TITRE : Procédé de traitement d'une opération impliquant des données secrètes, terminal, système et programme d'ordinateur correspondant

1. Domaine technique

La divulgation se rapporte au domaine de la sécurité informatique. Plus particulièrement, la divulgation se rapporte à la sécurité et à ma confidentialité du traitement de données au sein d'un terminal de traitement sécurisé, tel qu'un terminal de paiement ou un terminal traitant des données sensibles ou personnelles (données biométriques, données secrètes).

2. Technique antérieure

Depuis de nombreuses années, il est courant de devoir utiliser des terminaux dont l'objectif est de garantir l'accès à un bien ou à un service. Des exemples de terminaux sont par exemple des terminaux de paiement de type nomade, fonctionnant sur une source d'alimentation autonome et pouvant être utilisés par un commerçant au cours de son activité (de tels terminaux nomades sont couramment mis en œuvre par des commerçants professionnels en mobilité, comme par exemple les taxis, les infirmiers à domicile, etc.). D'autre types de terminaux peuvent être par exemple des terminaux d'identification (ou d'authentification) qui sont utilisés pour permettre un accès à un bien ou à un service (il peut s'agir par exemple de terminaux vérifiant, à l'aide d'une carte d'accès en possession d'un utilisateur, la capacité de cet utilisateur à accéder au bien ou au service). De tels terminaux sont présents par exemple dans des locaux d'entreprise pour permettre l'accès à ceux-ci ou encore dans des locaux sécurisés, voire pour permettre dans certaines situations, l'accès à des outils ou des machines particuliers sur des sites de productions.

Quoi qu'il en soit, les terminaux en question ont fortement évolué depuis leur mise en œuvre initiale. Il y a plusieurs dizaines d'années, particulièrement au début de la mise en œuvre des terminaux utilisant des cartes d'identification personnelles, ces dernières étaient jugées suffisamment sécurisées pour ne pas nécessiter de contrôle particulier autre que la vérification, au sein du terminal, que les données présentées et saisie par l'utilisateur étaient en adéquation (il s'agit par exemple de vérifications de validité de code PIN). Cependant, les moyens de fraudes ayant progressé, il est rapidement apparu qu'il était nécessaire de confronter les données présentées au terminal avec des données présentes sur un ou plusieurs serveurs distants. Il était donc nécessaire de prévoir des moyens de communications supplémentaires permettant au terminal de se connecter à un ou plusieurs serveurs pour valider la transaction à mener, et ce quelle que soit la nature de la transaction. De nos jours, la présence d'un réseau de communication est souvent indispensable à la conduite de la transaction. Une grande partie des transactions menées utilisent à un moment ou à un autre un réseau de communication pour effectuer une ou plusieurs opérations (transmission de données, vérification des données présentées par l'utilisateur, transmission d'autorisations distantes, etc.). En revanche, l'absence de réseau de communication ne doit pas être préjudiciable à la conduite de la transaction. De ce fait, les terminaux moderne embarquent de très nombreuses fonctionnalités, surabondantes. Cette surabondance de fonctionnalités entraine la nécessité de disposer de composants (microprocesseurs, mémoires, interfaces sécurisées) toujours plus puissants. Or, d'une part ces composants sont coûteux, et d'autre part ils nécessitent souvent d'être protégés, tant physiquement (pour empêcher un fraudeur de modifier le comportement du terminal), qu'au niveau des programmes informatiques implantés sur un ou plusieurs de ces composants (les programmes d'exploitation du terminal ou les programmes de conduites de transactions). Ces contraintes sécuritaires impliquent des coûts toujours plus élevés et des opérations de maintenance des terminaux et des programmes informatiques toujours plus longues et fastidieuses, alors même que la majorité des opérations menées sur le terminal ne nécessitent pas réellement la présence d'une telle surabondance de composants et de code. Ainsi, malgré la possibilité fréquente d'utiliser un réseau de communication (souvent de haute performance), l'absence potentielle d'un tel réseau est préjudiciable : il est toujours indispensable de prévoir cette absence dans la conception du terminal. Cela entraine une certaine complexité du logiciel d'exploitation de ce terminal, et donc des difficultés de maintenance et de mise à jour de celui-ci.

Il est donc nécessaire de disposer d'une solution qi d'une part soit satisfaisante du point de vue du fonctionnement du terminal, tout en garantissant la sécurité des transactions à mener et en n'impliquant pas d'opérations de maintenance trop longue, coûteuses et complexes.

3. Résumé de l'invention

La divulgation permet de répondre en partie au moins aux problématiques posées par l'art antérieur. Plus particulièrement, la divulgation se rapporte à un procédé de traitement d'une transaction utilisant un dispositif transactionnel d'un utilisateur, procédé mis en œuvre au sein d'un terminal transactionnel électronique, appelé terminal transactionnel, ledit terminal transactionnel comprenant au moins une interface de connexion à au moins un réseau de communication. Un tel procédé comprend : une étape de détermination, à partir d'au moins une interface de connexion du terminal électronique transactionnel, d'une disponibilité d'un réseau de communication, enregistrant, au sein d'un espace mémoire sécurisé du terminal, au moins uns donnée de disponibilité de réseau de communication ; une étape de réception d'une commande de mise en œuvre d'une transaction ; et une étape de sélection, parmi un composant transactionnel en ligne et un composant transactionnel autonome, d'un composant transactionnel à activer pour la mise en œuvre de la transaction en fonction de ladite au moins une donnée de disponibilité de réseau de communication, le composant transactionnel autonome étant activé en cas d'indisponibilité d'un quelconque réseau de communication. une étape de réalisation de la transaction par le composant transactionnel activé.

Le procédé met en œuvre un composant racine (RO7), utilisé respectivement par le composant transactionnel en ligne (CTL) et le composant transactionnel autonome (CTA), le composant racine (RO7) comprenant des fonctions de base communes aux deux composants transactionnels, les fonctions dudit composant racine étant protégées et n'étant accessibles qu'en lecture par le composant transactionnel en ligne et le composant transactionnel autonome.

Ainsi, il est possible de contraindre exclusivement la mise en œuvre de l'un ou de l'autre des deux composants transactionnels, qui peuvent donc avois des logiques de fonctionnement différentes selon la disponibilité ou non d'un réseau de communication.

Selon une caractéristique particulière, l'étape de réalisation de la transaction par le composant transactionnel activé comprend, lorsque le composant transactionnel en ligne est mis en œuvre : une étape de chargement, à partir d'un espace mémoire sécurisé, du terminal, d'au moins un paramètre de mise en œuvre du composant transactionnel en ligne ; une étape d'établissement, avec un serveur transactionnel intermédiaire, d'un canal de communication sécurisée, à partir dudit au moins un paramètre et à partir d'une fonction de construction de liaison sécurisée disponible au sein du composant racine enregistré au sein d'une mémoire sécurisée du terminal ; une étape d'obtention de données utilisateur en provenance du dispositif transactionnel de l'utilisateur ; une étape de transmission, au serveur transactionnel intermédiaire, par l'intermédiaire du canal de communication sécurisé, des données utilisateur ; une étape de réception, en provenance du serveur transactionnel intermédiaire, d'un résultat de mise en œuvre de la transaction par le serveur transactionnel intermédiaire, la mise en œuvre de la transaction ayant été provoquée par la transmission des donnée utilisateur ; une étape de restitution, par le terminal transactionnel, du résultat de mise en œuvre de la transaction par le serveur transactionnel intermédiaire.

Ainsi, il est possible de contraindre la mise en œuvre d'une transaction en ligne lorsqu'un réseau de communication est disponible.

Selon une caractéristique particulière, le procédé de traitement d'une transaction selon la comprend en outre : une étape de saisie, par l'utilisateur en possession du dispositif transactionnel, d'un code d'identification personnel ; une étape de chiffrement, à partir d'une fonction de chiffrement du code d'authentification disponible au sein du composant racine, du code d'identification personnel saisi par ledit utilisateur ; une étape de transmission, au serveur transactionnel intermédiaire, par l'intermédiaire du canal de communication sécurisé, du code d'identification personnel chiffré.

Selon une caractéristique particulière, l'étape de réalisation de la transaction par le composant transactionnel activé comprend, lorsque le composant transactionnel autonome est mis en œuvre : une étape de chargement, à partir d'un espace mémoire sécurisé, du terminal, d'un de paramètres de mise en œuvre du composant transactionnel autonome ; une étape d'obtention, à partir d'une fonction de gestion de transaction disponible au sein du composant racine enregistré au sein d'une mémoire sécurisée du terminal et dudit au moins un paramètre, d'une condition de réalisation de la transaction ; une étape d'obtention de données utilisateur en provenance du dispositif transactionnel de l'utilisateur ; lorsque la condition de réalisation de la transaction impose la mise en œuvre d'une transaction en ligne, une étape de rejet de la transaction par le composant transactionnel autonome ; lorsque la condition de réalisation de la transaction autorise la mise en œuvre d'une transaction localement, une étape de mise en œuvre de la transaction ; une étape de restitution, par le terminal transactionnel, du résultat de mise en œuvre de la transaction.

Ainsi, il est possible de mener, de manière autonome, la mise en œuvre d'une transaction localement, même en l'absence d'un réseau de communication.

Selon une caractéristique particulière, le procédé comprend en outre : une étape d'interrogation du dispositif transactionnel de l'utilisateur délivrant une condition additionnelle de réalisation de la transaction déterminée par le dispositif transactionnel de l'utilisateur ; lorsque la condition additionnelle de réalisation de la transaction impose la mise en œuvre d'une transaction en ligne, une étape de rejet de la transaction par le composant transactionnel autonome ; lorsque la condition additionnelle de réalisation de la transaction autorise la mise en œuvre d'une transaction localement, une étape de mise en œuvre de la transaction ;

Selon une caractéristique particulière, le procédé comprend en outre, lorsque ladite au moins une donnée de disponibilité de réseau de communication indique qu'un réseau de communication est disponible : une étape d'établissement, avec un serveur transactionnel intermédiaire, d'un canal de communication sécurisée, à partir dudit au moins un paramètre et à partir d'une fonction de construction de liaison sécurisée disponible au sein du composant racine enregistré au sein d'une mémoire sécurisée du terminal ; une étape de transmission, au serveur transactionnel intermédiaire, d'une liste de transactions préalablement réalisées par l'intermédiaire du composant transactionnel autonome ;

Selon un autre aspect, la divulgation se rapporte également à un terminal électronique transactionnel, configuré pour la mise en œuvre d'une transaction à partir d'un dispositif transactionnel d'utilisateur. Un tel terminal comprend : un composant transactionnel en ligne pour la mise en œuvre d'une transaction par l'intermédiaire d'un serveur transactionnel intermédiaire ; un composant transactionnel autonome pour la mise en œuvre d'une transaction localement par le terminal électronique transactionnel ; des moyens de détermination, à partir d'au moins une interface de connexion du terminal électronique transactionnel, d'une disponibilité d'un réseau de communication, enregistrant, au sein d'un espace mémoire sécurisé du terminal, au moins un donnée de disponibilité de réseau de communication ; des moyens de réception d'une commande de mise en œuvre d'une transaction ; et des moyens de sélection, parmi le composant transactionnel en ligne et le composant transactionnel autonome, d'un composant transactionnel à activer pour la mise en œuvre de la transaction en de ladite au moins une donnée de disponibilité de réseau de communication, le composant transactionnel autonome étant activé en cas d'indisponibilité d'un quelconque réseau de communication.

Selon une caractéristique particulière, le composant transactionnel en ligne et le composant transactionnel autonome ont accès à deux zones mémoire disjointes d'un espace mémoire sécurisé du terminal électronique transactionnel, ces deux zones mémoires disjointes comprenant respectivement des paramètres d'exécution du composant transactionnel en ligne et des paramètres du composant transactionnel autonome.

Selon un autre aspect, la divulgation se rapporte également à un système de traitement de transaction comprenant au moins un terminal électronique tel que décrit précédemment et connecté à un serveur transactionnel intermédiaire par l'intermédiaire d'un réseau de communication.

Selon une implémentation préférée, les différentes étapes des procédés selon la présente divulgation sont mises en œuvre par un ou plusieurs logiciels ou programmes d'ordinateur, comprenant des instructions logicielles destinées à être exécutées par un processeur de données d'un terminal d'exécution selon la présente technique et étant conçu pour commander l'exécution des différentes étapes des procédés, mis en œuvre au niveau du terminal de communication, du terminal électronique d'exécution et/ou du serveur distant, dans le cadre d'une répartition des traitements à effectuer et déterminés par un codes source scripté.

En conséquence, la présente technique vise aussi des programmes, susceptibles d'être exécutés par un ordinateur ou par un processeur de données, ces programmes comportant des instructions pour commander l'exécution des étapes des procédés tel que mentionnés ci-dessus.

Un programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable.

La présente technique vise aussi un support d'informations lisible par un processeur de données, et comportant des instructions d'un programme tel que mentionné ci-dessus.

Le support d'informations peut être n'importe quelle entité ou terminal capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple un support mobile (carte mémoire) ou un disque dur ou un SSD.

D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon la présente technique peut être en particulier téléchargé sur un réseau de type Internet.

Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.

Selon un mode de réalisation, la présente technique est mise en œuvre au moyen de composants logiciels et/ou matériels. Dans cette optique, le terme "module" peut correspondre dans ce document aussi bien à un composant logiciel, qu'à un composant matériel ou à un ensemble de composants matériels et logiciels.

Un composant logiciel correspond à un ou plusieurs programmes d'ordinateur, un ou plusieurs sous-programmes d'un programme, ou de manière plus générale à tout élément d'un programme ou d'un logiciel apte à mettre en œuvre une fonction ou un ensemble de fonctions, selon ce qui est décrit ci-dessous pour le module concerné. Un tel composant logiciel est exécuté par un processeur de données d'une entité physique (terminal, serveur, passerelle, set-top-box, routeur, etc.) et est susceptible d'accéder aux ressources matérielles de cette entité physique (mémoires, supports d'enregistrement, bus de communication, cartes électroniques d'entrées/sorties, interfaces utilisateur, etc.).

De la même manière, un composant matériel correspond à tout élément d'un ensemble matériel (ou hardware) apte à mettre en œuvre une fonction ou un ensemble de fonctions, selon ce qui est décrit ci-dessous pour le module concerné. Il peut s'agir d'un composant matériel programmable ou avec processeur intégré pour l'exécution de logiciel, par exemple un circuit intégré, une carte à puce, une carte à mémoire, une carte électronique pour l'exécution d'un micrologiciel (firmware), etc.

Chaque composante du système précédemment décrit met bien entendu en œuvre ses propres modules logiciels.

Les différents modes de réalisation mentionnés ci-dessus sont combinables entre eux pour la mise en œuvre de la présente technique.

4. Brève description des dessins

D'autres caractéristiques et avantages apparaîtront plus clairement à la lecture de la description suivante d'un mode de réalisation préférentiel, donné à titre de simple exemple illustratif et non limitatif, et des dessins annexés, parmi lesquels : [Fig. 1] expose les étapes du procédé de traitement d'une transaction ;

[Fig. 2] illustre l'architecture d'un terminal électronique ;

[Fig. 3] illustre l'architecture d'un serveur transactionnel intermédiaire.

5. Description détaillée

5.1. Description d'un mode de réalisation général

Le principe général de la présente technique repose sur la mise en œuvre, au sein du terminal de traitement, d'un composant de traitement différent en fonction de la présence, ou non, d'un réseau de communication apte à véhiculer des données de mise en œuvre de transaction. Un des objets de la présente technique est de permettre au terminal de gérer une transaction quel que soit l'état du réseau de communication. Des exemples de terminaux qui peuvent être modifiés pour mettre en œuvre la technique décrite sont par exemple des terminaux de paiement de type nomade, fonctionnant sur une source d'alimentation autonome et pouvant être utilisés par un commerçant au cours de son activité. D'autre types de terminaux peuvent également être modifiés pour mettre en œuvre la technique décrite sont par exemple des terminaux d'identification (ou d'authentification) qui sont utilisés pour permettre un accès à un bien ou à un service (il peut s'agir par exemple de terminaux vérifiant, à l'aide d'une carte d'accès en possession d'un utilisateur, la capacité de cet utilisateur à accéder au bien ou au service). De tels terminaux sont présents par exemple dans des locaux d'entreprise pour permettre l'accès à ceux-ci ou encore dans des locaux sécurisés, voire pour permettre dans certaines situations, l'accès à des outils ou machines particuliers sur des sites de productions.

Comme indiqué précédemment, le principal problème auquel ces types de terminaux sont couramment confrontés est relatif à l'absence de réseau de communication disponible ou suffisant pour pouvoir conduire une transaction (de paiement, d'identification, d'authentification, d'autorisation d'accès) en ligne. Pour pallier les problèmes posés par l'absence de réseaux ou l'inefficacité de celui-ci (débit insuffisant, accès intermittent), les inventeurs ont eu l'idée de modifier le terminal électronique pour permettre d'assurer une mise en œuvre allégée d'une transaction. La technique décrite se rapporte donc à la fois à l'architecture du terminal et à la mise en œuvre d'un procédé de traitement de transaction.

Pour ce qui est de la mise en œuvre de la transaction, le procédé est décrit en relation avec la figure 1. Préalablement à la mise en œuvre de ce procédé, le terminal transactionnel est mis sous tension pour effectuer une transaction. A la mise sous tension, le terminal transactionnel charge, à partir d'une mémoire sécurisée un ensemble de programmes permettant le démarrage (une mémoire est dite sécurisée lorsque des moyens restreigne son accès, comme par exemple des moyens physiques restreignant un accès et/ou de moyens logiciels restreignant un accès). Cet ensemble de programmes est cryptographiquement vérifié au démarrage. La mémoire en lecture seule qui comprend cet ensemble de programme est idéalement sécurisée afin d'éviter toute modification frauduleuse d'un ou de plusieurs programmes de l'ensemble de programmes lorsque le terminal est hors tension (éteint). Lorsque le terminal est démarré, une étape de détermination (P10) d'une disponibilité d'un ou de plusieurs réseaux de communication est mise en œuvre. Cette étape de détermination est mise en œuvre au moins partiellement par une unité de traitement sécurisée du terminal. Elle comprend une étape de mesure, à partir des interfaces réseau du terminal (réseaux sans fil, réseau filaire, en fonction de la structure du terminal), d'une présence d'un signal représentatif de la disponibilité du ou des réseaux. Elle comprend également et/ou alternativement une étape d'obtention d'une ou de plusieurs données de connectivité (telle que des adresses de connexion réseau, des données relatives à la qualité de service offert par le(s) réseau(x), des données de latence, etc. À l'issue de la mise en œuvre de cette étape, le terminal dispose, dans un espace dédié d'une mémoire sécurisé (M, SecM), d'une donnée représentative de la disponibilité/connexion d'un réseau de communication, et ce pour chaque interface utilisable pour ce faire. L'étape de détermination (P10) est mise en œuvre par exemple à l'issue du démarrage et au moins périodiquement (R[do]) une fois le démarrage effectué, pour mettre à jour les données représentatives de la disponibilité/connexion d'un réseau de communication dans l'espace dédié de la mémoire sécurisé (M, SecM).

Lorsqu'une transaction doit être menée par l'intermédiaire du terminal transactionnel, une étape (T20) d'obtention des données représentatives de la disponibilité/connexion d'un réseau de communication est mise en œuvre par un composant de lancement. Cette étape consiste en la lecture, au sein de l'espace dédié de la mémoire sécurisé (M, SecM), des données précédemment enregistrées. Lorsqu'aucun réseau de communication n'est disponible (cas « N »), le composant de lancement transmet (T25) une instruction d'exécution d'un composant transactionnel autonome (CTA) Le composant de lancement peut également lancer lui-même (T25, même référence numérique) la mise en œuvre du composant transactionnel autonome (CTA). Lorsqu'un réseau de communication est disponible (cas « Y »), le composant de lancement transmet (T30) une instruction d'exécution d'un composant transactionnel en ligne (CTL). Le composant de lancement peut également lancer lui-même (T30, même référence numérique) la mise en œuvre du composant transactionnel en ligne (CTL). Selon l'invention le composant transactionnel autonome (CTA) et le composant transactionnel en ligne (CTL) ne partagent pas de paramètres en commun. Les paramètres (pCTA, pCTL) nécessaires à l'exécution de chacun des composants (CTA, CTL) sont stockés séparément dans un espace de paramètres de la mémoire sécurisé (M, SecM). Le composant transactionnel autonome (CTA) n'a pas accès aux paramètres d'exécution (pCTL) du composant transactionnel en ligne (CTL). Le composant transactionnel en ligne (CTL) n'a pas accès aux paramètres d'exécution (pCTA) du composant transactionnel autonome (CTA). C'est grâce à cette indépendance de paramétrage que la sécurité du terminal tel que modifié par la présente technique est en partie assurée. La transaction est ensuite réalisée soit localement par le composant transactionnel autonome (T35), soit par l'intermédiaire du composant transactionnel en ligne (T40).

Le composant transactionnel autonome (CTA) et le composant transactionnel en ligne (CTL) utilisent un composant racine (RO7). Ce composant comprend des implémentations de fonctions de base. Ainsi, le composant racine (RO7), dont les fonctions sont matériellement et/ou logiciellement protégées (en zone mémoire sécurisée, ou par accès grâce à une clé de chiffrement à la disposition de chaque composant) met en œuvre les fonctions de base, nécessaires aux deux composants transactionnels (CTA, CTL), les composants appelant des fonctions contenues dans ce composant racine, pour obtenir un ou plusieurs résultats escomptés. Les deux composants transactionnels (CTA, CTL) ne sont pas en mesure de modifier ces fonctions : elles sont en « lecture seule », et ne peuvent, de la part des deux composants transactionnels (CTA, CTL), qu'être invoquées ou appelées, sans modification. Les paramètres d'appel et d'exécution de ces fonctions de base sont fournis soit par le composant transactionnel autonome (CTA) soit par le composant transactionnel en ligne (CTL) en fonction de la situation (« Y » ou « N »).

Enfin, les deux composants transactionnels (CTA, CTL) ne mettent pas en œuvre les mêmes fonctions : cela signifie que pour l'exécution d'une transaction, les deux composants transactionnels (CTA, CTL) n'ont pas la même logique de mise en œuvre et n'implémentent pas, en leur sein, de fonctions identiques. C'est grâce à cette différence de fonctionnement (i.e. ne pas mettre en œuvre les mêmes fonctions) que la sécurité du terminal tel que modifié par la présente technique est également en partie assurée.

Plus particulièrement, d'une manière générale, le composant transactionnel en ligne (CTL) comprend : une fonction de construction, avec un serveur distant, d'une liaison sécurisée point à point ; une fonction d'instruction, au serveur distant, d'une mise en œuvre d'une transaction en ligne ; une fonction de chiffrement, au sein du terminal, de données relatives à l'utilisateur du terminal, notamment de données saisies/fournies par l'utilisateur et/ou d'une ou plusieurs données de références contenues au sein du dispositif transactionnel d'utilisateur (i.e. présenté par l'utilisateur, comme un badge, une carte d'accès, une carte de transaction, etc.) ; une fonction de transmission, au serveur distant, des données relatives à l'utilisateur dans leur forme chiffrée, fonction qui est indépendamment ou conjointement mise en œuvre avec une fonction de transmission de données relatives au terminal pour la mise en œuvre de la transaction en ligne ; l'ensemble de ces données est nécessairement transmis, indépendamment du fait de l'obligation théorique de conduire la transaction en ligne : l'utilisation composant transactionnel en ligne (CTL) oblige à transmettre ces données à un serveur transactionnel intermédiaire (STi) ; une fonction de réception, en provenance du serveur transactionnel intermédiaire (Sti), de données représentative du déroulement de la transaction effectué par le serveur transactionnel intermédiaire, à la place du terminal ; une fonction de transmission, au serveur transactionnel intermédiaire (Sti), de données représentatives de transactions précédemment effectuées par l'intermédiaire du composant transactionnel autonome (CTA) ; cette fonction est activée par exemple au démarrage du composant CTL ; elle effectue une lecture, au sein d'un registre (de comptage) de la mémoire sécurisée, d'un compteur de transactions mises en œuvre par le composant transactionnel autonome (CTA) ; lorsque la valeur contenue dans ce registre est supérieure à 0, cela signifie que au moins une transaction a été mise en œuvre par le composant transactionnel autonome ; dans ce cas, la fonction effectue une lecture séquentielle d'une liste de transactions et une transmission des transactions qui ont été effectuées par le composant transactionnel autonome (CTA) durant l'absence de réseau ; le serveur transactionnel intermédiaire (Sti) acquitte la réception de ces transactions ; à réception de ces acquittements, le composant transactionnel en ligne CTL passe la valeur du registre de remise à zéro à la valeur 1. Ce passage permet d'indiquer d'une part que l'ensemble des transactions de la liste ont été transmises au serveur transactionnel autonome (Sti) et que, lors de sa prochaine mise en œuvre, le composant transactionnel autonome (CTA) peut effacer l'ensemble de ces transactions de sa portion de mémoire sécurisée (voir par la suite) : ainsi, le composant transactionnel en ligne n'agit pas directement sur la (portion de) mémoire sécurisée du composant transactionnel autonome et vice versa. Par ailleurs, le registre de remise à zéro peut n'être accessible que par une fonction spécifique du composant racine (R07), qui a seul la capacité à modifier la valeur de ce registre sur requête du composant transactionnel autonome (CTA) et du composant transactionnel en ligne (CTL).

Ainsi, le composant transactionnel en ligne (CTL) permet de supprimer l'utilisation d'un terminal traditionnel (i.e. de l'art antérieur) en réalisant à sa place les opérations nécessaires à l'exécution de la transaction. Dans ce cas, le terminal n'est plus considéré que comme un dispositif de saisie et de transmission/réception de données grâce à l'utilisation de ce composant transactionnel en ligne (CTL).

Plus particulièrement, d'une manière générale, le composant transactionnel autonome (CTA) comprend : une fonction de comparaison des données saisies/fournies par l'utilisateur par rapport à une ou plusieurs données de références contenues au sein du dispositif transactionnel présenté par l'utilisateur (carte d'accès, carte de transaction, etc.) ; une fonction d'obtention, en provenance du dispositif transactionnel présenté par l'utilisateur, d'une donnée représentative d'une exigence de conduite de transaction par le dispositif transactionnel (i.e. conduite de transaction en ligne/conduite de transaction en local) ; une fonctionnalité de rejet de la transaction, mise en œuvre lorsque le dispositif transactionnel présenté par l'utilisateur impose la conduite de la transaction en ligne ; une fonctionnalité de stockage de données représentatives de la transaction lorsque la transaction peut être conduite localement par le composant transactionnel autonome (CTA) (c'est-à-dire lorsque le dispositif transactionnel présenté par l'utilisateur n'exige pas une conduite en ligne) ; dans ce cas, les transactions sont ajoutées à la liste des transactions effectuées localement et le registre de comptage est incrémenté à chaque fois qu'une transaction est mise en œuvre par le composant transactionnel autonome (CTA) ; le composant transactionnel autonome ajoute les transactions effectuées au fur et à mesure de leur réalisation ; avant la réalisation d'une transaction, le composant transactionnel autonome (CTA) effectue par une lecture, en mémoire sécurisée, du registre de remise à zéro. La valeur de ce registre est soit 0 soit 1 et permet au composant transactionnel autonome (CTA) de déterminer si les précédentes transactions de la liste ont déjà été transmises au serveur transactionnel intermédiaire (Sti) par le composant transactionnel en ligne à l'occasion d'une précédente disponibilité d'un réseau de communication : auquel cas, le composant transactionnel autonome (CTA) passe la valeur du registre de comptage à 0 et la valeur du registre de remise à zéro également à la valeur 0 et efface la liste des transactions ; comme indiqué précédemment, la valeur du registre de remise à zéro est modifié par l'appel à une fonction spécifique du composant racine.

Ainsi, comme indiqué précédemment, le composant transactionnel en ligne et le composant transactionnel autonome ne partagent pas de zone mémoire communes en lecture écriture. L'objectif étant de limiter les possibilités de modifications des données non autorisées. Ainsi, pour une zone mémoire donnée de la mémoire sécurisée (comme par exemple la zone stockant la liste des transactions effectuées par le composant transactionnel autonome ou le compteur de transactions), le composant transactionnel en ligne ne peut que lire cette zone, et non y apporter des modifications. Ces modifications (effacement, écriture) ne sont réalisées que par le composant transactionnel autonome. Cette modification du terminal permet d'augmenter encore la sécurité de la mise en œuvre de transactions.

On présente, en relation avec la figure 2, une architecture simplifiée d'un terminal électronique (TermE) apte à effectuer le traitement d'une transaction tel que présenté précédemment. Un terminal électronique comprend une mémoire 31, une unité de traitement 32 équipée par exemple d'un microprocesseur, et pilotée par un programme d'ordinateur 33. Le terminal électronique comprend également une mémoire sécurisée 34, qui peut être fusionnée avec la mémoire 31 (comme indiqué en pointillés, dans ce cas la mémoire 31 est une mémoire sécurisée), une unité de traitement sécurisée 35 équipée par exemple d'un microprocesseur sécurisée et de mesure physiques de protection (protection physique autour de la puce, par treillis, vias, etc. et protection sur les interfaces de transmission de données), et pilotée par un programme d'ordinateur 36 spécifiquement dédié à cette unité de traitement sécurisée 35, ce programme d'ordinateur 36 mettant en œuvre toute ou partie du procédé de traitement d'une transaction tel que précédemment décrit. Le groupe composé de l'unité de traitement sécurisée 35, de la mémoire sécurisée 34 et du programme d'ordinateur dédié 36 constitue la portion sécurisée (PS) du terminal électronique. Dans au moins un mode de réalisation, la présente technique est mise en œuvre sous la forme d'un ensemble de programmes installé en partie ou en totalité sur cette portion sécurisée du terminal de traitement de transaction. Dans au moins un autre mode de réalisation, la présente technique est mise en œuvre sous la forme d'un composant dédié (CpX) pouvant traiter des données des unités de traitement et installé en partie ou en totalité sur la portion sécurisée du terminal de traitement de transaction. Par ailleurs, le terminal comprend également des moyens de communication (CIE) se présentant par exemple sous la forme de composants réseaux (WiFi, 3G/4G/5G, filaire) qui permettent au terminal de recevoir des données (I) en provenance d'entités connectées à un ou plusieurs réseaux de communication et des transmettre des données traitées (T) à de telles entités.

Un tel terminal comprend, en fonction des modes de réalisation : des moyens d'obtention de données en provenance de dispositifs transactionnels présentés des utilisateurs (carte d'accès, carte de transaction, etc. ; ces moyens peuvent se présenter, par exemple, sous la forme de lecteur de cartes à puces, ou encore de lecteurs de cartes sans contact de type NFC ou de type RFID) ; des moyens de saisie, permettant à l'utilisateur de saisir une ou plusieurs données pour la mise en œuvre de la transaction, lorsque cela est nécessaire (clavier de saisie physique, écran, clavier de saisie virtuel) des moyens de traitement des données obtenues par les moyens d'obtention de données en provenance des dispositifs transactionnels et des moyens de traitement des données saisies par l'utilisateurs ; ces moyens sont matérialisés par exemple sous la forme d'un composant racine ; des moyens de traitement d'une transaction ; ces moyens sont matérialisés par exemple sous la forme de deux composants indépendants que sont les composant transactionnel en ligne et le composant transactionnel autonome ; des moyens de fourniture de données à un ou plusieurs serveurs transactionnels intermédiaires ;

Comme explicité précédemment, ces moyens sont mis en œuvre par l'intermédiaire de modules et/ou de composants, par exemple sécurisés. Ils permettent ainsi d'assurer la sécurité des transactions réalisées tout en garantissant une plus grande maintenabilité du terminal.

On présente, en relation avec la figure 3, une architecture simplifiée d'un serveur transactionnel intermédiaire (Sti) apte à effectuer le traitement d'une transaction tel que présenté précédemment. Un serveur transactionnel intermédiaire (Sti) comprend une mémoire 41, une unité de traitement 42 équipée par exemple d'un microprocesseur, et pilotée par un programme d'ordinateur 43. Par ailleurs, le serveur transactionnel intermédiaire (Sti) comprend également des moyens de communication (CIE) se présentant par exemple sous la forme de composants réseaux (WiFi, 3G/4G/5G, filaire) qui permettent au serveur transactionnel intermédiaire (Sti) de recevoir des données (I) en provenance d'entités (terminal transactionnel, serveur décisionnaire) connectées à un ou plusieurs réseaux de communication et des transmettre des données traitées (T) à de telles entités. Un tel serveur transactionnel intermédiaire (Sti) comprend, en fonction des modes de réalisation : des moyens d'obtention de données en provenance de terminaux électroniques tels qu'explicité précédemment ; des moyens de construction, des transactions sur la base des données en provenance des terminaux électroniques ; des moyens d'interrogation de serveurs décisionnaires pour l'acceptation et/ou le refus des transactions construites ; des moyens de transmission, aux terminaux, de résultats de traitement de transaction.

5.2. Description d'un mode de réalisation spécifique

On présente, dans ce mode de réalisation, la mise en œuvre du procédé précédemment décrit à un terminal de paiement. Dans ce mode de réalisation, on suppose que le terminal de paiement comprend des moyens de connexion à des réseaux de communication par l'intermédiaire d'une ou de plusieurs interfaces de communication (Wifi, 3G/4G, etc.). Afin d'offrir une plus grande souplesse de traitement de transactions, l'architecture du terminal de paiement est modifiée. Avec ces modifications, il est possible de mettre en œuvre le procédé de traitement précédemment décrit et adapté pour un terminal de paiement. La figure 2 décrit l'architecture interne du terminal de paiement modifié pour la mise en œuvre du procédé de traitement.

Plus particulièrement, dans cette architecture, le composant racine (RO7) de base du terminal comprend l'implémentation des fonctions suivantes :

Fonctions comprenant les noyaux de paiement niveau 1 & 2 (EMV level 1 & 2) ;

Fonctions implémentant le contrôle des moyens de saisie d'information du porteur de carte de paiement (par exemple le code d'identification personnel « PIN ») ; les implémentations des fonctions et algorithmes cryptographiques nécessaires à la communication du terminal vers un serveur (tels que le chiffrement du code d'identification « PIN encryption » ou le chiffrement de point à point « P2PE »).

Deux composants de traitement de la transaction (CTT) de paiement sont présents au sein du terminal : un composant transactionnel en ligne (CTLp) pour le paiement et un composant de type transactionnel autonome de paiement (CTAp).

Le composant transactionnel en ligne (CTLp) pour le paiement implémente : des fonctions de communication vers le serveur, utilisant les fonctions et algorithmes de cryptographie nécessaires à la communication du terminal vers un serveur (et vice versa) ; une fonction qui redirige les fonctions des noyaux de paiement niveau 1 & 2 et les moyens de saisie d'information du porteur de carte vers le serveur : il s'agit donc d'une fonction de routage des données gérées/générées par le socle de base (RO7), lors de la mise en œuvre d'une transaction de paiement ; une fonction de transmission des transactions déjà gérées par le composant transactionnel autonome de paiement (CTAp), et précédemment stockées sur le terminal.

Le composant de type transactionnel autonome de paiement (CTAp) implémente : des fonctions nécessaires à la mise en œuvre, en local, d'une transaction de paiement : le niveau 3 du noyau de paiement (EMV level 3) ; ces fonctions utilisent les fonctions de noyaux de paiement niveau 1 & 2 et les fonctions de contrôle des moyens de saisie d'information du porteur de carte pour gérer localement, une transaction de paiement ; une fonction de stockage des transactions sur le terminal ;

Dans ce mode de réalisation, le composant transactionnel en ligne (CTLp) pour le paiement est configuré (soit statiquement, soit dynamiquement) pour transmettre les données gérées/générées par le socle de base (RO7) lors de la mise en œuvre d'une transaction de paiement. La transmission de ces données est effectuée à destination d'un serveur de traitement de transactions. Le serveur en question est un serveur transactionnel intermédiaire (STi), qui fait la liaison entre le terminal de paiement (PT) et un serveur transactionnel (acquéreur) ou un serveur bancaire classique (LPS). Il s'agit donc d'un nouveau type de serveur qui est en charge de la mise en œuvre d'une partie seulement de la transaction de paiement. Concrètement, ce serveur intermédiaire implémente, dans ce mode de réalisation : des fonctions nécessaires à la complétude de la transaction : le niveau 3 du noyau de paiement (EMV level 3) ; des fonctions nécessaires à la communication vers le serveur transactionnel.

Comme explicité précédemment, le terminal comprend également un composant de surveillance (CSN) de l'état du ou des réseaux de communication. Ce composant de surveillance (CNS) est activé de manière permanente ou périodique et inscrit, au sien d'un ou de plusieurs registres de la mémoire sécurisée, l'état du ou des réseaux de communications accessibles par l'intermédiaire des interfaces de communication du terminal de paiement (Wifi, 3G/4G/5G). Quand une transaction doit être effectuée, l'information contenue au sein de ces registres permet à un composant de lancement (LNCH) de déterminer quel est le composant de traitement de la transaction (CTT) le plus adapté à la situation du ou des réseaux de communication. Le composant de lancement (LNCH) transmet une instruction d'exécution du composant client léger (LWC) lorsqu'un des réseaux de communication est opérationnel ; Dans le cas contraire le composant de lancement (LNCH) transmet une instruction d'exécution composant de type transactionnel autonome de paiement (CTAp). Comme indiqué précédemment, la détection de réseau opérationnel peut être simple en mode « tout ou rien ». Elle peut être plus riche avec une évaluation de la qualité de service nécessaires aux transactions avec le serveur transactionnel intermédiaire (STi).

Dans ce mode de réalisation, le composant de type transactionnel autonome de paiement (CTAp) est un composant fonctionnel réduit. En d'autres termes, il s'agit d'un composant de secours, utilisé uniquement en l'absence de réseau de communication opérationnel et non utilisable par le terminal de paiement pour conduire une transaction avec le serveur transactionnel intermédiaire (STi) ou un autre serveur.

Le composant de type transactionnel autonome de paiement (CTAp) ne contient que les fonctions et les possibilités de configuration strictement nécessaires à la certification ; ne contient aucune fonction de communication vers le serveur transactionnel intermédiaire (STi), ni vers l'acquéreur ; ne contient donc pas de spécificité propre à l'acquéreur ; ne contient donc pas les fonctions de demande d'autorisation ou de transfert de PIN. Le composant rejette les transactions nécessitant ces fonctions de demande d'autorisation ; ne contient pas les appels aux fonctions de cryptographie nécessaires à la communication vers le serveur transactionnel intermédiaire (STi) ou l'acquéreur ; stocke systématiquement toutes les transactions dans une zone mémoire sécurisée du terminal ; imprime des reçus de transaction directement et sans formatage ni information optionnelle.

Par ailleurs, afin de garantir et de maintenir la sécurité du terminal de paiement, les composants de traitement de la transaction ne partagent aucun paramètre de configuration en commun. Selon une caractéristique particulière, pour se prémunir d'un risque de compromission de l'un des composants de traitement de transaction par un autre, des zones de mémoire sécurisées différentes sont utilisées pour enregistrer les paramètres d'exécution des composants de traitement de transaction, chaque composant ayant seul les moyens d'obtention des paramètres dans la zone mémoire qui lui est destinée. Ainsi, on garantit l'isolation des processus. En effet, comme l'utilisation du composant transactionnel autonome de paiement (CTAp) constitue un mode de fonctionnement de repli (mode de fonctionnement alternatif, en quelque sorte), il faut éviter que ce mode de fonctionnement alternatif ne serve porte d'entrée, pour un fraudeur, qui souhaiterait modifier le fonctionnement nominal (normal) du terminal de paiement, ou bien pour faire passer une transaction de paiement qui ne devrait pas l'être. Un fraudeur pourrait être tenté de perturber le ou les réseaux de communications présents dans l'objectif de s'assurer que seul le composant transactionnel autonome de paiement (CTAp) soit en mesure de fonctionner et tenter, lors de ce fonctionnement en mode autonome, de perturber le fonctionnement ultérieur ou de frauder sur la transaction. L'isolation des paramètres de fonctionnement permet d'éviter ce type d'attaque.