ENTITE ELECTRONIQUE PORTABLE ET PROCEDE DE BLOCAGE, A

DISTANCE, D'UNE FONCTIONNALITE D'UNE TELLE ENTITE

ELECTRONIQUE PORTABLE

La présente invention concerne une entité électronique portable et un procédé de blocage, à distance, d'une fonctionnalité d'une telle entité électronique portable. L'invention s'intéresse, particulièrement, aux entités électroniques portables et amovibles, préférentiellement comportant une mémoire non volatile et un microcontrôleur. Des exemples de telles entités sont constitués d'une clef électronique dite « USB » (acronyme de « Universal Sériai Bus » pour bus série universel), c'est-à-dire une clef dont l'interface physique avec un ordinateur hôte est conforme à la spécification USB, et apte à communiquer selon un protocole conforme à la spécification USB, une carte à microcircuit, par exemple une carte à microcircuit conforme à la norme ISO7816, ou une carte de MMC (acronyme de « MultiMedia Card »).

On connaît des entités électroniques portables amovibles qui offrent diverses fonctionnalités ou service, par exemple :

- des clefs de mémorisation USB, pouvant être connectées à une station hôte pour mémoriser, par exemple, des données mémorisées par cette station hôte,

- des cartes à puce (conformes à la norme ISO7816) pouvant, par exemple, être connectées à une station hôte par l'intermédiaire d'un lecteur, ou une clef USB, pour sécuriser une transaction sur internet,

- des entités électroniques portables pour d'autres services ou fonctionnalités : données médicales personnelles, passeports, télévision à péage, contrôle d'accès, porte-monnaie électronique...

- des cartes bancaires pour effectuer des transactions bancaires.

II est souhaitable que l'émetteur ou le fournisseur de service qui est propriétaire de l'entité électronique portable soit en mesure de révoquer certaines entités électroniques, par exemple lorsqu'un titulaire d'une entité électronique a cessé de payer son abonnement ou lorsqu'une entité électronique à été perdue ou volée.

Une solution classique pour permettre cette révocation consiste en ce que les stations hôtes sur lesquels se connecte l'entité électronique pour mettre en œuvre ladite fonctionnalité ou fournir ledit service ou les serveurs qui collaborent avec l'entité électronique pour mettre en œuvre ladite fonctionnalité ou fournir ledit service peuvent accéder à des listes « noires » d'entités électroniques portables, qui permettent d'interdire le service ou la fonctionnalité pour l'entité électronique révoquée.

Une telle approche à l'inconvénient de nécessiter que les listes noires des stations hôtes et les serveurs soient fréquemment mises à jour, ce qui est coûteux et parfois impossible. De plus, une entité électronique révoquée peut continuer à contribuer à mettre en œuvre ledit service en collaboration avec une station ou un serveur distant dont la liste noire n'a pas encore été mise à jour. L'utilisation de telle liste noire n'est d'ailleurs pas toujours réalisable. Pour remédier à cet inconvénient, une solution classique consiste à envoyer des messages de révocation à l'entité électronique. Cependant, une personne tentant d'utiliser frauduleusement l'entité électronique peut intercepter et bloquer lesdits messages de révocation en mettant, par exemple, en œuvre les moyens nécessaires au sein de la station hôte à laquelle est connectée l'entité électronique.

La présente invention vise à remédier à ces inconvénients. A cet effet, selon un premier aspect, la présente invention vise un procédé de révocation et d'autorisation d'une fonctionnalité d'une entité électronique portable, qui comporte : - une étape de détermination du statut de l'entité électronique, par un serveur, à partir de l'identifiant de ladite entité électronique,

- une étape d'envoi à l'entité électronique, par le serveur, en fonction dudit statut, soit d'un message de révocation de ladite fonctionnalité, soit d'un message d'autorisation de ladite fonctionnalité, lesdits messages de révocation et d'autorisation ne pouvant pas être distingués, sauf à l'aide d'un secret mémorisé par l'entité électronique,

- à réception d'un message de révocation, une étape de révocation de ladite fonctionnalité par ladite entité électronique et

- à réception d'un message d'autorisation, une étape d'autorisation de ladite fonctionnalité par ladite entité électronique. Grâce à ces dispositions, l'entité électronique attend, pour mettre en oeuvre la fonctionnalité, un message d'autorisation et on ne peut pas distinguer un message de révocation d'un message d'autorisation. Il est donc impossible d'empêcher la réception des messages de révocation par l'entité électronique sans interdire l'utilisation de la fonctionnalité par cette entité électronique portable.

On observe que l'existence des messages de révocation permet de limiter les risques liés à des attaques, notamment des attaques consistant à essayer d'autoriser frauduleusement la fonctionnalité.

Selon des caractéristiques particulières, les messages d'autorisation et de révocation présentent la même longueur, en nombre de données transmises. Grâce à ces dispositions, la longueur des messages ne peut pas être utilisée pour les distinguer.

Selon des caractéristiques particulières, ladite étape de révocation est irréversible. La révocation peut, par exemple, révoquer le mécanisme d'autorisation d'au moins une fonctionnalité. Ainsi, l'étape de révocation rend préférentiellement inopérante la réception ultérieure d'un message d'autorisation de la fonctionnalité.

Selon des caractéristiques particulières, ladite étape de révocation rend l'entité électronique complètement inutilisable. Ainsi, il n'y a plus de risques que l'entité électronique soit utilisée frauduleusement ultérieurement.

Selon des caractéristiques particulières, ladite étape de révocation désactive ladite fonctionnalité. Grâce à ces dispositions, la présente invention

peut être utilisée pour suspendre des droits à des services lorsque l'abonné à ces droits n'a pas réglé le montant de ces abonnements.

Selon des caractéristiques particulières, le procédé tel que succinctement exposé ci-dessus comporte une étape de connexion de ladite entité électronique à une station hôte et une étape de transmission de l'identifiant de l'entité électronique depuis ladite entité électronique portable au serveur, par l'intermédiaire d'un réseau de communication.

Selon des caractéristiques particulières, ladite entité électronique portable est une clef électronique dite « USB » (acronyme de « Universal Sériai Bus » pour bus série universel), c'est-à-dire une clef dont l'interface physique avec un ordinateur hôte est conforme à la spécification USB, et apte à communiquer selon un protocole conforme à la spécification USB.

Selon des caractéristiques particulières, l'étape de détermination du statut est précédée d'une étape d'émission d'une requête d'autorisation de la part de l'entité électronique à destination du serveur. Grâce à ces dispositions, l'entité électronique, et donc l'émetteur ou le fournisseur de service propriétaire de l'entité électronique peut contrôler les instants auxquels l'entité électronique pourra être révoquée par le serveur.

Selon des caractéristiques particulières, l'étape d'émission d'une requête comprend une étape d'authentification de l'entité électronique. Grâce à ces dispositions, on évite des attaques du serveur par une entité électronique falsifiée.

Selon des caractéristiques particulières, l'étape d'émission d'une requête d'autorisation à lieu à chaque mise sous tension de l'entité électronique. On est ainsi sûr que, dès que le serveur est informé de la révocation d'une fonctionnalité sur une entité électronique portable, celle-ci ne peut plus utiliser cette fonctionnalité.

Selon des caractéristiques particulières, le procédé tel que succinctement exposé ci-dessus comporte une étape de signature, par le serveur, de chaque message d'autorisation ou de révocation. Grâce à ces dispositions, on évite qu'un virus ou un autre logiciel malicieux présent sur la

station hôte puisse révoquer une ou toutes les fonctionnalités de l'entité électronique portable.

Selon des caractéristiques particulières, le procédé tel que succinctement exposé ci-dessus comporte une étape de chiffrement, par le serveur, de chaque message d'autorisation ou de révocation. On constitue ainsi un moyen simple et facile à mettre en œuvre pour rendre les messages d'autorisation et de révocation indistinguables.

Selon des caractéristiques particulières, les messages d'autorisation et de révocation reconnus par l'entité électronique portable sont variables au cours du temps. Ainsi, on peut les transmettre en clair, mais ils ont une signification différente au cours du temps, par exemple selon la valeur d'une information partagée, typiquement non connue d'un attaquant (par exemple, un compteur des messages échangés, les messages de d'autorisation et de révocation ayant, par exemple, des significations interverties lorsque le compteur est impair).

Selon des caractéristiques particulières, les messages d'autorisation et/ou de révocations sont à usage unique. Ainsi, ils ne peuvent être utilisés qu'une seule fois, ce qui interdit l'utilisation d'un message copié pour déclencher une autorisation ultérieure. Selon des caractéristiques particulières, dès la mise sous tension de l'entité électronique portable, on effectue un lancement automatique d'une application de communication avec le serveur. Ce chargement automatique peut être effectué, par exemple, sous la forme d'une application « autorun.exe » qui se lance automatiquement lorsque la station hôte lit le contenu de l'entité électronique portable. De la sorte l'application est aisément lancée sans manipulation complexe pour l'utilisateur.

Selon un deuxième aspect, la présente invention vise une entité électronique portable, qui comporte :

- un moyen de communication d'un identifiant ; - un moyen de réalisation, au moins partielle, d'une fonctionnalité,

- un moyen de réception d'un message de la part d'un serveur d'autorisation ;

- un moyen de conservation d'un secret ;

- un moyen d'interprétation dudit message pour déterminer, à l'aide dudit secret, s'il s'agit d'un message de révocation de ladite fonctionnalité ou d'un message d'autorisation de ladite fonctionnalité ; - un moyen de révocation adapté à révoquer ladite fonctionnalité si le message est un message de révocation et

- un moyen d'autorisation adapté à autoriser ladite fonctionnalité si le message est un message d'autorisation.

Les avantages, buts et caractéristiques particulières de cette entité électronique portable étant similaires à ceux du procédé tel que succinctement exposé ci-dessus, ils ne sont pas rappelés ici.

D'autres avantages, buts et caractéristiques de la présente invention ressortiront de la description qui va suivre, faite, dans un but explicatif et nullement limitatif en regard des dessins annexés, dans lesquels : - la figure 1 représente, schématiquement, un mode de réalisation particulier de l'entité électronique objet de la présente invention connectée à une station hôte et à un serveur d'autorisation distant et

- la figure 2 représente, sous forme d'un logigramme, des étapes mises en œuvre dans un mode de réalisation particulier du procédé objet de la présente invention.

Il est à noter que les éléments représentés en figure 1 ne sont pas à l'échelle.

On observe, en figure 1 , un serveur 100 conservant une base de données 110 de statuts d'entités électroniques portables et relié à un réseau de communication, ou informatique 130, par exemple Internet. Un serveur 120 met en œuvre des services accessibles aux porteurs d'entités électronique portables.

Une station hôte 140 est également connectée au réseau 130 et, par l'intermédiaire d'un connecteur 150, à une entité électronique portable 160 objet de la présente invention. La station hôte 140 est, par exemple, un ordinateur d'usage général, ou ordinateur personnel.

L'entité électronique portable 160 comporte, outre une partie du connecteur 150, un hub 165, un microcontrôleur 170, une mémoire 175 non volatile. Le microcontrôleur 170 comporte une mémoire (non représentée) conservant au moins un secret nécessaire pour déchiffrer un message et/ou vérifier sa signature, par exemple sous la forme de clefs cryptographiques. La mémoire 175 conserve un programme 180 mettant en œuvre, en collaboration avec le microcontrôleur 170, une sécurisation de connexion et/ou de transaction.

Le programme 180 implémente aussi des fonctionnalités de l'entité électronique portable 160, par exemple des fonctionnalités de transactions bancaires. La mémoire 175 conserve aussi une adresse électronique 185 du serveur 100 et un identifiant 190 de l'entité électronique portable 160.

Le hub 165, de type connu, permet la communication de la station hôte avec, d'une part, le microcontrôleur 170 et, d'autre part, la mémoire non volatile 175. Le microcontrôleur 170 est de type sécurisé, comme, par exemple un microcontrôleur de carte à puce et comporte une mémoire EEPROM (non représentée). S'il est sécurisé, préférentiellement le microcontrôleur est conforme à des exigences de sécurité FIPS (acronyme de « Fédéral

Information Processing Standard » pour standard de traitement d'information fédéral) ou critère commun et/ou à la norme ISO7816.

La mémoire non volatile 175 est, par exemple, une mémoire flash. La mémoire 175 est associée à un contrôleur simulant un lecteur de disques compacts, ou CD-ROM.

Le programme 180 et le serveur 120 correspondent, par exemple, à au moins une fonctionnalité d'applications bancaires, de téléphonie mobile, d'identification, d'accès un service en ligne (voix sur IP, par exemple) ou de télévision payante.

Le programme 180 est, préférentiellement, de type à lancement automatique dès que l'entité électronique portable est alimentée, par l'intermédiaire du connecteur 150. Le programme 180 est, par exemple, de type

« autorun ». Le programme 180 est, préférentiellement, disponible, dans la mémoire 175 de l'entité électronique portable 160, en plusieurs versions

adaptées à fonctionner sur différents types de station hôte 200, par exemple avec différents systèmes d'exploitation. Le programme met en œuvre des moyens cryptographiques.

L'adresse électronique 185 du serveur 100 est, par exemple une adresse URL (acronyme de « Universal Resource Locator » pour localiseur universel de ressources). L'identifiant de l'entité électronique portable 190 est un identifiant unique, c'est-à-dire qu'il n'existe pas deux entités électroniques portables qui possèdent le même identifiant.

En variante, l'entité électronique portable 160 est directement connectée au serveur 100 par l'intermédiaire d'une station hôte passive, par exemple du type lecteur d'entités électroniques portables.

Dans ce mode de réalisation, l'entité électronique portable 160 comporte, par exemple, une interface de communication sans contact, de préférence une interface sans contact de communication de courte portée. Il peut ainsi s'agir d'une carte à puce sans contact ou duale interface (interface à la fois sans contact et contact) par exemple conforme à la norme IS014443. L'entité électronique portable peut également être un passeport comportant dans l'épaisseur de sa couverture un microcontrôleur sécurisé muni de moyens de communication sans contact conforme à la norme ISO14443. La communication avec une telle entité électronique peut être réalisée en utilisant l'interface sans contact, ou l'interface avec contact si l'entité électronique en comprend également une.

En variante, le réseau 130 est un réseau de communication mobile.

Comme on le comprend, à la lecture de ce qui précède, l'entité électronique portable peut être, par exemple, une clef USB, une carte à puce ou une carte MMC.

On observe, en figure 2 que, dès la connexion de l'entité électronique portable 160 à la station hôte 140, étape 205, l'entité électronique portable est alimentée par la station hôte, au cours d'une étape 210. Puis, au cours d'une étape 215, le programme 180 se charge automatiquement dans la mémoire de la station hôte 140, éventuellement après une sélection, par exemple en fonction du système d'exploitation de la station hôte 140. Au cours

d'une étape 220, le programme 180 se lance automatiquement sur la station hôte 140. Le chargement et le lancement automatique du programme 180 peuvent être effectués, par exemple, sous la forme d'une application « autorun.exe » qui se lance automatiquement lorsque la station hôte 140 accède au contenu de l'entité électronique portable 160. De la sorte le programme 180 est aisément lancé sans manipulation complexe pour l'utilisateur.

Puis, au cours d'une étape 225, le programme 180 lancé sur la station hôte 140 se connecte au serveur 100, en mettant en œuvre l'adresse électronique 185 du serveur 100. Au cours de cette même étape 225, le programme s'authentifie en mettant en œuvre ses moyens cryptographiques et ceux de l'entité électronique portable 160. Grâce à l'authentification de l'entité électronique portable 160, on évite, au niveau du serveur 100, des attaques par une entité électronique falsifiée ou simulée. Puis, au cours d'une étape 230, le programme 180 lancé sur la station hôte 140 envoie, à destination du serveur 100, une requête d'autorisation d'utilisation d'au moins une fonctionnalité, cette requête représentant l'identifiant 190.

Au cours d'une étape 235, le serveur effectue une recherche, dans la base de données 110, du statut de chaque fonctionnalité requise pour l'entité électronique portable, en mettant en œuvre l'identifiant 190.

Au cours d'une étape 240, le serveur détermine si le statut de la fonctionnalité requise de l'entité électronique portable est « autorisé » ou « révoqué ». Si le statut est « révoqué », au cours d'une étape 245, le serveur 100 envoie au microcontrôleur 170, par l'intermédiaire du réseau 130 et du programme 180 lancé sur la station hôte 140, une réponse formée d'un message de révocation signé et chiffré. Au cours d'une étape 250, le microcontrôleur 170 vérifie la signature du serveur 100. Par exemple, le serveur utilise une clef privée dont l'entité électronique portable connaît ou peut connaître la clef publique. On observe que, grâce à la signature des messages, on évite qu'un virus ou un autre logiciel malicieux présent sur la station hôte

140 puisse révoquer une ou toutes les fonctionnalités de l'entité électronique portable 160. Si la signature est valide, le microcontrôleur 170 effectue le déchiffrement du message reçu. Par exemple, le serveur utilise une clef publique dont l'entité électronique portable conserve la clef privée associée. Puis, au cours d'une étape 255, le microcontrôleur 170 interprète le message reçu, c'est-à-dire détermine s'il signifie une révocation, comme dans le cas présent, ou une autorisation. Dans le cas où, comme ici, il s'agit d'une révocation, le microcontrôleur 170 écrit dans sa mémoire EEPROM, vérifiée à chaque mise sous tension, une information binaire représentative d'un statut « révoqué » de chaque fonctionnalité requise. Le microcontrôleur 170 envoie alors, au programme 180, un message bloquant chaque fonctionnalité révoquée. Dans le cas où toutes les fonctionnalités du programme 180 sont révoquées, le microcontrôleur ne répond plus aux messages qui lui sont transmis. D'une manière plus générale, selon les modes de réalisation, l'étape de révocation :

- est irréversible, la révocation touchant alors le mécanisme d'autorisation d'au moins une fonctionnalité, ce qui rend inopérante la réception ultérieure d'un message d'autorisation de la fonctionnalité, - rend l'entité électronique complètement inutilisable, ce qui élimine les risques que l'entité électronique soit utilisée frauduleusement ultérieurement ou

- désactive la ou les fonctionnalité(s) requises, c'est-à-dire identifiées dans la requête émise au cours de l'étape 230, ce type de révocation permettant de suspendre des abonnements à des services lorsque l'abonné n'a pas réglé le montant de ces abonnements.

Si le statut déterminé au cours de l'étape 240 est « autorisé », au cours d'une étape 260, le serveur 100 envoie au microcontrôleur 170, par l'intermédiaire du réseau 130 et du programme 180 lancé sur la station hôte 140, une réponse formée d'un message d'autorisation signé et chiffré. Au cours d'une étape 265, le microcontrôleur 170 vérifie la signature du serveur 100 et, si la signature est valide, effectue le déchiffrement du message reçu. Puis, au cours d'une étape 270, le microcontrôleur 170 interprète le message reçu, c'est-

à-dire détermine s'il signifie une autorisation, comme dans le cas présent, ou une révocation. Dans le cas où, comme ici, il s'agit d'une autorisation, le microcontrôleur 170 écrit, dans la mémoire 175, une valeur binaire autorisant la mise en œuvre de la fonctionnalité et, par exemple, la fourniture d'un contenu numérique, ou l'accès à un autre service, par l'intermédiaire du serveur 120.

Préférentiellement, les messages d'autorisation et de révocation présentent la même longueur, en nombre de données transmises.

La mise en œuvre de l'étape 230 permet à l'entité électronique et, donc, à l'émetteur ou au fournisseur de service propriétaire de l'entité électronique, de contrôler les instants auxquels l'entité électronique pourra être révoquée par le serveur. Dans une variante non représentée, au lieu d'envoyer une requête au serveur 100 à chaque lancement du programme 180 sur la station hôte 140, l'entité électronique conserve, en mémoire, un compteur du nombre de mises en œuvre d'une fonctionnalité qui est incrémenté ou décrémenté à chacune de ces mises en oeuvre. Ce compteur est, par exemple, initialisé, après chaque procédure dans cette variante d'autorisation exposée en regard de la figure 2, à une valeur telle, qu'au bout d'une journée, le nombre d'authentification ne sera pas épuisé, mais qu'il soit probablement épuisé au bout de, par exemple, une semaine. Un serveur d'un réseau de communication mobile peut envoyer des messages d'autorisation qui provoquent la réinitialisation du compteur ou un message de révocation, par exemple tous les jours.

Ainsi, à la suite de l'une des étapes 245 ou 260, les messages de révocation et d'autorisation ne peuvent pas être distingués, sauf à l'aide d'un secret mémorisé par l'entité électronique sécurisée. En variante du chiffrement des étapes 245 et 260, les messages d'autorisation et de révocation peuvent être dissimulés par des méthodes de stéganographie.

Préférentiellement, les messages d'autorisation et/ou de révocations sont à usage unique, c'est-à-dire qu'ils ne peuvent être utilisés qu'une seule fois, ce qui interdit l'utilisation d'un message copié pour déclencher une autorisation ultérieure. Par exemple, l'entité électronique portable génère un code pseudo-aléatoire et le transmet au serveur, dans la requête émise au

cours de l'étape 230, le serveur utilisant ce code pour générer le message transmis en réponse.

Dans des variantes, l'interprétation des messages effectuée au cours des étapes 255 et 270 est telle que les messages d'autorisation et de révocation considérés ou reconnus par cette entité électronique portable 160 sont variables au cours du temps. Ainsi, on peut les transmettre en clair, mais ils ont une signification différente au cours du temps, par exemple selon la valeur d'une information partagée, typiquement non connue d'un attaquant (par exemple, un compteur de messages échangés, les messages de d'autorisation et de révocation ayant, par exemple, des significations interverties lorsque le compteur est impair).

Comme on le comprend à la lecture de ce qui précède, conformément à la présente invention, l'entité électronique portable 160 attend, pour mettre en œuvre une fonctionnalité, un message d'autorisation de la part d'un serveur d'autorisation 100 et on ne peut pas distinguer un message de révocation d'un message d'autorisation. Il est donc impossible d'empêcher la réception des messages de révocation par l'entité électronique sans interdire l'utilisation d'une fonctionnalité par cette entité électronique portable. On observe que l'utilisation des messages de révocation permet de limiter les risques liés à des attaques, notamment les attaques consistant à essayer d'autoriser frauduleusement la fonctionnalité.