nouveaux titres est effectué directement sur le serveur de gestion des compteurs .

Un inconvénient maj eur est qu' une telle solution comporte un certain nombre de contraintes liées à la gestion des compteurs implémentés dans la carte à puce d' authentification, et rend par conséquent difficile leur intégration et leur traitement dans la chaîne de gestion de compensation financière.

De plus, un autre inconvénient important se rapporte à la gestion des compteurs et des contraintes liées à leur cohérence en fonction d' un référentiel, qui peut être compri s dans l a carte à puce ou centrali sé dans une base de données, et qui demande des contrôles permanents afin d' assurer l'intégrité de ces compteurs, lesdits contrôles requérant des ressources matérielles de façon importante et constante.

On pourra enfin se référer au document EP-A- 1 41 1 482, qui décrit un système de gestion de tickets dématériali sés dans lequel un crédit de j etons alloués à des utili sateurs est mémorisé et géré de manière centrali sée au sein d' une société émettrice et dans lequel des ordres de compensation financière sont directement transmi s de l 'utili sateur vers la société émettri ce.

Cette solution nécessite une gestion lourde des j etons et est difficile à mettre en œuvre dans la mesure où elle nécessite l ' établi ssement de plusieurs connexions pour le débit des j etons et la transmi ssion des ordres de compensation financière.

L ' invention propose d' améliorer l ' interopérabilité et la portabilité des mécani smes de dématériali sation de titres, du type titre restaurant, de sorte à les rendre compatible avec les systèmes de gestion exi stant pour de tel s titres .

De plus, la présente invention confère l ' avantage de diminuer le temps d' occupation des ressources matérielles des di spositifs sollicités lors de la mise en œuvre du procédé solution de cette invention, et donc la consommation énergétique qui en résulte.

L'invention permet également de ne plus requérir des contrôles de cohérence comme c'est le cas dans le cadre de la gestion de compteurs, et d'améliorer la sécurité dans de tels mécanismes de dématérialisation de titres.

L'invention a donc pour objet un procédé de génération d'un titre dématérialisé, comportant :

- une sélection de données relatives à des paramètres de gestion du titre ;

- un traitement desdites données de sorte à générer un jeton ;

- une sécurisation dudit jeton ;

- une transmission du jeton sécurisé vers un dispositif portable distant ; et

- une mémorisation dudit jeton sécurisé dans une zone de mémoire sécurisée du dispositif portable.

On comprendra que la mémorisation du jeton dans une zone sécurisée du dispositif portable offre l'avantage d'éviter qu'il ne puisse être subtilisé et/ou qu'il soit dupliqué.

Avantageusement, l'étape de sécurisation consiste à chiffrer ledit jeton à partir d'une clé cryptographique.

Dans un mode de mise en œuvre, les étapes de génération et de sécurisation du jeton sont mises en œuvre au sein d'un centre serveur centralisé. En outre, lors de l'étape de mémorisation, on établit une communication avec le dispositif portable distant.

Par exemple, le dispositif portable est un dispositif de stockage données, notamment de type carte à puce ou carte mémoire.

Le dispositif portable peut être un poste de télécommunication sans fil.

L'invention a également pour objet un procédé d'utilisation d'un titre dématérialisé stocké dans une zone mémoire d'un dispositif portable, comprenant les étapes suivantes : - établissement d'un canal de communication sécurisé entre le dispositif portable et un dispositif tiers servant à la mise en œuvre d'une transaction pour le débit de titres ;

- transmission d'un titre vers le dispositif tiers ;

- établissement d'une communication entre le dispositif tiers et un centre de collecte ; et

- transfert dudit titre du dispositif tiers vers le centre de collecte.

Dans un mode de mise en œuvre, le dispositif comprend, stocké en mémoire, un ensemble de titres dématérialisés, le procédé comprenant en outre une étape de sélection automatique du titre à transmettre vers le dispositif tiers.

L'invention a encore pour objet un système de gestion de titres dématérialisés stockés dans des zones mémoires sécurisées d'un ensemble de dispositifs portables, comprenant une plateforme de gestion comprenant

- des moyens de stockage de données pour le stockage de données relatives à des paramètres de gestion des titres,

- un centre serveur de gestion comprenant des moyens de traitement pour gérer des jetons à partir des paramètres de gestion,

- des moyens de communication adaptés pour communiquer avec des moyens de communication correspondants des dispositifs portables pour la recharge des dispositifs en titres dématérialisés, et

- un réseau de dispositifs tiers servant à la mise en œuvre de transactions tendant à débiter les dispositifs en titres dématérialisés, et comprenant des premiers moyens de communication adaptés pour communiquer avec des moyens de communication correspondants des dispositifs pour établir un premier canal de communication sécurisé et avec les moyens de communication de la plateforme pour établir un deuxième canal de communication sécurisé.

Selon une autre caractéristique, la plateforme comporte une base de données de stockage des titres dématérialisés générés, raccordée au centre serveur.

Par exemple, un titre dématérialisé est un titre de paiement. D'autres buts, caractéristiques et avantages de l'invention apparaîtront à la lecture de la description suivante, donnée uniquement à titre d'exemple non limitatif, et fait en référence aux dessins annexés sur lesquels :

- la figure 1 est une représentation d'un système de gestion de titres selon l'invention illustrant la procédure de génération des jetons ;

- la figure 2 est une représentation du système de gestion de la figure 1, illustrant la procédure de stockage des titres dans le dispositif portable ; et

- la figure 3 est un procédé d'utilisation de titres selon un mode de mise en œuvre de l'invention.

Le système de gestion de titres dématérialisés illustré à la figure 1 est destiné à l'élaboration de titres dématérialisés destinés à être mémorisés et utilisés dans un dispositif portable 1.

Dans l'exemple de mise en œuvre, les titres dématérialisés se présentent sous la forme de jetons correspondant à des titres de paiement dématérialisés. Comme indiqué précédemment, il s'agit par exemple, mais de manière nullement limitative de titres de paiement, tels que des titres restaurants, des bons de réduction, des tickets de parking...

Ce titre dématérialisé est un objet numérique. Cet objet numérique correspond à un ensemble structuré de données, sur lequel une signature électronique est apposée à partir d'une clé privée émise par une autorité de confiance. Cet objet numérique correspond à un fichier numérique comportant cet ensemble structuré de données dont notamment les paramètres de gestion de titre.

L'entité qui joue le rôle de tiers de confiance est l'émetteur de la carte, qui peut se fournir en certificat maître auprès d'une autorité de confiance reconnue pour la délivrance de ces certificats.

Comme on le voit sur la figure 1, le système de gestion comporte essentiellement une plateforme de gestion 2 centralisée, assurant l'élaboration proprement dite des jetons, comprenant un dispositif émetteur de jetons 3, une première base de données 4 dans laquelle sont stockées des informations servant à l'élaboration des jetons, et une deuxième base de données 5 dans laquelle sont stockés les jetons, après avoir été générés.

Le dispositif émetteur de jetons 3, dénommé serveur HSM, comprend un centre serveur de gestion associé à un dispositif HSM (acronyme de « Hardware Security Module », qui signifie Module Matériel de Sécurité), sous la forme d'un jeton sécurisé à partir d'algorithmes cryptographiques. Ce jeton avant d'être sécurisé est alors généré à partir de paramètres de gestion contenus dans la première base de données 4 reliée à ce serveur HSM.

Les paramètres de gestion entrant dans la réalisation du jeton comportent les caractéristiques du titre en question à savoir, et de manière non exhaustive : numéro de série, nom de société ou collectivité employeur de l'utilisateur, valeur du titre, millésime, date de validité, etc...

L'ensemble de ces paramètres est signé avec des algorithmes tels que RSA, DES, 3xDES, SHA, AES, etc....

Ce serveur HSM comporte des moyens pour sécuriser l'objet numérique, donc le jeton. Le jeton sécurisé ainsi obtenu étant ensuite archivé dans une base de données.

Le mode de sécurisation utilisé pour les jetons, est de signer, à l'aide d'une clef cryptographique utilisée par le HSM, les éléments constitutifs du jeton. Le jeton selon les cas peut être aussi chiffré à l'aide d'une clé privée du HSM.

Dans le présent mode de réalisation et de manière non limitative, la clé cryptographique est associée à l'émetteur de la carte.

La sécurisation est effectuée suite à la réception d'une commande de génération de jeton par la société employeur de l'utilisateur.

Ce serveur HSM est un appareil qui stocke des clefs et effectue des calculs cryptographiques dans une enceinte considérée comme inviolable. Il s'agit, plus particulièrement d'un matériel électronique offrant un service de sécurité qui consiste à signer et chiffrer des j etons sous la forme de certificats. Ces j etons sont stockés dans la base de données 5.

Le serveur HSM comporte des moyens de traitement tels qu' un processeur et des moyens de mémoire (mémoire vive et une mémoire morte) . Ces moyens de traitement sont aptes à mettre en œuvre un programme d'ordinateur, archivé dans les moyens de mémoire, comportant des instructions vi sant la génération de j etons sécuri sés. Les variables nécessaires à l'exécution de ce programme sont mémori sées au besoin dans la mémoire sécuri sée. Ces variables se rapportent par exemple aux paramètres de gestion.

La pl ateforme de gestion 2 est par ailleurs pourvue d' un modul e de communication comprenant des moyens de communication (non représentés) capables de communiquer avec des moyens de communication correspondants prévus dans le di spositif portable 1 . Ces moyens de communication peuvent être constitués par des moyens de télécommunication sans fil ou des moyens de télécommunication filaires. Toutefois, dans un mode de réali sation avantageux, ces moyens de communication sont prévus dans la plateforme de gestion, d' une part, et dans le di spositif portable, d' autre part, sont aptes à communiquer via les réseaux mobiles ou Internet et ce, de manière sécuri sée.

En outre, comme cela sera décrit en détail par la suite, la pl ateforme de gestion 2 est dotée de moyens de communication capables de communiquer avec des di spositifs tiers, de type terminaux de paiement, de manière à établir un canal de communication sécuri sé.

Le serveur HSM comporte égal ement des moyens d'accès aux bases de données 4 et 5 , dont l ' une comporte des données utili sées par le serveur HSM pour l ' élaboration des j etons sécuri sés et l ' autre pour archiver ces j etons .

Le serveur HSM est également relié à un centre de collecte se rapportant à des serveurs aptes à émettre des commandes nécessaires au déclenchement de la création de j etons sécuri sés par ce serveur HSM. Ce serveur HSM ainsi que les bases de données sont disposés dans la plateforme technique de gestion gérée par une entité qui peut être par exemple une entreprise d'émission de titres matériels, ou encore une entreprise d'émission de titres restaurant sous forme papier.

En ce qui concerne le jeton, celui-ci comporte un certificat contenant, notamment, les données suivantes :

Certificate:

Data:

Version: 3 (0x2)

Sériai Number: 41 (00x29)

Signature Algorithm: shal WithRSSAEncryptio n

Issuer: CC=FR, ST=FRANCE, L=Saint-lo, 0=CEV, OU=CEV,

Validity

Not Before: Mar 22 17:56:552010 GMT

Not After: Mar 22 17:56:552011 GMT

Subject: C=FR, ST= FRANCE, O =CEV, CN=ssqfdsqgfqsdgghdfqsdhqgssdghs

Subject Public Key Innfo:

Public Key Algorithm: rsaEncrryption

RSA Public Key: (512 bit)

Modulus (512 bit):

00 : bd : : aOO : 9 : e0 : b : : 8 : e : 97 : e6 :41:59:e7:

e 0 : f 4 : b 1 : 688 : 36 : 63 : 6 a : c 55 : f f : c 8 : 95 : d 4 :42:29:a5:

25 : ae: 94 : b22 : b3 : 69 : b7 : 773 : 21 : 36:4b : fff: 72 : 89 : ca :

65 : e4 : 72 : 100 :4e: dd : 91 : 777 : 2d : 90 : 02 : 665 : 3 d : f6 : 89 :

e6:2f:7b:000:61

Exponent: 655537 (0x100011)

Signature Algorithm: shal WithRS AEncryption

7a : 69 :4ee : 83 :4d : 9b : a99 : : 2a : 59 : O : 03 : 16 : 9d : 16 :b7:05:bc:

af: ca : 09 : f2 : a9 : 89 : 8a : : 1 c : ff : 9d :4d : 000 : ab : a7 : 96 : 33 f : 1 e : 53 :

f6 : 3 a : 62 : 22 : 6a : 58 : 9f : : 63 : 18 : 94 : 51 :9c:ba:93 :fb : :e2:68 : 0e:

75 : bO : 811 : 9f : cd : ad : 6f : : 0c : 25 : 25 : 61 :8c:39:62:399:2d:82:de: 8f:f6:fc:446:27:3c:c7:bbl:b2:b7:d6:229:42:39:c7: e2:97:f2: 57:13:977:30:ld:71:a33:54:0f:bf:277:10:81:71:0f :7f:f0:8a: b6:0b :211:ef:0e:69:733:c5: 58 :8d: 800:45 :3b :f6:a55:dd: 57:05: 79:17:5dd:64:37:83:5ff:ea:a0:c2:8f:e5:a2:lc:6f::41:25:88:

2b:c4:lbb:cd:b5:13:288:6e:04:f9:a44:d9:67:77:all:af:b3:4c: cc:le:d22:0f:90:78:6e :43:43:lf:51 :05:8d: 19:477:c4:al :0c: de: 78 : Γ4 : db :44 : aO : 166 : 80 : 5b : b9 : 822 : 66 : a8 : 2 : 91T: d3 : 8a : ed : 34:bl:b44:87:eb:ef:4cc:b2:28:7c:dll:44:fb:4d:044:9a:el:7b: 82:31:811 :6d : Γ5 :2(): 833 : 8d : 14: ff:6f: dd2 : Γ3 :c5 : 83 :eef: 80: 17: 73 : fb : 29 : 13 : c9 : 3 a : 300 : 3 e: 02 : e5 : b33 : 77 : cO : Oa : c88 : 28 : 57 : 83 : 76:f7:dd:aa

Contrairement au document dématérialisé selon l'état de la technique qui est implémenté sous la forme d'un compteur, le jeton est dans la présente invention complètement autonome du fait qu'il comporte les éléments tels que les paramètres de gestion du titre dématérialisé, notamment, type de titre, date de validité, valeur, numéro de série du titre, identifiant de l'émetteur, identifiant, ... et la signature de l'ensemble.

Le jeton après avoir été généré est archivé dans une zone sécurisée du dispositif portable 1.

On notera que le dispositif portable 1 peut être réalisé de diverses manières.

Dans un premier mode de réalisation, le dispositif portable 1 est réalisé sous la forme d'un support de stockage de données, de type carte à puce, contenant un microcontrôleur et de la mémoire, de type carte à microcircuit, carte SIM, ou de type carte à mémoire amovible de stockage de données, de type carte micro SD, SDHC, ...

Le dispositif portable 1 peut encore comporter un support de stockage de données de type périphérique, comme par exemple clé USB ou une clé Firewire.

Dans ce mode de réalisation, le dispositif portable est prévu pour être inséré dans un équipement ou terminal informatique ou de télécommunication. Dans un autre mode de réali sation, le di spositif portable peut être constitué par un équipement de communication mobile ou portable comportant une zone mémoire dans laquelle peuvent être stockés les j etons, et capable de communiquer par voie d' onde via un réseau de communication mobile ou cellulaire et un réseau local sans fil du type WLAN, Wifi, Bluetooth, Wimax ou Infrarouge.

En d' autres termes, le di spositif portabl e peut être soit un support de stockage de données amovible et comporter des moyens de raccordement, notamment un connecteur, capables de coopérer avec des moyens de raccordement d'un équipement informatique ou de télécommunication, pour utili ser ses moyens de communication, notamment en vue de sa recharge, ou être constitué par un équipement de communication intégrant dès lors de tels moyens de communication.

En d' autres termes, lorsque le di spositif portable 1 est constitué par un support de stockage de données amovible, il peut être connecté notamment à un ordinateur fixe ou portable, à une tablette numérique et multimédia, à un terminal de paiement électronique, ou encore à tout autre équipement informatique portable ou non pouvant accueillir un tel di spositif et intégrant des moyens de communication lui permettant d' établir une communication notamment avec la pl ateforme.

Lorsque le di spositif portable est constitué par un terminal de communication il incorpore de tels moyens de communication. Il peut s' agir d' un tél éphone mobile, d' un assi stant personnel numérique (ou PDA, ou encore « Smartphone »), d' une tablette numérique multimédia, ...

En effet, comme indiqué précédemment, les moyens de communication du di spositif portable ou, en variante de l ' équipement dans lequel il vient se monter, sont adaptés pour établir un canal de communication sécuri sé avec la pl ateforme de gestion 2 pour le tél échargement des j etons stockés dans la base de données 5. Ainsi, ce téléchargement peut s ' effectuer soit en établi ssant une communication directe entre la pl ateforme et le di spositif, soit en insérant le di spositif dans un équipement hôte pour récupérer, par son intermédiaire, les j etons stockés dans la base 5.

Ainsi, le di spositif portable ou le terminal dans lequel il vient se raccorder peut être constitué par tout équipement comprenant :

- des moyens de traitement comprenant au moins un microprocesseur,

- de la mémoire volatile et/ou non volatile et/ou de masse,

- des moyens de sai sie, tel qu' un clavier et/ou une souri s et/ou écran tactile ou encore à des moyens de commande vocale,

- des moyens d' affichage,

- des moyens de communication, et

- un él ément de lecture/écriture de di spositif portable (par exemple : lecteur de carte mémoire ou de carte SIM) .

Les moyens de communication considérés ici se rapportent par exemple aux technologies et/ou normes suivantes :

- Bluetooth et/ou IrDA (Infrared Data Association), et/ou WI- FI (abbreviation de wireless fidelity) et/ou Wimax, et GPRS (General Packet Radio Servi ce), GSM, UMTS, HSDPA ou IMS (IP Multimedia Sub sy stem) .

- ou encore Ethernet.

Le système de gestion comporte encore un ensemble de terminaux de paiement 6 (figure 3 ) destinés à être utili sés pour effectuer une transaction tendant à débiter le di spositif portable d' un j eton.

Ces terminaux de paiement comportent des moyens de traitement et des moyens de communicati on capables de coopérer avec les moyens de communication du di spositif portable, en établi ssant un premier canal de communication sécuri sé, et avec les moyens de communication de la pl ateforme pour établir un deuxième canal de communication sécuri sé. et des moyens de traitement.

Les moyens de traitement du di spositif portable sont aptes à mettre en œuvre un programme d'ordinateur, archivé dans les moyens de mémoires, comportant des instructions aptes effectuer les traitements nécessaires pour réaliser les étapes de rechargement de jetons, et de transaction avec les terminaux de paiement.

Les étapes de rechargement peuvent s'effectuer soit en établissant une communication entre le dispositif portable et le serveur, soit par l'intermédiaire des terminaux de paiement.

Dans le cas où le dispositif portable est un terminal mobile, celui-ci dans le cadre de l'étape de rechargement établit une connexion avec la plateforme 2.

Le module de communication de la plateforme comporte des moyens de communication aptes à envoyer les jetons sécurisés du dispositif portable directement via le réseau mobile ou le réseau Internet.

Le protocole de rechargement du dispositif portable comporte les étapes suivantes :

-étape de connexion du dispositif portable, et d'établissement d'un canal de communication sécurisé avec authentification mutuelle

(utilisant des clés symétrique ou asymétrique) entre le dispositif portable et le module de communication de la plateforme, garantissant ainsi la confidentialité et l'intégrité des échanges ;

-étape d'authentification de l'utilisateur par le dispositif portable, exemple par saisie d'un code PIN ;

-étape d'envoi d'une première commande du dispositif portable via le réseau de communication (réseau Internet ou mobile), à destination du serveur HSM 3 ladite première commande se rapportant à une demande de chargement de jetons (c'est-à-dire le ou les titres restaurant devant être émis pour l'utilisateur) ;

-étape d'identification par le serveur HSM 3 du nombre de jetons à disposition pouvant être envoyé au dispositif portable en fonction de l'entité à laquelle appartient l'utilisateur, et/ou une étape dans laquelle le serveur HSM identifie les utilisateurs et les caractéristiques des jetons à émettre pour ces utilisateurs ;

-étape d'échange des jetons par un protocole garantissant l'unicité du jeton (présence du jeton valide dans un endroit unique à un instant donné) ; -étape de paramétrage du dispositif portable en fonction du contexte (règles de gestion des jetons, ...), et

-étape de fin chargement, fin de la session du canal de communication sécurisé et déconnexion.

On notera que, lors de l'étape de recharge du dispositif portable, plusieurs jetons peuvent être associés chacun à des informations relatives à leur mode d'utilisation. Il peut s'agir, par exemple, d'informations de validité ou d'informations relatives à des établissements dans lesquels ils sont autorisés à être utilisés.

En effet, chaque jeton est émis pour un individu donné appartenant à une entité donnée. Ces éléments que sont l'individu et l'entité sont définis respectivement par un identifiant qui est compris dans les paramètres de gestion du titre dématérialisé, fait partie de l'objet numérique.

Ainsi, contrairement à l'état de l'art, il n'est plus nécessaire que le terminal mette en œuvre un programme d'ordinateur afin de réaliser des calculs et contrôles de cohérence de gestion du ou des compteurs. Et, par voie de conséquence, les attaques pouvant être réalisées contre ces compteurs par des pirates informatiques dans l'optique de modifier ces compteurs ne sont plus possibles.

En effet, dans le cas de dispositifs portables selon l'état de la technique comportant des compteurs, le terminal envoie des commandes de mise à jour des compteurs et enregistre la transaction de mise à jour. Après la télécollecte des transactions, ces données sont intégrées dans les bases de données de gestions, qui comportent les montants crédités ou débités et les soldes des compteurs du dispositif portable pour qu'ensuite le serveur de gestion intègre et compare les compteurs de la carte et des comptes client dans la base. Périodiquement des traitements de contrôle des historiques des transactions doivent être effectués afin de contrôler la cohérence de gestion du ou des compteurs réalisés au cours d'une période donnée.

Dans la présente invention, grâce à la gestion de jeton mise en œuvre en tant qu'objet numérique unique, leur gestion, ne consiste qu'au seul contrôle de comparaison entre les jetons générés et téléchargés avec les jetons effectivement utilisés.

On va maintenant décrire en référence à la figure 3, un exemple d'utilisation d'un dispositif portable, ici un poste téléphonique mobile, dans lequel ont été chargés un certain nombre de jetons.

Comme indiqué précédemment, lors d'une transaction, une communication est établie avec un dispositif tiers, constitué ici par un terminal de paiement.

II s'agit par exemple du terminal de paiement d'un restaurant qui accepte les titres restaurant dématérialisés du type jeton.

Ce terminal de paiement comporte une architecture matérielle d'un ordinateur.

Ce terminal de paiement comporte un module SAM 7 (acronyme anglais de « Security Access Module » pour Module d'Accès Sécurisé). Ce module SAM permet de sécuriser les échanges de données entre le dispositif portable et lui même. Le mécanisme choisi pour cette sécurisation, est l'établissement d'un canal sécurisé avec authentification mutuelle (utilisant des clés symétriques ou asymétrique), garantissant la confidentialité et l'intégrité des échanges.

Ce terminal de paiement est apte à fournir les moyens de communication sans fil courte portée (de type NFC ou encore IrFA, Bluetooth, etc.), nécessaire à l'établissement des connexions entre le SAM et le dispositif portable.

Ce terminal de paiement est également apte à fournir les moyens de communication longue distance (Ethernet, IP, RTC, etc.), nécessaires à l'établissement des connexions entre le SAM et le centre de collecte, permettant ainsi la collecte des jetons transmis par le dispositif portable via le terminal mobile. Ce centre de collecte se rapporte à des serveurs ayant émis les commandes nécessaires pour déclenchement de la création de jetons sécurisés par le serveur HSM.

Dans le mode de réalisation décrit ici, les moyens de communication utilisés par le dispositif portable, et le terminal de paiement permettent d' établir un canal de communication sécuri sé compatible avec le mode de transmi ssion de données utilisé (NFC, IRdA, etc. .)

Dans le cas où le terminal de paiement ne comporte pas de modul e SAM, ce terminal de paiement est relié à un serveur apte à avoir un rôle simil aire à celui du module SAM.

Une fois le montant de la transaction sai si sur le terminal de paiement et lorsque l'utili sateur du terminal mobile souhaite utili ser un titre restaurant, il approche son tél éphone mobile typiquement à quelques centimètres du terminal de paiement de sorte que les moyens de communication sans fil et de ces appareil s soient à portée l'un de l'autre.

Il autorise, via un menu de l'interface homme-machine de son terminal, l'établissement d'une communication sans fil courte portée entre ces équipements et la transmi ssion du j eton au terminal de pai ement.

L'établi ssement d'un canal sécuri sé avec authentification mutuelle (utili sant des clés symétriques ou asymétrique) entre di spositif portable du terminal mobile et Le SAM du terminal de paiement (ou le module de communi cation dans l e cas d'un terminal ne comportant pas de SAM), garantie la confidentialité et l'intégrité des échanges.

L ' application exécutée par les moyens de traitement du terminal mobile détermine et sélectionne automatiquement le j eton parmi les j etons archivés dans le di spositif portable à transmettre au terminal de paiement à partir des caractéri stiques liées aux j etons.

Ainsi, le SAM indique au di spositif portable les caractéri stiques des j etons acceptés et le di spositif portable lui retourne les j etons correspondants dans la limite de leur validité et de leur valeur.

Par la suite, le débit de j etons est réalisé par le transfert du ou des j etons du di spositif portable vers la carte SAM après vérification de l ' authenticité du ou des j etons, vi a le canal de communication sécurisé. Le dispositif portable transmet également la valeur totale des jetons débités.

On notera que l'échange des jetons est effectué par un protocole garantissant l'unicité du jeton (présence du jeton valide dans un endroit unique à un instant donné).

Ainsi, il est entendu que l'invention n'est pas limitée aux exemples de réalisation décrits et illustrés. Elle n'est en outre pas limitée à ces exemples d'exécution et aux variantes décrites et peut être mis en œuvre dans tout système dans lequel un document tel qu'un titre de paiement - titre de restaurant ; un bon de réduction ; un ticket de parking ; ticket de spectacle ou divertissement - est nécessaire pour réaliser une transaction.