Le domaine de l'invention est celui des circuits électroniques sécurisés, notamment des circuits utilisés pour réaliser des transactions commerciales telles que le paiement en ligne sur un serveur, ceci au moyen d'un composant externe individualisé comme une carte à puce.

Pour réaliser ce type de transaction, on emploie un module de commande qui comporte d'une part un circuit intégré et d'autre part un organe de raccordement tel qu'un connecteur de carte à puce. Le circuit intégré comporte généralement un microcontrôleur relié à une interface de communication adaptée au serveur, une interface de commande et éventuellement une interface de visualisation, ce microcontrôleur étant de plus muni d'une connexion de transfert pour la liaison à l'organe de raccordement.

Classiquement, comme sensiblement décrit dans le document WO 99/62097, l'interface de communication est raccordée à un quelconque réseau par une liaison filaire, l'interface de commande est raccordée à un clavier et l'interface de visualisation est raccordée à un écran. L'organe de raccordement comporte une interface de transfert pour raccorder le composant externe à la connexion de transfert du circuit intégré au moyen d'une liaison de transfert.

Il s'ensuit que les informations confidentielles qui figurent dans le composant externe transitent sur la liaison de transfert qui n'est pas protégée.

Une telle situation n'est pas acceptable de la part de l'usager qui est à l'origine de la transaction.

La présente invention a ainsi pour objet de sécuriser les informations en provenance d'un composant externe à destination du microcontrôleur.

Selon l'invention, un circuit intégré comporte un microcontrôleur relié à une interface de communication et une interface de commande, cette interface de communication étant adaptée à un serveur, ce microcontrôleur étant de plus pourvu d'une connexion de transfert prévue pour le transfert d'informations avec un composant externe ; de plus, le circuit comporte une interface de transfert reliée d'une part à un accès de transfert et d'autre part à la connexion de transfert au moyen d'un bus de transfert.

L'interface de transfert étant ici incorporée au circuit intégré, le bus de transfert l'est également, si bien qu'il est beaucoup moins vulnérable qu'une liaison de transfert externe.

De plus, le circuit comprend des moyens de sécurisation pour sécuriser ce bus de transfert.

Selon un mode de réalisation privilégié, ces moyens de sécurisation incorporent des moyens de chiffrement.

Avantageusement, le circuit comprend de plus une interface de visualisation.

Ce circuit intégré peut figurer dans tout type d'équipement, pourtant l'invention trouve une application particulièrement avantageuse lorsque cet équipement est un module de commande.

Dans ce cas, le module de commande comportant un circuit intégré tel que décrit ci-dessus, il comprend de plus, relié à l'accès externe, un organe de raccordement à un composant externe.

Très couramment, l'organe de raccordement est un connecteur de carte à puce.

De préférence, le module comprend de plus un organe de commande relié à l'interface de commande.

En outre, le module comporte de plus un organe de communication relié à l'interface de communication.

Avantageusement, cet organe de communication fait appel à une technologie sans fil.

Il est alors souhaitable que l'organe de communication comprenne des moyens de cryptage qui préférentiellement recourent à une clé privée.

Selon une caractéristique additionnelle, ce module consistant en un module de télécommande, il comporte de plus un organe de contrôle d'un appareil distant.

De la sorte, un seul module permet tout à la fois de réaliser une transaction commerciale et de commander un quelconque appareil, que celui ait ou n'ait pas de lien avec cette transaction.

Un avantage supplémentaire est obtenu lorsque la liaison entre l'organe de contrôle et l'appareil distant est la mme que la liaison entre l'organe de communication et le serveur.

La présente invention apparaîtra maintenant avec plus de détails dans le cadre de la description qui suit d'exemples de réalisation donnés à titre illustratif en se référant aux figures annexées qui représentent : - la figure 1, un circuit intégré, et - la figure 2, un module de commande.

Les éléments apparaissant sur les deux figures sont affectés d'une seule et mme référence.

En référence à la figure 1, le circuit intégré CI comporte essentiellement un microcontrôleur MIC pourvu d'une connexion de transfert CT. II comporte aussi une interface de communication IM reliée d'une part au microcontrôleur MIC et d'autre part à un accès de communication AM. II comporte également une interface de commande IC reliée d'une part au microcontrôleur MIC et d'autre part à un accès de commande AC. Il comporte éventuellement une interface de visualisation IV reliée d'une part au microcontrôleur MIC et d'autre part à un accès de visualisation AV. Les différents accès AM, AC, AV sont prévus pour tre raccordés à des liaisons externes au circuit intégré Ci.

L'invention propose donc d'agencer l'interface de transfert IT à l'intérieur du circuit intégré CI alors que selon l'état de l'art cette interface est disposée à l'extérieur.

Cette interface de transfert IT est raccordée d'une part à la connexion de transfert CT du microcontrôleur MIC par un bus de transfert BT, et d'autre part à un accès de transfert AT prévu pour la liaison à un organe de raccordement. Cet organe de raccordement, un connecteur par exemple, est prévu pour le raccordement d'un composant externe, une carte à puce par exemple, à l'interface de transfert IT.

Le bus de transfert BT est enfoui dans le circuit intégré CI si bien que les informations qu'il véhicule sont beaucoup mieux protégées que lorsqu'elles circulaient sur une liaison externe au circuit.

Cependant, ce bus de transfert BT n'est pas totalement protégé. II est toujours possible de venir lire son contenu de l'extérieur.

Il est donc préférable de sécuriser ce bus de transfert BT et pour ce faire, on peut notamment recourir au chiffrement des informations qui l'empruntent, qu'il s'agisse d'adresses ou de données. Ces informations sont alors brouillées, dynamiquement ou non, à l'entrée sur le bus de transfert BT et désembrouillées à la sortie de ce bus. Cette technique étant à la portée de l'homme de métier, elle ne sera pas plus détaillée.

En référence à la figure 2, le circuit intégré CI est placé dans un module de commande.

Ce module comporte un organe de commande KBD tel qu'un clavier relié à l'accès de commande AC. Il comporte de plus un organe de communication ST relié à l'accès de communication AM. II comporte, le cas échéant, un écran de

visualisation LCD relié à l'accès de visualisation AV. II comporte enfin un organe de raccordement LC relié à l'accès de transfert AT.

Il convient également de protéger les données échangées entre l'organe de communication ST et le serveur auquel ces données sont destinées. Pour ce faire, on prévoit des moyens de cryptage dans l'organe de communication ST et des moyens similaires dans l'appareil distant.

Ainsi, les données sont cryptées au moyen d'un algorithme avant d'tre émises et elles sont décryptées à la réception avant d'tre traitées.

La sélection d'un algorithme standard permet d'éviter des contraintes supplémentaires, tout en assurant un niveau de sécurité maximal. On préférera donc un algorithme a clé privée car il nécessite des temps de calcul beaucoup plus courts qu'un algorithme à clé publique.

A titre d'exemple, on retiendra les algorithmes suivants : - AES (abréviation de l'expression anglaise « Advanced Encryption Standard »), travaillant sur des mots de 128 bits et offrant, à l'heure actuelle, une sécurité maximale, -DES (abréviation de l'expression anglaise « Data Encryption Standard »), travaillant sur des mots de 64 bits, connu pour son universalité dans les systèmes les moins exigeants en matière de sécurité, 3DES (abréviation de l'expression anglaise « Triple Data Encryption Standard »), ou - ODES (abréviation de l'expression anglaise « Extended Data Encryption Standard »), ces deux derniers algorithmes étant réputés pour des systèmes plus exigeant en terme de sécurité tout en assurant de hauts débits de chiffrement à faible coût.

La liaison entre le serveur et l'organe de communication ST est dans le cas présent une liaison sans fil tel qu'une liaison infrarouge. En effet, l'invention trouve une application particulièrement intéressante lorsque le module de commande incorpore une télécommande (non représentée dans la figure) d'un appareil distant, car on peut utiliser la mme liaison pour communiquer avec le serveur et avec l'appareil distant.

A titre d'exemple, l'appareil distant est un décodeur numérique et le module de commande objet de la présente invention est incorporé à la télécommande de ce décodeur. On peut ainsi employer cette télécommande

comme terminal de paiement. Lorsque le décodeur est relié au réseau Internet, il est alors aisé de pratiquer le paiement en ligne sécurisé.

Les exemples de réalisation de l'invention présentés ci-dessus sont très concrets. II ne serait cependant pas possible de répertorier de manière exhaustive tous les modes de réalisation que recouvre cette invention. En particulier, tout moyen décrit peut-tre remplacé par un moyen équivalent sans sortir du cadre de la présente invention.