Procédé d’ouverture d’un canal de communication sans-fil sécurisé entre une carte à microcircuit et un dispositif de lecture utilisant un code visuel et un motif en matériau électriquement conducteur

Domaine Technique

[0001 ] L’invention concerne les cartes à microcircuit, et plus particulièrement la communication entre ces cartes à microcircuit et des dispositifs de communication sans-fil.

Technique antérieure

[0002] Certains dispositifs tels que les passeports électroniques sont munis d’un microcircuit dans lequel des informations relatives au porteur sont enregistrées. Typiquement, une photographie du titulaire du document et d’autres données d’identité sont enregistrées dans le microcircuit.

[0003] Ces informations peuvent être lues par un dispositif de communication sans-fil (par exemple un dispositif NFC à un poste de douane). Pour empêcher une lecture non consentie par le titulaire du passeport, la lecture des informations ne peut se faire qu’après une lecture optique des informations écrites dans la zone de lecture optique (« MRZ : Machine Readable Zone »). En effet, cette zone contient des informations qui permettent au dispositif (de lecture optique et de communication sans-fil) de dériver des clés de sessions qui seront utilisées pour ouvrir un canal sécurisé de communication.

[0004] Par exemple, dans le contexte du transport aéronautique, l’Organisation de l'Aviation Civile internationale (OACI) a prévu des mécanismes pour ouvrir un canal sécurisé de communication tel que le contrôle d’accès de base (« BAC ; Basic Access Control » en anglais), et/ou l’établissement de connexion avec authentification par mot de passe (« Password Authenticated Connection Establishment : PACE » en anglais).

[0005] Il existe une version plus sécurisée du BAC, le protocole SAC (pour « Supplemental Access Control » en anglais). On pourra consulter le document de l’OACI « MACHINE READABLE TRAVEL DOCUMENTS - TECHNICAL REPORT - Supplemental Access Control for Machine Readable Travel Documents » dans sa version 1 .01 datée du 11 novembre 2010 qui vise le SAC. Ce document est consultable à la date de dépôt de la présente demande à l’URL : https://www.icao.int/security/mrtd/downloads/technical%20rep orts/technical%20r eport.pdf.

[0006] En fait, il existe plusieurs niveaux de sécurité définis par l’OACI qui permettent de garantir l’authenticité des données contenues dans le microcircuit (« Passive Authentication » en anglais) et de leur intégrité (« Active Authentication » en anglais) et l’autorisation de la lecture des informations enregistrées dans le microcircuit (Terminal Authentication), qui sont en fait confidentielles et transmises chiffrées. On comprend que la lecture des informations enregistrées dans le microcircuit ne peut se faire que si le passeport est ouvert pour rendre visible la zone de lecture optique.

[0007] Comme on le conçoit, pour les cartes à microcircuit qui n’ont pas de couverture, ce mécanisme de protection n’est pas satisfaisant. En effet, un tiers mal intentionné qui a pu voir ou photographier subrepticement la zone de lecture optique, vraisemblablement plus facilement que si une couverture est présente, pourra ensuite mettre en oeuvre une lecture sans-fil des informations enregistrées dans la carte à microcircuit, et ceci, totalement à l’insu du porteur du document.

[0008] Les cartes à microcircuit qui n’ont pas de zone de lecture optique sont par ailleurs toujours accessibles pour la communication sans-fil, ce qui pose des problèmes de sécurité dans des applications.

[0009] La présente invention améliore la sécurité des cartes à microcircuit, et empêche notamment la lecture non-consentie par le titulaire de la carte d’informations enregistrées dans le microcircuit.

Exposé de l’invention

[0010] A cet effet, l’invention propose un procédé d’ouverture d’un canal de communication sécurisé entre une carte à microcircuit et un dispositif de communication sans-fil, la carte à microcircuit comprenant un code visuel et un motif en matériau électriquement conducteur configuré pour que lorsqu’une première face de la carte est placée contre une surface sensible capacitive d’un dispositif à surface sensible capacitive, et qu’un utilisateur entre en contact (typiquement avec un doigt découvert) avec la deuxième face de la carte opposée à la première face selon un mouvement de contact donné, un signal propre à la forme du motif en matériau électriquement conducteur et au mouvement de contact donné est détecté par la surface sensible capacitive, le procédé comportant : une acquisition d’une image du code visuel de la carte à microcircuit, par exemple par un dispositif d’acquisition d’image, une acquisition d’un signal capacitif par un dispositif à surface sensible capacitive sur lequel la carte à microcircuit est posée, une obtention, par le dispositif de communication sans-fil, d’une première donnée de sécurité associée à l’image du code visuel de la carte à microcircuit, une obtention, par le dispositif de communication sans-fil, d’une deuxième donnée de sécurité associée au signal capacitif, une détermination, par le dispositif de communication sans-fil, d’une clé dérivée à partir de la première donnée de sécurité et à partir de la deuxième donnée de sécurité, la clé dérivée étant par exemple utilisable pour mettre en oeuvre l’ouverture du canal de communication sécurisé (on notera qu’elle est utilisable dans l’étape d’ouverture, mais que cette étape d’ouverture n’aboutit à une ouverture que si le signal capacitif est le signal propre à la forme du motif en matériau électriquement conducteur et au mouvement de contact donné, comme expliqué ci-après), dans lequel le canal de communication sécurisé est ouvert si (si et seulement si) le signal capacitif est le signal propre à la forme du motif en matériau électriquement conducteur et au mouvement de contact donné (l’ouverture échoue si le motif n’est pas le bon et/ou si le mouvement de contact n’est pas le bon).

[0011] L’invention utilise donc la modification du champ électrique qui résulte de la présence du motif en matériau électriquement conducteur entre le doigt de l’utilisateur et la surface sensible capacitive pour générer un signal particulier, ou une signature, dans le dispositif à surface sensible capacitive qui n’apparaît que si un utilisateur humain a effectué le mouvement donné lorsque la carte à microcircuit était posée sur la surface sensible capacitive. Ce mouvement est donc un frottement par l’utilisateur sur la surface, en suivant par exemple une direction particulière.

[0012] Le signal capacitif est donc un signal qui évolue dans le temps, puisqu’il est détecté au moins pendant la durée du mouvement.

[0013] A partir de ce signal particulier, le dispositif de communication peut obtenir une deuxième donnée de sécurité qui, si elle est bien associée à la forme du motif en matériau électriquement conducteur et au mouvement, lui permettra d’ouvrir un canal de communication sécurisé en utilisant également la première donnée de sécurité.

[0014] Il apparait qu’en utilisant une donnée de sécurité provenant d’une image de la carte et une donnée de sécurité basée sur l’accord d’un humain, on obtient un niveau de sécurité qui est supérieur à celui par un SAC défini par l’ICAO, par exemple dans le document « MACHINE READABLE TRAVEL DOCUMENTS - TECHNICAL REPORT - Supplemental Access Control for Machine Readable Travel Documents » dans sa version 1 .01 datée du 11 novembre 2010. En effet, alors que le protocole SAC va utiliser des données lues dans la zone de lecture optique (« MRZ : Machine Readable Zone » en anglais et le numéro CAN (« Card Access Number » en anglais) pour ouvrir un canal sécurisé, ici, on utilise à la fois des informations obtenues par lecture optique et des informations obtenues uniquement avec l’accord d’un humain pour mettre en oeuvre une détermination d’une clé dérivée utilisable pour ouvrir un canal de communication sécurisé.

[0015] L’ouverture d’un canal de communication sécurisé est connue en soi. A titre indicatif, cette ouverture peut se faire selon les mêmes mécanismes que ceux mis en oeuvre pour le SAC après que la clé KTT ait été obtenue, et ici, à la place de KTT, on utilise la clé dérivée à partir de la première donnée de sécurité et à partir de la deuxième donnée de sécurité.

[0016] L’ouverture du canal peut en outre être analogue à celle qui est mise en oeuvre dans d’autres protocoles, par exemple le BAC. [0017] On peut noter que le mouvement de contact donné peut être réalisé, à titre d’exemple, en suivant un dessin marqué sur la deuxième face de la carte à microcircuit, ou affiché sur le dispositif à surface sensible capacitive s’il s’agit d’un écran.

[0018] Dès lors, sans la connaissance de la forme du motif en matériau électriquement conducteur, il peut être difficile de produire un signal capacitif qui permettra l’obtenir la deuxième donnée de sécurité associée au signal capacitif attendu. On choisira préférentiellement une forme complexe et unique.

[0019] L’homme du métier sait former des motifs électriquement conducteurs dans des cartes, associés à des mouvements de contact, pour déterminer des signaux au moyen de surfaces sensibles capacitives. Le document antérieur US 2020/0117972 décrit de tels dispositifs. Ce document est néanmoins silencieux sur une ouverture d’un canal sécurisé.

[0020] Les cartes à microcircuit visés par ce procédé sont préférentiellement des cartes à microcircuit qui contiennent, dans une mémoire, des informations personnelles du titulaire de la carte. Le canal de communication sécurisé permettra par exemple de transmettre, par la carte, des informations personnelles du titulaire de la carte au dispositif de communication sans-fil. A titre indicatif, les informations personnelles comprennent des données biographiques (nom, prénom, date de naissance, etc.) ou encore une photographie du visage du porteur. Ces informations sont communicables de manière chiffrée au moyen du canal de communication sécurisé.

[0021] Selon un mode de mise en oeuvre particulier, la clé dérivée est utilisée pour déchiffrer une donnée chiffrée émise par la carte à microcircuit et reçue par le dispositif de communication sans-fil.

[0022] Dans un exemple typique d’application, la carte à microcircuit choisi un nombre aléatoire, met en oeuvre un chiffrement de ce nombre aléatoire avec une clé, transmet ce nombre aléatoire chiffré au dispositif de communication sans-fil, qui va déchiffrer le nombre aléatoire chiffré en utilisant la clé dérivée au moyen de la première donnée de sécurité et de la deuxième donnée de sécurité.

[0023] Cet exemple est analogue à ce qui est mis en oeuvre dans le cadre du protocole SAC. [0024] Comme on le conçoit, la clé de la carte à microcircuit doit être identique à celle dérivée au moyen de la première donnée de sécurité et de la deuxième donnée de sécurité pour que le dispositif de communication sans-fil obtienne bien le nombre aléatoire déchiffré et puisse ensuite ouvrir le canal de communication sécurisé avec la carte à microcircuit.

[0025] Selon un mode de mise en oeuvre particulier, on obtient la deuxième donnée de sécurité au moyen d’une table de correspondance qui associe des signaux capacitifs à des deuxièmes données de sécurité.

[0026] La détermination d’une deuxième donnée de sécurité à partir d’un signal capacitif acquis par le dispositif à surface sensible capacitive peut comporter la détermination du signal capacitif de la table qui présente la distance la plus faible par rapport au signal capacitif acquis par le dispositif à surface sensible capacitive.

[0027] Selon un mode de mise en oeuvre particulier, le procédé comprend une étape préalable d’élaboration de la deuxième donnée de sécurité.

[0028] Cette étape préalable pourra être mise en oeuvre par l’entité qui fabrique la carte à microcircuit ou par l’entité qui délivre la carte à microcircuit à l’utilisateur, avant cette délivrance.

[0029] Selon un mode de mise en oeuvre particulier, l’étape préalable comporte une étape de génération d’une valeur aléatoire et de lecture du signal capacitif pour obtenir un signal capacitif préalable associé à la valeur aléatoire, et de mémorisation de la valeur aléatoire et du signal capacitif préalable pour obtenir la table de correspondance qui associe des signaux capacitifs à des deuxièmes données de sécurité.

[0030] Dans ce mode de mise en oeuvre particulier, chaque carte à microcircuit a préférentiellement un motif en matériau électriquement conducteur unique, qui lui est propre.

[0031] On générera en outre une valeur aléatoire unique pour chaque carte à microcircuit.

[0032] Selon un mode de mise en oeuvre particulier, l’étape préalable comporte l’acquisition d’une image d’une surface de la carte à microcircuit sur laquelle un élément visuel de la carte est visible, le traitement de l’image par une fonction donnée pour en déduire un résultat, l’acquisition du signal capacitif pour obtenir un signal capacitif préalable associé à au résultat, et la mémorisation du résultat et du signal capacitif préalable pour obtenir la table de correspondance qui associe des signaux capacitifs à des deuxièmes données de sécurité.

[0033] Dans ce mode de mise en oeuvre particulier, chaque carte à microcircuit a préférentiellement un motif en matériau électriquement conducteur unique, qui lui est propre.

[0034] L’élément visuel peut être un élément visuel tel que ceux implémentés par des fonctions physiques non clonables (« PUF : Physical Unclonable Function » en anglais). Par exemple, la solution mise en oeuvre dans le document antérieur WO 2018/193195 décrit un dispositif à plusieurs couches pour lequel on détermine les coordonnées de points pour en déduire un code. Ici, cela peut être mis en oeuvre sur la carte à microcircuit et la deuxième donnée de sécurité est obtenue par ce code.

[0035] Alternativement, on peut utiliser une solution telle que celle décrite dans le document FR 3 047 688 où l’on utilise un élément visuel d’un document pour générer une donnée de sécurité.

[0036] Selon un mode de mise en oeuvre particulier, le motif en matériau conducteur est configuré pour que lorsque la première face de la carte est placée contre une surface sensible capacitive d’un dispositif à surface sensible capacitive, et qu’un utilisateur entre en contact avec la deuxième face de la carte opposée à la première face selon un deuxième mouvement de contact donné différent du premier mouvement de contact donné, un signal propre à la forme du motif en matériau électriquement conducteur et au deuxième mouvement de contact donné est détecté par la surface sensible capacitive, et dans lequel le canal de communication sécurisé est ouvert si le signal capacitif est le signal propre à la forme du motif en matériau électriquement conducteur et à un mouvement de contact choisi dans le groupe comprenant le mouvement de contact donné et le deuxième mouvement de contact donné.

[0037] Dans ce mode de mise en oeuvre particulier, on autorise un deuxième mouvement pour obtenir une deuxième donnée de sécurité qui permettra d’ouvrir le canal sécurisé. Le dispositif de communication sans-fil peut choisir aléatoirement le mouvement de contact donné ou le deuxième mouvement de contact donné, et seul le mouvement choisi sera utilisable pour ouvrir le canal de communication sécurisé.

[0038] Selon un mode de mise en oeuvre particulier, on choisit préalablement le mouvement de contact choisi et l’on affiche sur une interface humain machine une indication sur le mouvement de contact choisi.

[0039] Typiquement, si le dispositif à surface sensible capacitive est un écran capacitif, on affiche sur cet écran une indication sur le mouvement, par exemple une flèche.

[0040] Selon un mode de mise en oeuvre particulier, le code visuel est le contenu d’une zone de lecture optique (MRZ).

[0041 ] L’invention propose également un système configuré pour mettre en oeuvre le procédé tel que défini ci-avant selon tous les modes de mise en oeuvre, comprenant un dispositif de communication sans-fil, un dispositif d’acquisition d’images, et un dispositif à surface sensible capacitif.

[0042] Ce système peut être du type terminal de communication (par exemple un smartphone).

[0043] L’invention propose également une carte à microcircuit adaptée pour être utilisée dans le procédé tel que défini ci-avant, comprenant le motif en matériau électriquement conducteur, le code visuel, et, dans une mémoire, la première donnée de sécurité et la deuxième donnée de sécurité.

Brève description des dessins

D’autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins annexés qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif. Sur les figures :

[Fig. 1 ] La figure 1 illustre de manière schématique les étapes d’un procédé selon un exemple. [Fig. 2] La figure 2 illustre de manière plus détaillée des étapes de l’ouverture d’un canal de communication sécurisé.

[Fig. 3] La figure 3 illustre un système selon un exemple.

[Fig. 4] La figure 4 illustre l’acquisition du signal capacitif.

[Fig. 5] La figure 5 représente des étapes préalables pour obtenir une deuxième donnée de sécurité.

Description des modes de réalisation

[0044] On va maintenant décrire un procédé d’ouverture d’un canal de communication sécurisé entre une carte à microcircuit et un dispositif de communication sans-fil. Ce procédé peut être mis en oeuvre au moyen d’une carte à microcircuit au format ISO 7816 (selon n’importe quelle version) et capable de communiquer de manière sans-fil en accord avec la norme ISO/IEC 14443 (dans toutes ses versions) à 13,56MHz. Ce procédé s’applique en outre à des cartes à microcircuits sur lesquels des codes visuels sont inscrits, par exemple dans une zone de lecture optique (« MRZ : Machine Readable Zone »). Les zones de lecture optiques ont un format décrit dans le document 9303 de l’OACI « Documents de voyage lisibles à la machine » Septième édition, 2015, Partie 4 : Spécifications pour les passeports lisibles à la machine (PLM) et autres DVLM de format TD3 >>, dans le document 9303 de l’OACI « Documents de voyage lisibles à la machine » Septième édition, 2015, Partie 5 : « Spécifications pour les documents de voyage officiels lisibles à la machine (DVOLM) de format TD1 » et dans le document 9303 de l’OACI « Documents de voyage lisibles à la machine » Septième édition, 2015, Partie 6 : « Spécifications pour les documents de voyage officiels lisibles à la machine (DVOLM) de format TD2 ».

[0045] Les étapes du procédé illustré sur la figure 1 sont mises en oeuvre par le dispositif de communication sans-fil, un dispositif à surface sensible capacitive, et par un dispositif d’acquisition d’image. Ces trois dispositifs peuvent être inclus dans un même système, par exemple un smartphone.

[0046] En outre, ce procédé s’applique à une carte à microcircuit équipé d’un motif en matériau électriquement conducteur (typiquement, le motif est réalisé avec une encre conductrice, soit grâce à une charge de pigments métalliques, soit grâce à un polymère semi-conducteur, avec un matériau conducteur invisible, ou encore en métal) qui, si elle est posée sur une surface sensible capacitive, produit un signal particulier lorsqu’un utilisateur fait glisser son doigt sur la carte (ou entre en contact de n’importe quelle manière selon un mouvement de contact donné). En choisissant un mouvement de contact donné particulier, on obtient un signal qu’il est possible d’interpréter comme signifiant que c’est bien cette carte qui a été posée sur la surface capacitive et qu’un utilisateur a effectué une action particulière (le mouvement donné), qu’il est concevable d’interpréter comme un accord donné par l’utilisateur pour que des données de la carte à microcircuit soient lues.

[0047] Les motifs en matériau électriquement conducteur peuvent notamment être ceux décrits dans le document antérieur US 2020/0117972.

[0048] En outre, les motifs en matériau électriquement conducteur et la détection de ces motifs peuvent être réalisée en accord avec les cartes à microcircuits et les dispositifs de communication sans-fil décrits dans la demande de brevet français numéro 20 07087 déposée le 3 juillet 2020. Le contenu de cette demande est incorporé par référence dans la présente description.

[0049] Pour une mise en oeuvre d’un procédé d’ouverture de canal sécurisé à réaliser avec une carte à microcircuit, on peut choisir un mouvement de contact qui aboutira à l’ouverture du canal parmi plusieurs mouvements de contacts. En effet, chaque mouvement produira un signal capacitif détecté distinct. De ce fait, dans une première étape S01 du procédé, le dispositif de communication sans-fil choisit un mouvement de contact parmi plusieurs mouvements de contact donnés. Préférentiellement, ces plusieurs mouvements de contact sont très distincts, par exemple, on peut avoir : de haut en bas, de bas en haut, de gauche à droite, et de droite à gauche.

[0050] Dans une étape optionnelle S02, on affiche sur une interface humain machine une indication sur le mouvement de contact choisi. Par exemple si le dispositif à surface sensible capacitive est un écran capacitif (par exemple d’un smartphone), on affiche sur cet écran une flèche qui indique le mouvement. On peut noter qu’à cette étape, on peut également afficher des indications qui montrent où la carte doit être posée sur la surface sensible capacitive, par exemple en affichant un contour de carte.

[0051 ] Dans une étape S03 (qui peut très bien être mise en oeuvre avant ou après les étapes S01 et S02), on acquiert le code visuel qui est contenu dans la MRZ de la carte à microcircuit. Cette étape peut être réalisée par tout type de caméra et peut comporter une étape de reconnaissance de caractères connue en soi.

[0052] Au cours de l’étape suivante S04 (qui peut être mise en oeuvre avant ou après l’étape S03), on acquiert, au moyen du dispositif à surface sensible capacitive, un signal capacitif. L’ouverture ultérieure du canal de communication sécurisé pourra être réalisée si un utilisateur place une première face de la carte contre une surface sensible capacitive du dispositif à surface sensible capacitive, et si cet utilisateur entre en contact (c’est-à-dire l’utilisateur directement avec son doigt) entre en contact avec la deuxième face de la carte opposée à la première face selon le mouvement de contact qui a été choisi. Du côté du dispositif à surface sensible capacitive, cela conduit à l’acquisition d’un signal capacitif qui évolue dans le temps (la durée du mouvement).

[0053] Dans l’étape S05, on obtient une première donnée de sécurité à partir du code visuel acquis à l’étape S03. Cette obtention d’une donnée de sécurité peut être analogue à celle qui est mise en oeuvre dans le cadre du protocole BAC ou du protocole SAC lorsque la MRZ est lue, et la deuxième donnée de sécurité peut être le contenu de la MRZ.

[0054] Dans l’étape S06, on obtient une deuxième donnée de sécurité à partir du signal capacitif qui a été acquis à l’étape S04. Cette obtention, peut, à titre indicatif, être réalisée au moyen d’une table de correspondance qui peut être mémorisée dans le dispositif de communication sans-fil ou dans un serveur distant accessible par le dispositif de communication sans-fil. Cette table de correspondance associe des signaux capacitifs à des deuxièmes données de sécurité. Par exemple, on peut retenir la deuxième donnée de sécurité qui est associée au signal capacitif qui présente la différence la plus faible avec le signal capacitif acquis à l’étape S04. [0055] L’invention n’est néanmoins nullement limitée à l’utilisation de tables de correspondance et peut également être implémentée au moyen d’une fonction qui délivre une deuxième donnée de sécurité

[0056] Dans l’étape S07, on détermine une clé dérivée à partir de la première donnée de sécurité et de la deuxième donnée de sécurité. L’obtention peut être analogue à l’obtention d’une clé KTT telle qu’elle est mise en oeuvre par une fonction appelée en anglais « Key Derivation Function : KDFTT » dans les protocoles BAC et SAC (document 9303 de l’OACI « Documents de voyage lisibles à la machine » Septième édition, 2015, Partie 11 : Mécanismes de sécurité pour les DVLM.) Cela étant, ici, on utilise les deux données de sécurité comme entrée de la fonction.

[0057] Cela permet ensuite de mettre en oeuvre l’étape S08 d’ouverture du canal sécurisé.

[0058] La figure 2 décrit de manière plus détaillée l’ouverture du canal sécurisé. Les étapes représentées sont celles mises en oeuvre par le dispositif de communication sans-fil et par la carte à microcircuit. Certaines des étapes de ce procédé sont analogues à celles mises en oeuvre dans le cadre du protocole SAC.

[0059] Dans une première étape S00, le dispositif de communication sans-fil va lire des paramètres du procédé PACE (« Password Authenticated Connection Establishment : PACE » en anglais, mentionné ci-avant). Ces paramètres se trouvent, en clair, dans un fichier désigné « EF.CardAccess » de la carte à microcircuit, et ils visent notamment à définir des algorithmes cryptographiques symétriques, des algorithmes d’agrément de clé, des paramètres de domaine et de mappages utilisables par la carte à microcircuit.

[0060] L’invention n’est pas limitée à la lecture du fichier « EF.CardAccess » et peut également viser toute lecture d’un fichier qui définit des algorithmes cryptographiques que la carte peut utiliser dans le cadre de l’ouverture d’un canal de communication sécurisé.

[0061] Au cours de l’étape S00, on peut également définir un protocole PACE à utiliser, cette étape pouvant comporter des échanges entre la carte à microcircuit et le dispositif de communication sans-fil. [0062] Ensuite, le dispositif de communication sans-fil peut, avec le dispositif d’acquisition d’image et le dispositif à surface sensible capacitive, mettre en oeuvre les étapes S01 à S07 décrites en référence à la figure 1 . Ici, on suppose que l’utilisateur a coopéré en autorisant l’acquisition d’une image du code visuel et qu’il a posé la carte sur le dispositif à surface sensible capacitive pour ensuite effectuer le mouvement de contact.

[0063] Ultérieurement, préalablement, ou simultanément à la mise en oeuvre des étapes S01 à S07, la carte à microcircuit génère un nombre aléatoire noté s au cours de l’étape S10. Le nombre aléatoire s est ensuite chiffré à partir d’une clé KTT qui peut être dérivée à chaque mise en oeuvre du procédé par la carte à microcircuit (éventuellement en fonction du mouvement qui a été choisi). L’étape de chiffrement Z=E(KTT,S) (étape S11 ) est ensuite mise en oeuvre d’une manière analogue à ce qui est mis en oeuvre dans le cadre du protocole SAC pour obtenir z par l’opération de chiffrement E.

[0064] A l’étape S12, la carte à microcircuit émet z et le dispositif de communication sans-fil reçoit z à l’étape S13.

[0065] Une étape de déchiffrement S14 est alors mise en oeuvre dans laquelle on déchiffre z selon l’opération S=D(KTT,Z) d’une manière analogue à ce qui est mis en oeuvre dans le cadre du protocole SAC pour obtenir s par l’opération de déchiffrement D. La clé KTT qui est utilisée du côté du dispositif de communication est celle qui a été dérivée à l’étape S07. L’étape S14 est donc forcément mise en oeuvre après la mise en oeuvre de l’étape S07.

[0066] L’ouverture du canal est ensuite réalisée (étape S15), d’une manière analogue à ce qui est mis en oeuvre dans le cadre du protocole SAC. Par exemple, on va calculer des paramètres de domaine éphémère du côté du dispositif de communication et de la carte à microcircuit, on va choisir une paire de clé éphémère aléatoires, etc. Si les clés KTT utilisées du côté de la carte et du côté du dispositif de communication sans-fil sont identiques, le canal de communication sécurisé pourra être ouvert. Comme on le conçoit, cela résulte de l’utilisation de la bonne carte avec le bon code visuel, le bon motif, et une bonne exécution du mouvement de contact donné par l’utilisateur. [0067] Sur la figure 3, on a représenté une carte à microcircuit 100 et un système 200 dit « tout en un » de type smartphone qui comporte un dispositif de communication sans-fil, un dispositif à surface sensible (son écran 201 ), et un dispositif d’acquisition d’image (la caméra frontale 202).

[0068] On peut noter que le dispositif de communication sans-fil comporte un processeur, et une mémoire dans laquelle sont enregistrée des instructions de programme d’ordinateur pour la mise en oeuvre des étapes S01 à S08 décrites en référence à la figure 1 .

[0069] Sur cette figure, on a également représenté une carte à microcircuit 100. A titre indicatif, cette carte peut être une carte au format ISO 7816 (selon n’importe quelle version) et capable de communiquer de manière sans-fil en accord avec la norme ISO/IEC 14443 (dans toutes ses versions) à 13,56MHz, notamment avec le système 200.

[0070] Ici, la carte à microcircuit 100 est propre à un titulaire, il s’agit d’un document de sécurité sur lequel sont inscrit les nom et prénom de ce titulaire, comme illustré sur la figure dans la zone de lecture optique (MRZ) 105. La camera 202 peut acquérir une image de cette zone et le dispositif de communication sans-fil peut reconnaître les caractères qui sont contenus dans cette zone pour obtenir la première donnée de sécurité.

[0071] La carte à microcircuit 100 comporte un microcircuit 101 dans lequel des informations confidentielles sont enregistrées (typiquement dans une mémoire non volatile). Ces informations confidentielles peuvent être des informations sur l’identité du titulaire, ou des informations biométriques du titulaire.

[0072] La carte à microcircuit 100 comporte également un motif en matériau électriquement conducteur 102, par exemple un motif imprimé avec une encre conductrice. Bien que le motif en matériau électriquement conducteur 102 soit visible sur la figure 1 , ce motif peut être enfoui entre des couches opaques ou partiellement opaques, ce qui rend difficile sa reproduction par un tiers. On notera que par motif, on entend une forme et une taille particulière d’un ou de plusieurs éléments électriquement conducteurs.

[0073] Ce motif est composé d’une pluralité d’éléments 102’ qui sont tous espacés les uns par rapport aux autres, et donc isolés électriquement les uns des autres. [0074] Dans l’exemple illustré, les éléments 102’ sont des traits tous parallèles, et ils présentent chacun un décalage par rapport à un axe perpendiculaire à la direction des traits.

[0075] On comprend qu’en modifiant ces décalages, on peut créer un motif unique et propre à la carte à microcircuit. Une autre manière de créer des motifs uniques consiste à créer des ouvertures dans les traits.

[0076] D’autres motifs en matériau électriquement conducteurs peuvent être utilisés, et en particulier les motifs décrits dans le document antérieur US 2020/0117972.

[0077] Pour mettre en oeuvre une communication sans-fil, la carte à microcircuit est équipée d’une antenne 103 connectée au microcircuit. Cette antenne 103 permettra de transmettre les informations confidentielles via un canal de communication sécurisé qui aura été ouvert avec le dispositif de communication sans-fil.

[0078] Pour ouvrir ce canal de communication sécurisé, un utilisateur devra placer la carte à microcircuit sur la surface sensible capacitive 201 , comme cela sera décrit ultérieurement en référence à la figure 4, puis entrer en contact avec la surface opposée à celle en contact avec la surface sensible capacitive selon un mouvement de contact donné. Ici, le mouvement de contact est représenté par une flèche 104 visible ou non sur la carte à microcircuit, et qui indique donc la direction et le sens dans lesquels l’utilisateur doit faire glisser son point de contact (le bout de son doigt, par exemple) sur la carte à microcircuit.

[0079] Le champ électrique au niveau de la surface sensible capacitive sera affecté par la présente des éléments 102’, ce qui permet à la surface sensible capacitive de détecter un signal qui évolue dans le temps (le temps du mouvement de contact selon la flèche 104). Ce signal est propre à la forme du motif en matériau électriquement conducteur et au mouvement de contact de correspondant à la flèche 104.

[0080] Pour ouvrir un canal de communication sécurisé après qu’un utilisateur ait effectué le mouvement de contact décrit ci-dessus, la carte à microcircuit comporte, ici dans le microcircuit 101 , des instructions de programme d’ordinateur pour notamment mettre en oeuvre les étapes S00, S10, S11 , S12, et S15 décrites en référence à la figure 2 (typiquement des modules cryptographiques).

[0081] Sur la figure 4, on a représenté la carte avec une première face posée sur l’écran 201 , tandis qu’un doigt entre en contact avec la face opposée à celle posée pour glisser sur la carte selon le mouvement de la flèche 104. Cela permet à l’écran 201 d’acquérir le signal capacitif.

[0082] La figure 5 est un ordinogramme sur lequel on a représenté des étapes qui peuvent être mises en oeuvre par l’entité qui fabrique la carte à microcircuit ou l’entité qui délivre la carte à microcircuit à un utilisateur, avant cette délivrance.

[0083] Les étapes de la figure 5 ont pour but de définir la deuxième donnée de sécurité qui sera associé à la carte à microcircuit et au mouvement de contact donné.

[0084] Dans une première étape S20, on fabrique la carte à microcircuit, par exemple la carte 100 décrite en référence aux figures 3 et 4.

[0085] Ensuite, on met en oeuvre une acquisition d’un signal capacitif (étape S21 ) pour obtenir un signal capacitif préalable, sur un dispositif à surface sensible capacitive, par un glissement d’un doigt sur la carte à microcircuit selon un mouvement de contact donné. Ce signal capacitif préalable sera celui auquel on va comparer les signaux capacitifs acquis lors des ouvertures de canaux sécurisés qui seront mises en oeuvre ultérieurement lorsque la carte aura été délivrée à un utilisateur.

[0086] Dans l’étape S22, on acquiert un élément visuel particulier de la carte pour ensuite, par un traitement (S23) de l’image de l’élément visuel, déterminer la deuxième donnée de sécurité qui sera associée au signal capacitif et au mouvement de contact. L’élément visuel peut être un élément visuel tel que ceux implémentés par des fonctions physiques non clonables (« PUF : Physical Unclonable Function » en anglais). Par exemple, la solution mise en oeuvre dans le document antérieur WO 2018/193195 décrit un dispositif à plusieurs couches pour lequel on détermine les coordonnées de points pour en déduire un code. Ici, cela peut être mis en oeuvre sur la carte à microcircuit et la deuxième donnée de sécurité est obtenue par ce code. [0087] Alternativement, on peut utiliser une solution telle que celle décrite dans le document FR 3 047 688 où l’on utilise un élément visuel d’un document pour générer une donnée de sécurité.

[0088] En fait, dans les étapes S22 et S23, on peut utiliser toute caractéristique unique de la carte pour en déduire, par exemple un code. A noter que si une photo de l’utilisateur est visible sur la carte, cette photo, qui est unique, peut servir de base pour déduire un code avec des moyens connus en soi.

[0089] Enfin, dans l’étape S24, on mémorise la deuxième donnée de sécurité et le signal capacitif préalable acquis à l’étape S21 (ou une représentation de ce signal). Cette mémorisation peut être réalisée dans un serveur de stockage de l’entité qui a effectué les étapes de la figure 5, mais également dans les dispositifs de communication sans fil qui seront utilisés pour ouvrir des canaux de communication sécurisés. Par ailleurs, à cette étape, on peut enregistrer la deuxième donnée de sécurité dans la carte à microcircuit.

[0090] Pour une flotte de cartes à microcircuit, on peut élaborer une table de correspondance entre des signaux capacitifs et des deuxièmes données de sécurité. Cette table de correspondance pourra ensuite être utilisée lors des ouvertures de canaux.

[0091] On peut noter que les signaux peuvent être stockés en mémorisant les caractéristiques suivantes du signal : position (sur la surface sensible capacitive, vitesse, etc.

[0092] En fait, toute caractéristique permettant de différencier deux signaux acquis par une surface sensible capacitive peut être utilisée.

[0093] Les cartes à microcircuit utilisés pour la présente invention peuvent avoir d’autres caractéristiques.

[0094] Par exemple, le motif en matériau électriquement conducteur peut être entouré d’une matrice de particules électriquement conductrices non connectées électriquement entre elles.

[0095] Cet exemple correspond à une carte à microcircuit dans laquelle le motif a été obtenu par frittage localisé pour obtenir une agglomération de particules métalliques d’une matrice initiale qui vont former le motif. Il peut également correspondre à une carte à microcircuit dans laquelle des particules métalliques d’une matrice initiale ont changé de forme pour entrer en contact et former le motif en matériau électriquement conducteur.

[0096] Typiquement, la matrice initiale peut être obtenue par impression et le frittage ou le changement de forme peut comprendre l’application d’un faisceau laser.

[0097] Cet exemple peut également correspondre à l’utilisation d’une matrice de particules organiques conductrices qui seront affecté par le passage d’un faisceau, par exemple un faisceau laser, pour former le motif métallique.

[0098] En fait, cet exemple est particulièrement adapté pour former des motifs uniques, propres à chaque carte à microcircuit.

[0099] En effet, il a été observé qu’avec des procédés d’impression classiques, un nombre limité de motifs métalliques peut être obtenu, ce qui facilite la reproduction du motif. L’utilisation de procédés où un faisceau laser balaye une matrice initiale de particules conductrices est donc avantageuse.

[0100] Selon un exemple, le matériau électriquement conducteur est transparent.

[0101 ] Cet exemple rend la reproduction du motif par un tiers très difficile.

[0102] Selon un exemple, le motif en matériau électriquement conducteur est agencé entre deux régions d’isolation électrique, et dans laquelle les deux régions d’isolation électrique sont au moins partiellement opaques, ou totalement opaques.

[0103] Cet exemple est avantageux en ce que le motif en matériau électriquement conducteur est protégé de l’abrasion (car il est encapsulé), et, en outre, il est difficilement visible par les tiers, par exemple en observation par transparence à l’aide d’un éclairage adapté, puisque les régions d’isolation électrique sont au moins partiellement opaques. Cela rend la lecture non consentie de ce code ainsi que sa reproduction, plus difficiles. Les régions d’isolation électrique peuvent être en matériaux polymères.

[0104] Par ailleurs, les systèmes de l’invention peuvent être utilisés dans un poste de douane à des fins de vérifications d’identité, avec le dispositif à surface sensible capacitive qui est un dispositif du poste de douane ou le téléphone portable du titulaire de la carte à microcircuit, en communication avec le dispositif de communication sans-fil du poste de douane.

[0105] L’invention améliore la sécurité des opérations de lecture sans-fil entre des cartes à microcircuit et des dispositifs de communication sans-fil. [0106] L’invention trouve application dans la lecture des documents de sécurité, par exemples des titres de séjour, des visas de séjour, des documents d’identité qui ne sont pas recouverts d’une couverture comme les passeports (qui empêche de lire la zone de lecture optique).