FR2844897A1 - Entite electronique securisee avec gestion du temps - Google Patents

Entite electronique securisee avec gestion du temps Download PDF

Info

Publication number
FR2844897A1
FR2844897A1 FR0211879A FR0211879A FR2844897A1 FR 2844897 A1 FR2844897 A1 FR 2844897A1 FR 0211879 A FR0211879 A FR 0211879A FR 0211879 A FR0211879 A FR 0211879A FR 2844897 A1 FR2844897 A1 FR 2844897A1
Authority
FR
France
Prior art keywords
time
electronic entity
secure electronic
operations
capacitive component
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0211879A
Other languages
English (en)
Other versions
FR2844897B1 (fr
Inventor
Paul Dischamp
Christophe Giraud
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Idemia France SAS
Original Assignee
Oberthur Card Systems SA France
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oberthur Card Systems SA France filed Critical Oberthur Card Systems SA France
Priority to FR0211879A priority Critical patent/FR2844897B1/fr
Priority to PCT/FR2003/002780 priority patent/WO2004029873A1/fr
Priority to AU2003282182A priority patent/AU2003282182A1/en
Publication of FR2844897A1 publication Critical patent/FR2844897A1/fr
Application granted granted Critical
Publication of FR2844897B1 publication Critical patent/FR2844897B1/fr
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0813Specific details related to card security
    • G07F7/082Features insuring the integrity of the data on or in the card
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1025Identification of user by a PIN code
    • G07F7/1083Counting of PIN attempts

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Electric Clocks (AREA)
  • Lock And Its Accessories (AREA)

Abstract

Cette entité électronique sécurisée (11) contient une unité (18) de mesure du temps qui s'écoule entre deux opérations.Elle comporte une unité (19) de mémorisation d'une durée minimale ou maximale autorisée, coopérant avec l'unité (18) de mesure du temps, en vue de déterminer si le temps écoulé respecte la durée autorisée.Applications notamment aux cartes à microcircuit du type cartes bancaires ou cartes SIM.

Description

i
ENTITE ELECTRONIQUE SECURISEE AVEC GESTION DU TEMPS
L'invention se rapporte à une entité électronique sécurisée et a notamment pour objet un perfectionnement apporté à une telle entité 5 électronique pour que celle-ci puisse effectuer une gestion du temps qui s'écoule entre deux opérations et, à partir de l'élaboration d'une indication représentative du temps écoulé, contrôler si le temps écoulé respecte une durée autorisée
minimale ou maximale entre deux opérations.
Dans toute la suite, les opérations considérées ne sont pas 10 nécessairement de même nature.
On entend ici une gestion du temps "dans" la carte au sens o cette gestion est indépendante de tout système extérieur de mesure du temps, qu'il s'agisse par exemple d'un générateur de signal d'horloge ou de tout autre moyen
de mesure du temps situé à l'extérieur par rapport à la carte.
Ces spécificités permettent de rendre relativement inviolable l'entité
électronique objet de la présente invention.
L'invention peut s'appliquer à toute entité électronique sécurisée, comme, par exemple, une carte à microcircuit sécurisée, comportant des moyens lui permettant d'être couplée au moins temporairement à une source d'énergie 20 électrique pour la mise en oeuvre au moins d'une opération. L'invention peut notamment permettre de déterminer le temps qui s'écoule entre deux opérations, la connaissance de cette donnée supplémentaire permettant de détecter une tentative de fraude et, par conséquent, de sécuriser davantage l'entité électronique. Par "opération", on entend de façon très générale toute étape mise en oeuvre par l'entité électronique en question, que cette étape implique ou non un échange de données avec l'extérieur de l'ensemble constitué par la carte et son
lecteur, voire la carte seule.
La sécurité d'une entité électronique (par exemple une carte à microcircuit 30 telle qu'une carte bancaire ou une carte de contrôle d'accès ou autre) peut être améliorée s'il est possible de prendre en compte le temps qui s'est écoulé entre
deux opérations.
Il existe une grande variété d'attaques possibles contre les cartes à microcircuit. Certaines de ces attaques ont pour but de retrouver les secrets qui sont conservés dans la mémoire du microcircuit ou de modifier le comportement normal de la carte afin d'en tirer profit. Par exemple, DPA (analyse de puissance 5 différentielle, en anglais "Differential Power Analysis"), SPA (analyse de puissance simple, en anglais "Simple Power Analysis"), EMA (analyse électromagnétique, en anglais "ElectroMagnetic Analysis"), DEMA (analyse électromagnétique différentielle, en anglais "Differential ElectroMagnetic Analysis"), ou encore DFA (analyse d'erreur différentielle, en anglais "Differential 10 Fault Analysis") sont des appellations bien connues de telles attaques, dites non
intrusives, car n'entraînant pas la destruction de la carte.
Pour réaliser ces types d'attaques, il est généralement demandé à la carte d'exécuter des parties d'algorithmes de façon répétitive. Par exemple, pour retrouver des clés secrètes d'authentification de la carte au moyen d'une attaque 15 DPA, il est habituellement demandé à la carte de s'authentifier n fois de suite, n étant un entier en général supérieur à 50. Ce grand nombre d'authentifications effectuées en très peu de temps est en principe une utilisation anormale de la carte. Cependant, dans les cartes à microcircuit connues, la notion de temps est 20 le plus souvent apportée par l'extérieur (comme, de façon classique, par un signal d'horloge extérieur), ce qui rend plus facilement réalisables les attaques
mentionnées précédemment.
La présente invention a pour but de remédier aux inconvénients précités, en empêchant un "attaquant" ou un fraudeur d'utiliser de façon anormale une 25 entité électronique sécurisée et en intégrant, pour ce faire, dans l'entité
électronique, la gestion du temps entre deux opérations.
L'invention se propose ainsi de contraindre l'entité électronique à ne pas
exécuter plus d'un certain nombre d'opérations en un temps donné.
Dans ce but, l'invention propose une entité électronique sécurisée, 30 remarquable en ce qu'elle contient une unité de mesure du temps qui s'écoule entre deux opérations, et en ce qu'elle comporte une unité de mémorisation d'une durée minimale ou maximale autorisée, l'unité de mémorisation coopérant avec l'unité de mesure du temps, en vue de déterminer si ce temps écoulé
respecte cette durée autorisée.
Conformément à l'invention, les moyens permettant de déterminer le temps qui s'écoule entre deux opérations se situent dans l'entité électronique, ce qui permet d'augmenter sa sécurisation. Avantageusement, l'unité de mesure du temps est adaptée à fournir une mesure du temps qui s'écoule entre deux opérations même lorsque l'entité
électronique n'est pas alimentée par une source d'énergie extérieure.
Avantageusement, l'unité de mesure du temps est adaptée à fournir une 10 mesure du temps qui s'écoule entre deux opérations même lorsque l'entité
électronique n'est pas alimentée électriquement.
Avantageusement, l'unité de mesure du temps est adaptée à fournir une mesure du temps qui s'écoule entre deux opérations indépendamment de tout
signal d'horloge extérieur.
En ce sens, l'entité électronique est autonome, à la fois du point de vue de
la mesure du temps et du point de vue de l'alimentation électrique.
En variante, on peut bien entendu prévoir une pile et/ou une horloge dans
l'entité électronique.
Les opérations dont il est question peuvent toutes être de même nature; il 20 peut s'agir, par exemple, uniquement d'opérations d'authentification. Cela n'est néanmoins pas toujours le cas et les opérations peuvent être de natures diverses. L'unité de mesure du temps peut comporter un moyen de comparaison de deux dates, une date étant, de façon générale, une expression du temps courant 25 et ces deux dates s'entendant ici comme deux instants définis par rapport à une
même référence temporelle.
L'unité de mémorisation de la durée autorisée comporte avantageusement
une entité sécurisée et peut être située dans ou hors de l'entité électronique.
Les "opérations" mentionnées ci-dessus peuvent comporter l'utilisation 30 d'une donnée secrète, qui peut être par exemple une clé cryptographique ou un
code personnel.
Dans une pluralité d'exemples d'application de l'invention, dont certains sont détaillés plus loin, la durée autorisée mentionnée ci-dessus correspond à
une consommation maximale autorisée par unité de temps.
Dans un mode de réalisation préféré de la présente invention, l'entité électronique sécurisée comporte au moins un sous-ensemble comprenant: un composant capacitif présentant une fuite au travers de son espace diélectrique, des moyens permettant de coupler ce composant capacitif à une source d'énergie électrique pour être chargé par la source d'énergie électrique et un moyen de mesure de la charge résiduelle du composant capacitif, 10 cette charge résiduelle étant au moins en partie représentative du temps qui s'est écoulé après que le composant capacitif a été découplé de la source
d'énergie électrique.
Dans ce cas, le composant capacitif du sous-ensemble précité ne peut être chargé que lorsque l'entité électronique sécurisée est couplée à la source 15 d'énergie électrique. Cette dernière peut être extérieure à l'entité électronique sécurisée, mais ce n'est pas impératif: en variante, on peut prévoir d'alimenter
l'entité électronique par une pile disposée dans ou sur celle-ci.
L'entité électronique pourra être pourvue d'un moyen de commutation
pour découpler le composant capacitif de la source d'énergie électrique, cet 20 événement initialisant la mesure du temps.
Plus généralement, la mesure du temps, c'est-à-dire la variation de charge du composant capacitif, commence dès que, après avoir été chargé, celui-ci se trouve électriquement isolé de tout autre circuit et ne peut plus se
décharger qu'à travers son propre espace diélectrique.
Cependant, même si, physiquement, la charge résiduelle mesurée est liée à l'intervalle de temps écoulé entre l'isolement de l'élément capacitif et une mesure donnée de sa charge résiduelle, un intervalle de temps mesuré (qui sera considéré comme normal ou anormal ou qui pourra de toute façon être pris en compte pour déterminer si l'utilisation qui est faite de l'entité électronique est 30 normale ou anormale) peut être déterminé entre deux mesures, la première mesure déterminant en quelque sorte une charge résiduelle de référence. Le moyen de mesure de la charge résiduelle du composant capacitif est mis en
oeuvre lorsqu'on désire connaître un temps écoulé.
Le composant capacitif étant chargé au cours d'une opération, le moyen de mesure de la charge résiduelle est mis en oeuvre au cours d'une telle opération pour fournir une information au moins en partie représentative du
temps qui s'est écoulé depuis la dernière opération.
Par ailleurs, l'invention permet en outre à l'entité électronique sécurisée de continuer à mesurer le temps entre deux opérations même après que l'entité électronique a été temporairement alimentée en courant et qu'elle se trouve ensuite dépourvue de toute nouvelle alimentation électrique. L'invention ne
nécessite donc pas d'utiliser une source d'énergie électrique en permanence.
Le moyen de mesure de la charge résiduelle peut être compris dans
l'unité de mesure du temps mentionnée plus haut.
Dans le mode préféré de réalisation, le moyen de mesure de la charge résiduelle comprend un transistor à effet de champ dont la grille est connectée à une borne du composant capacitif, c'est-à-dire à une "armature" d'une capacité. 15 Une telle capacité peut être réalisée en technologie MOS et son espace diélectrique peut alors être constitué par un oxyde de silicium. Dans ce cas, il est avantageux que le transistor à effet de champ soit réalisé également en technologie MOS. La grille du transistor à effet de champ et l"'armature" du composant capacitif MOS sont reliées et constituent une sorte de grille flottante 20 qui peut être connectée à un composant permettant d'injecter des porteurs de charge. On peut aussi faire en sorte qu'il n'existe aucune connexion électrique à proprement parler avec l'environnement extérieur. La connexion de la grille flottante peut être remplacée par une grille de contrôle (électriquement isolée) 25 qui vient charger la grille flottante, par exemple par effet tunnel ou par "porteurs chauds". Cette grille permet de faire transiter des porteurs de charge vers la grille flottante commune au transistor à effet de champ et au composant capacitif. Cette technique est bien connue des fabricants de mémoires de type
EPROM ou EEPROM.
Le transistor à effet de champ et le composant capacitif peuvent constituer une unité intégrée dans un microcircuit compris dans l'entité électronique sécurisée ou faisant partie d'un autre microcircuit logé dans la
même entité électronique sécurisée.
Pendant certaines opérations, lorsque l'entité électronique sécurisée est encore couplée à une source d'énergie électrique extérieure, le composant capacitif est chargé à une valeur prédéterminée, connue ou mesurée et mémorisée, et le moyen de mesure de la charge résiduelle est relié à une borne de ce composant capacitif. A la fin de l'opération, le moyen de mesure de la charge résiduelle, notamment le transistor à effet de champ, n'est plus alimenté mais sa grille reliée à la borne du composant capacitif est portée à une tension correspondant à la
charge de celui-ci.
Pendant toute la période de temps qui sépare deux opérations, le composant capacitif se décharge lentement au travers de son propre espace diélectrique de sorte que la tension appliquée sur la grille du transistor à effet de
champ diminue progressivement.
Au moment o l'entité électronique est à nouveau connectée à une source 15 d'énergie électrique pour la mise en oeuvre d'une nouvelle opération, une tension électrique est appliquée entre le drain et la source du transistor à effet de champ. Ainsi, un courant électrique allant du drain vers la source (ou dans le
sens contraire selon les cas) est engendré et peut être recueilli et analysé.
La valeur du courant électrique mesuré dépend des paramètres 20 technologiques du transistor à effet de champ et de la différence de potentiel
entre le drain et la source, mais aussi de la tension entre la grille et le substrat.
Le courant dépend donc des porteurs de charge accumulés dans la grille flottante commune au transistor à effet de champ et au composant capacitif. Par conséquent, ce courant de drain est aussi représentatif du temps qui s'est écoulé 25 entre les deux opérations.
Le courant de fuite d'une telle capacité dépend bien sr de l'épaisseur de son espace diélectrique mais également de tout autre paramètre dit technologique tel que les longueurs et surfaces de contact des éléments du composant capacitif. Il faut également prendre en compte l'architecture 30 tridimensionnelle des contacts de ces parties, qui peut induire des phénomènes modifiant les paramètres du courant de fuite (par exemple, modification de la valeur de la capacité dite tunnel). Le type et la quantité des dopants et des défauts peuvent être modulés pour modifier les caractéristiques du courant de fuite. Les variations de température ont aussi une influence, plus précisément la moyenne des apports d'énergie calorifique appliqués à l'entité électronique 5 sécurisée entre deux opérations, c'est-à-dire pendant le temps qu'on cherche à déterminer. En fait, tout paramètre intrinsèque à la technologie MOS peut être source de modulation du processus de la mesure du temps. En ce qui concerne les apports calorifiques, cependant, si le diélectrique est d'épaisseur très faible (inférieure à 5 nanomètres), le sous-ensemble correspondant est pratiquement 10 insensible à la température, mais la fuite, relativement importante, est telle qu'on ne peut mesurer que des périodes de temps relativement faibles, de l'ordre de quelques minutes ou moins. Un tel sous-ensemble à fuite élevée indépendante de la température, peut cependant être retenu pour la détection de certains types de fraude. Par exemple, ce type de composant capacitif peut permettre de 15 détecter des tentatives d'authentifications successives très rapprochées dans le temps ou des opérations de chiffrement de données qui sont caractéristiques de
certaines attaques dites DPA mentionnées ci-dessus.
Pour mesurer des temps plus longs, il est nécessaire d'utiliser un
composant capacitif ayant un espace diélectrique d'épaisseur plus importante. 20 Dans ce cas, la fuite est sensible aux variations de température.
Avantageusement, l'épaisseur de la couche isolante du transistor à effet de champ est notablement supérieure (par exemple environ trois fois supérieure)
à l'épaisseur de la couche isolante du composant capacitif.
Quant à l'épaisseur de la couche isolante du composant capacitif, elle est 25 avantageusement comprise entre 4 et 10 nanomètres.
Pour obtenir une information sensiblement uniquement représentative du temps, on peut prévoir, dans une variante de réalisation, au moins deux sousensembles tels que définis ci-dessus, exploités "en parallèle". Les deux composants capacitifs sensibles à la température sont définis avec des fuites 30 différentes, toutes choses égales par ailleurs, c'est-àdire que leurs espaces diélectriques (épaisseur de la couche d'oxyde de silicium) ont des épaisseurs différentes. A cet effet, selon une disposition avantageuse de l'invention, l'entité électronique définie cidessus est remarquable en ce qu'elle comporte au moins deux sousensembles précités comprenant chacun: un composant capacitif présentant une fuite au travers de son 5 espace diélectrique, des moyens permettant de coupler ce composant capacitif à une source d'énergie électrique pour être chargé par cette source d'énergie électrique et un moyen de mesure de la charge résiduelle du composant capacitif, cette charge résiduelle étant au moins en partie représentative 10 du temps qui s'est écoulé après que le composant capacitif a été découplé de la source d'énergie électrique, ces sous-ensembles comprenant des composants capacitifs présentant des fuites différentes au travers de leurs espaces diélectriques respectifs, et en ce que l'entité électronique sécurisée comporte en outre: des moyens de traitement des mesures des charges résiduelles respectives de ces composants capacitifs, pour extraire de ces mesures une information sensiblement indépendante des apports calorifiques appliqués à
l'entité électronique sécurisée pendant le temps écoulé entre deux opérations.
Par exemple, les moyens de traitement peuvent comporter un tableau de 20 valeurs de temps mémorisées, ce tableau étant adressé par ces mesures
respectives. Autrement dit, chaque couple de mesures désigne une valeur de temps mémorisée indépendante de la température et des variations de température pendant la période mesurée. L'entité électronique comporte avantageusement une mémoire associée à un microprocesseur et une partie de 25 cette mémoire peut être utilisée pour mémoriser le tableau de valeurs.
En variante, les moyens de traitement peuvent comporter un logiciel de calcul programmé pour exécuter une fonction prédéterminée permettant de calculer l'information temps, sensiblement indépendante des apports
calorifiques, en fonction des deux mesures précitées.
L'invention est particulièrement adaptée à s'appliquer aux cartes à microcircuit. L'entité électronique sécurisée peut être une carte à microcircuit, ou en comprendre une, ou encore être d'un autre type, par exemple, être une carte PCMCIA (architecture internationale de cartesmémoire d'ordinateurs individuels,
en anglais "Personal Computer Memory Card International Architecture").
L'invention est en outre remarquable par son niveau d'intégration.
D'autres aspects et avantages de l'invention apparaîtront à la lecture de la 5 description détaillée qui suit de modes particuliers de réalisation, donnés à titre
d'exemples non limitatifs. La description est faite en référence aux dessins qui
l'accompagnent, dans lesquels: - la figure 1 est un synoptique représentant, dans un mode particulier de réalisation, une entité électronique sécurisée conforme à la présente 10 invention; - la figure 2 est un schéma-bloc d'une carte à microcircuit à laquelle peut s'appliquer l'invention, dans un mode particulier de réalisation; - la figure 3 est un schéma de principe d'un sous-ensemble que l'entité électronique sécurisée peut comporter dans un mode particulier de réalisation 15 et - la figure 4 est un schéma-bloc d'une variante du mode de réalisation
des figures 1 et 2.
Comme le montre la figure 1, une entité électronique sécurisée 11
conforme à la présente invention contient une unité 18 de mesure du temps qui 20 s'écoule entre deux opérations.
L'unité 18 de mesure du temps est indépendante de tout système extérieur de mesure du temps, qu'il s'agisse par exemple d'un générateur de signal d'horloge ou de tout autre moyen de mesure du temps situé à l'extérieur
par rapport à la carte.
Cette unité 18 de mesure du temps qui s'écoule entre deux opérations permet d'éviter qu'un éventuel attaquant ou fraudeur puisse acquérir des secrets, tels qu'une clé de chiffrement, qui sont mémorisés dans l'entité électronique i1, ou que l'attaquant puisse modifier le comportement de l'entité électronique 11
afin d'en tirer profit illégalement.
Pour cela, dans un premier exemple décrit ici à titre non limitatif, on contraint l'entité électronique sécurisée 11 à ne pas exécuter plus d'un certain nombre d'authentifications, ou d'autres fonctions faisant appel à des algorithmes
cryptographiques, en un temps donné.
Certes, un comportement autorisé de l'entité électronique sécurisée 11
peut impliquer l'exécution de plusieurs authentifications en un temps donné.
Cependant, ce nombre d'authentifications successives a une limite. Ainsi, par exemple, on peut prévoir que, si l'entité électronique sécurisée 11 effectue un 5 nombre total N, à décider au préalable, d'authentifications en un intervalle de temps inférieur à une durée minimale autorisée Tmini, il soit nécessaire d'attendre un temps Tatti avant de pouvoir effectuer la (N+1)ème authentification, puis à
nouveau Tatti minutes avant de pouvoir effectuer la (N+2)ème, et ainsi de suite.
A titre d'exemple non limitatif, on peut choisir N = 50, Tmini = 5 minutes et 10 Tatti = 10 minutes. L'enchaînement des opérations est alors le suivant: en cas de 50 authentifications en moins de 5 minutes, par exemple 3 minutes, on autorise une 51ème authentification à la 13ème minute, une 52ème authentification à la 23ème minute, une 53ème authentification à la 33ème minute, etc. L'entité électronique sécurisée 11 comporte à cet effet une unité 19 de 15 mémorisation d'une durée autorisée. Il peut s'agir, soit d'une durée minimale Tmin, comme Tmjn, dans le premier exemple décrit ici, soit d'une durée maximale Tmax. L'unité 19 de mémorisation de la durée autorisée est avantageusement une mémoire sécurisée de l'entité électronique 11, cette mémoire étant notamment non accessible de l'extérieur. En variante, on peut envisager de situer l'unité 19 20 de mémorisation de la durée autorisée hors de l'entité électronique sécurisée 11, dans une entité sécurisée extérieure. Dans ce dernier cas, la valeur de la durée autorisée Tmin ou Tmax est reçue de l'extérieur, de la part d'un tiers dit "de confiance" (autorité habilitée), par l'entité électronique sécurisée 11, par l'intermédiaire d'un protocole sécurisé (i.e. mettant en oeuvre des moyens 25 cryptographiques) et est mémorisée au moins temporairement dans une zone
sécurisée de l'entité électronique i1.
Conformément à la présente invention, l'unité 19 de mémorisation coopère avec l'unité 18 de mesure du temps, en vue de déterminer si le temps
écoulé entre les deux opérations respecte la durée autorisée Tmin ou Tmax.
On peut prévoir dans la mémoire de l'entité électronique sécurisée 11 une région (comprenant par exemple un fichier) contenant la date, par exemple en secondes, à partir d'une référence de temps initiale prédéterminée, des N dernières authentifications effectuées. La référence de temps initiale correspond il à un instant donné de la vie de l'entité électronique tel que la fin de sa personnalisation, ou sa première mise sous tension, ou encore la dernière
opération sur laquelle on a effectué la gestion du temps.
Dès lors, dans le premier exemple décrit ici, avant d'effectuer une 5 nouvelle authentification, il est prévu, par exemple dans l'application considérée mise en oeuvre par l'entité électronique sécurisée 11, de comparer la date de la Nème authentification avec la date de la première authentification. Si la différence entre les deux dates est supérieure à la durée minimale autorisée Tmini, l'authentification est effectuée normalement. En revanche, si la différence entre 10 les deux dates est inférieure à la durée autorisée Tmini, on peut prévoir de démarrer un processus de sécurité Psl, consistant par exemple à n'autoriser qu'une seule authentification par tranche de temps de Tatt pendant une durée de
sécurité D,.
Dans l'exemple non limitatif donné ci-dessus, on peut choisir Ds = 2 15 heures.
Après écoulement de la durée de sécurité D., le processus de sécurité Ps1 s'arrête et l'entité électronique sécurisée 11 repasse en mode de fonctionnement normal. Il est préférable de mettre à jour la région de mémoire (comprenant par 20 exemple un fichier) contenant les données relatives au temps avant d'effectuer l'authentification, afin d'éviter une attaque qui pourrait empêcher l'écriture dans
ce fichier.
Dans un deuxième exemple décrit ici à titre non limitatif, un autre processus de sécurité Ps2 consiste à inclure un écart de temps Tatt2 croissant 25 entre les opérations - par exemple les authentifications. Par exemple, on peut choisir un écart de temps Tatt2 qui suit une progression géométrique. Dans l'exemple donné ici, cet écart de temps est chaque fois doublé entre deux opérations. Ainsi, les N premières authentifications peuvent être réalisées en un 30 temps Tmin2, puis, une fois le processus de sécurité P,2 déclenché, on initialise un compteur de temps (par exemple à une valeur Tatt2 = To) qui fixe le temps d'attente Tatt2 entre deux opérations, qui sont ici des authentifications. A chaque nouvelle authentification, la valeur courante Tatt2 de ce compteur de temps est multipliée par 2, c'est-à-dire que le temps d'attente entre les 1ère et Nème opérations vaut To et, pour tout entier i supérieur ou égal à 0, le temps d'attente
entre les (N+i)ème et (N+i+1)ème opérations vaut Tatt2 = 2'xTo.
A titre d'exemple non limitatif, on peut choisir N = 50, Tmin2 5 minutes et 5 To = 1 minute. L'enchaînement des opérations est alors le suivant: en cas de 50 authentifications en moins de 5 minutes, par exemple 4 minutes, on autorise une 51ème authentification à la 5ème minute, une 52ème authentification à la 7ème minute, une 53ème authentification à la 1ème minute, etc. De même que dans le premier exemple décrit précédemment, après 10 écoulement de la durée de sécurité Ds, le processus de sécurité P.2 s'arrête si aucune nouvelle authentification n'a eu lieu et l'entité électronique sécurisée 11
repasse en mode de fonctionnement normal.
Dans un troisième exemple décrit ici à titre non limitatif, un autre processus de sécurité Ps3 consiste à bloquer l'entité électronique sécurisée 11 15 de façon définitive si un trop grand nombre d'opérations (dans cet exemple, des
authentifications), i.e. un nombre d'opérations supérieur à un nombre maximal autorisé d'opérations défini préalablement, sont effectuées en un temps donné.
Autrement dit, une durée minimale imposée entre deux opérations n'aura pas été respectée. Par exemple, si N authentifications ont été réalisées en un temps inférieur
à une durée minimale imposée Tmin3, on peut considérer qu'il s'agit d'une utilisation anormale de l'application mise en oeuvre par l'entité électronique sécurisée 11 et on oblige alors l'entité électronique 11 à se mettre définitivement hors service. Cet état peut être obtenu par exemple par effacement de toutes les 25 données mémorisées.
A titre d'exemple non limitatif, on peut choisir N = 50 et Tmin3 = 5 minutes.
Dans ce cas, l'entité électronique sécurisée 11 se bloque si 50 authentifications
ont été réalisées en moins de 5 minutes.
On peut combiner les processus de sécurité Ps, et Ps3.
La figure 2 illustre une entité électronique sécurisée 11 conforme à la présente invention, dans un mode particulier de réalisation o cette entité est une carte à microcircuit. L'entité électronique sécurisée 11 comporte une unité
12 lui permettant d'être couplée à une source d'énergie électriqextérieure 16.
Dans le mode particulier de réalisation représenté, l'entité électronique sécurisée 11 comporte des plages de raccordement métalliques susceptibles d'être connectées à une unité formant un lecteur de carte. Deux de ces plages de raccordement 13a, 13b sont réservées à l'alimentation électrique du 5 microcircuit, la source d'énergie électrique étant logée dans un serveur ou autre
dispositif auquel l'entité électronique sécurisée est momentanément raccordée.
Ces plages de raccordement peuvent être remplacées par une antenne logée dans l'épaisseur de la carte et susceptible de fournir au microcircuit l'énergie électrique nécessaire à son alimentation tout en assurant la transmission 10 bidirectionnelle de signaux radiofréquence permettant les échanges
d'informations. On parle alors de technologie sans contact.
Le microcircuit comprend un microprocesseur 14 associé de façon
classique à une mémoire 15.
Dans un exemple particulier de réalisation, l'entité électronique sécurisée 15 Il comporte au moins un sous-ensemble 17 (ou est associée à un tel sousensemble) chargé de la mesure du temps.
Le sous-ensemble 17, qui est représenté plus en détail sur la figure 3, est donc logé dans l'entité électronique sécurisée 11. Il peut faire partie du
microcircuit et être réalisé dans la même technologie d'intégration que celui-ci.
Dans l'exemple, ce sous-ensemble 17 n'est relié à aucune source d'énergie électrique interne. Il ne peut donc être alimenté que lorsque l'entité électronique sécurisée 11 est effectivement couplée à un serveur ou à un lecteur de carte, comportant une telle source d'énergie électrique. Cependant, si l'entité électronique sécurisée 11 doit être alimentée en permanence, le sous-ensemble 25 17 qui est chargé de la mesure du temps peut être alimenté ou non via un module de commutation permettant de coupler l'entité électronique sécurisée 11 à la source d'énergie électrique ou de l'isoler de celle-ci. Un tel module de commutation est par exemple partie intégrante du microprocesseur 14, ou
constitué par des éléments de commutation gérés par le microprocesseur 14.
Le sous-ensemble 17 comprend un composant capacitif 20 présentant une fuite au travers de son espace diélectrique 24 et une unité 22 de mesure de
la charge résiduelle de ce composant 20.
Cette charge résiduelle est au moins en partie représentative du temps écoulé après que le composant capacitif 20 a été découplé de la source d'énergie électrique, c'est-à-dire, dans l'exemple donné ici, entre deux opérations. Le composant capacitif 20 est chargé par la source d'énergie électrique
extérieure au cours d'une opération, soit par connexion directe, comme dans l'exemple décrit, soit par tout autre moyen qui peut amener à charger la grille.
L'effet tunnel est une méthode permettant de charger la grille sans connexion directe. Dans l'exemple, la charge du composant capacitif 20 est pilotée par le 10 microprocesseur 14.
Dans l'exemple, le composant capacitif 20 est une capacité réalisée suivant la technologie MOS. L'espace diélectrique 24 de cette capacité est constitué par une couche d'oxyde de silicium déposée à la surface d'un substrat 26 constituant une des armatures du condensateur. Ce substrat 26 est ici 15 connecté à la masse, c'est-à-dire à une des bornes d'alimentation de la source
d'énergie électrique extérieure, lorsque celle-ci se trouve raccordée à la carte.
L'autre armature du condensateur est un dépôt conducteur 28a appliqué sur
l'autre face de la couche d'oxyde de silicium.
Par ailleurs, l'unité 22 de mesure mentionnée précédemment comprend 20 essentiellement un transistor 30 à effet de champ, ici réalisé suivant la technologie MOS, comme la capacité. La grille du transistor 30 est connectée à une borne du composant capacitif 20. Dans l'exemple, la grille est un dépôt conducteur 28b de même nature que le dépôt conducteur 28a qui, comme
indiqué ci-dessus, constitue une des armatures du composant capacitif 20.
Les deux dépôts conducteurs 28a et 28b sont reliés l'un à l'autre ou ne constituent qu'un seul et même dépôt conducteur. Une connexion 32 reliée au microprocesseur 14 permet d'appliquer une tension à ces deux dépôts 28a et 28b, pendant un court intervalle de temps nécessaire pour charger le composant capacitif 20. L'application de cette tension est pilotée par le microprocesseur 14. 30 Plus généralement, la connexion 32 permet de charger le composant capacitif 20 à un moment choisi, sous la commande du microprocesseur 14 et c'est à partir du moment o cette connexion de charge est coupée par le microprocesseur 14 (ou lorsque l'entité électronique sécurisée 11 est découplée dans son ensemble de toute source d'alimentation électrique) que la décharge du composant capacitif 20 au travers de son espace diélectrique 24 commence, cette perte de charge électrique étant représentative du temps écoulé. La mesure du temps implique la mise en conduction momentanée du transistor 30, 5 ce qui suppose la présence d'une source d'énergie électrique appliquée entre
drain et source.
Le transistor 30 à effet de champ en technologie MOS comporte, outre la grille, un espace diélectrique de grille 34 séparant cette dernière d'un substrat 36 dans lequel sont définies une région de drain 38 et une région de source 39. 10 L'espace diélectrique de grille 34 est constitué par une couche isolante d'oxyde de silicium. La connexion de source 40 appliquée à la région de source 39 est reliée à la masse et au substrat 36. La connexion de drain 41 est reliée à un circuit de mesure du courant de drain qui comporte une résistance 45 aux bornes de laquelle sont connectées les deux entrées d'un amplificateur 15 différentiel 46. La tension délivrée à la sortie de cet amplificateur est donc
proportionnelle au courant de drain.
La grille 28b est mise en position flottante pendant le temps qui s'écoule entre deux couplages ou connexions à une source d'énergie électrique extérieure, c'est-à-dire à l'occasion de deux opérations successives. Autrement 20 dit, aucune tension n'est appliquée à la grille pendant cet intervalle de temps. En
revanche, puisque la grille est connectée à une armature du composant capacitif 20, la tension de grille pendant cet intervalle de temps est égale à une tension qui se développe entre les bornes du composant capacitif 20 et qui résulte d'une charge initiale de celui-ci réalisée sous le contrôle du microprocesseur 14 au 25 cours de la dernière opération.
L'épaisseur de la couche isolante du transistor 30 est notablement plus grande que celle du composant capacitif 20. A titre d'exemple non limitatif, l'épaisseur de la couche isolante du transistor 30 peut être environ trois fois supérieure à l'épaisseur de la couche isolante du composant capacitif 20. Selon 30 l'application envisagée, l'épaisseur de la couche isolante du composant capacitif
est comprise entre 4 et 10 nanomètres, environ.
Lorsque le composant capacitif 20 est chargé par la source d'énergie électrique extérieure et après que la connexion de charge a été coupée sous la commande du microprocesseur 14, la tension aux bornes du composant capacitif 20 diminue lentement au fur et à mesure que ce dernier se décharge progressivement au travers de son propre espace diélectrique 24. La décharge au travers de l'espace diélectrique 34 du transistor 30 à effet de champ est négligeable compte tenu de l'épaisseur de ce dernier. A titre d'exemple nullement limitatif, si, pour une épaisseur d'espace
diélectrique donnée, on charge la grille et l'armature du composant capacitif 20 à 6 volts à un instant t = 0, le temps associé à une perte de charge de 1 volt, c'està-dire un abaissement de la tension à une valeur de 5 volts, est de l'ordre de 10 24 secondes pour une épaisseur de 8 nanomètres.
Pour des épaisseurs différentes, on peut dresser le tableau suivant: Durée 1 heure 1 journée 1 semaine 1 mois Epaisseur d'oxyde 8,17 nm 8,79 nm 9,17 nm 9.43 nm Précision sur le temps 1,85 % 2,09 % 2,24 % 3,10 % La précision dépend de l'erreur commise sur la lecture du courant de drain 15 (0,1 % environ). Ainsi, pour pouvoir mesurer des temps de l'ordre d'une semaine,
on peut prévoir une couche d'espace diélectrique de l'ordre de 9 nanomètres.
La figure 3 montre une architecture particulière qui utilise une connexion directe à la grille flottante (28a, 28b) pour y appliquer un potentiel électrique et donc y faire transiter des charges. On peut aussi procéder à une charge 20 indirecte, comme mentionné précédemment, grâce à une grille de contrôle remplaçant la connexion directe, selon la technologie utilisée pour la fabrication
des cellules EPROM ou EEPROM.
La variante de la figure 4 prévoit trois sous-ensembles 17A, 17B, 17C, chacun associé au microprocesseur 14. Les sous-ensembles 17A et 17B 25 comprennent des composants capacitifs présentant des fuites relativement
faibles pour permettre des mesures de temps relativement longs.
Cependant, ces composants capacitifs sont généralement sensibles aux variations de température. Le troisième sous-ensemble 17C comporte un composant capacitif présentant un espace diélectrique très faible, inférieur à 5 nanomètres. Il est de ce fait insensible aux variations de température. Les deux composants capacitifs des sous-ensembles 17A, 17B présentent des fuites
différentes au travers de leurs espaces diélectriques respectifs.
En outre, l'entité électronique sécurisée comporte un module de 5 traitement des mesures des charges résiduelles respectives présentes dans les
composants capacitifs des deux premiers sous-ensembles 17A, 17B. Ce module de traitement est adapté à extraire de ces mesures une information représentative des temps et sensiblement indépendante des apports calorifiques appliqués à l'entité électronique sécurisée pendant le temps écoulé entre deux 10 opérations successives précitées.
Dans l'exemple, ce module de traitement se confond avec le microprocesseur 14 et la mémoire 15. En particulier, un espace de la mémoire 15 est réservé à la mémorisation d'un tableau T à double entrée de valeurs de temps et ce tableau est adressé par les deux mesures respectives issues des 15 sous-ensembles 17A et 17B. Autrement dit, une partie de la mémoire comporte un ensemble de valeurs de temps et chaque valeur correspond à un couple de mesures résultant de la lecture du courant de drain de chacun des deux
transistors des sous-ensembles 17A, 17B sensibles à la température.
Ainsi, pendant une opération, par exemple vers la fin de celle-ci, les deux 20 composants capacitifs sont chargés, à une valeur de tension prédéterminée, par la source d'énergie électrique extérieure, via le microprocesseur 14. Lorsque la carte à microcircuit est découplée du serveur ou lecteur de carte ou autre entité, les deux composants capacitifs restent chargés mais commencent à se décharger au travers de leurs propres espaces diélectriques respectifs et, au fur 25 et à mesure que le temps s'écoule, sans que la carte à microcircuit soit utilisée, la charge résiduelle de chacun des composants capacitifs décroît mais différemment dans l'un ou l'autre, en raison des fuites différentes déterminées
par construction.
Lorsque la carte est à nouveau couplée à une source d'énergie électrique 30 extérieure à l'occasion d'une nouvelle opération, les charges résiduelles des deux composants capacitifs sont représentatives du même intervalle de temps qu'on cherche à déterminer mais diffèrent en raison des variations de
température qui ont pu se produire pendant toute cette période de temps.
Au moment de la réutilisation de la carte, les deux transistors à effet de champ de ces deux sous-ensembles sont alimentés et les valeurs des courants de drain sont lues et traitées par le microcircuit. Pour chaque couple de valeurs de courant de drain, le microcircuit va chercher en mémoire, dans le tableau T 5 mentionné précédemment, la valeur de temps correspondante. Cette valeur de temps est alors comparée à la durée minimale ou maximale autorisée et l'opération n'est autorisée que si le temps écoulé est, selon l'application considérée, supérieur à la durée minimale autorisée, ou inférieur à la durée
maximale autorisée, respectivement.
En variante, cette valeur de temps peut être comparée avec une valeur disponible dans le serveur ou lecteur de carte ou autre entité, de préférence sécurisée. De plus, l'opération peut n'être autorisée que si, non seulement le temps écoulé respecte la durée minimale ou maximale autorisée, mais si en outre, la valeur de temps obtenue dans la carte (par exemple la valeur de temps 15 mémorisée dans le tableau T) est compatible avec la valeur disponible dans le serveur ou lecteur de carte ou autre entité, c'est-à-dire si en outre ces deux valeurs concident ou sont relativement proches, selon une tolérance choisie au préalable. Il n'est pas nécessaire de mémoriser le tableau T. Par exemple, le module 20 de traitement, c'est-à-dire essentiellement le microprocesseur 14, peut comporter une partie de logiciel de calcul d'une fonction prédéterminée permettant de déterminer ladite information sensiblement indépendante des
apports calorifiques en fonction des deux mesures.
Le troisième sous-ensemble 17C comporte, comme décrit plus haut, un 25 espace diélectrique extrêmement mince le rendant insensible aux variations de température. Ce sous-ensemble peut être utilisé, sous le contrôle du microprocesseur 14, pour détecter des tentatives d'authentification répétées qui
par exemple se produisent souvent lors d'une attaque de type DPA.
D'autres variantes sont possibles. En particulier, si on veut simplifier le 30 sous-ensemble 17, on peut envisager de supprimer le composant capacitif 20 en tant que tel, car le transistor 30 à effet de champ peut lui-même être considéré comme un composant capacitif avec la grille 28b et le substrat 36 en tant qu'armatures, ces dernières étant séparées par l'espace diélectrique 34. Dans ce cas, on peut considérer que le composant capacitif et l'unité de mesure sont confondus. Dans les trois exemples décrits plus haut incluant la mise en oeuvre de processus de sécurité P.1, P12 et Ps3, il y a plusieurs possibilités pour conserver l'indication de temps entre les opérations. Une première possibilité consiste à charger la cellule qui mesure le temps une fois, lors de la mise en service de la carte. Lorsqu'une opération (par exemple une authentification) est effectuée, l'état de la charge de la cellule à un instant tl est mémorisé (par exemple inscrit dans un fichier d'une région 10 sécurisée de la mémoire de la carte). Lorsqu'une deuxième opération de même nature (dans l'exemple, une deuxième authentification) est effectuée, l'état de la charge de la cellule à l'instant t2 est mémorisé (dans l'exemple, inscrit dans le fichier), et ainsi de suite, de façon que, lorsqu'une Neme opération de même nature (dans l'exemple, avec N = 50, une 50ème authentification) est effectuée, 15 l'état de la charge de la cellule à l'instant tN est mémorisé (dans l'exemple, t50
est inscrit dans le fichier).
Pour déterminer le temps écoulé entre la 1ère et la Nème opérations, il suffit de comparer l'état de la charge de la cellule à tl à l'état de la charge de la cellule à tN. Par soustraction des valeurs des charges et par l'intermédiaire d'une table 20 de correspondance entre charges et temps écoulé (pouvant être élaborée à partir d'un tableau analogue au tableau T décrit plus haut), on obtient le temps
écoulé recherché.
En effet, par "charge" de la cellule, on entend ici la valeur physique liée à cette cellule, telle que la tension à ses bornes. Néanmoins, pour une utilisation 25 plus simple de cette grandeur, on peut prévoir dans la carte un système (comme par exemple la table de correspondance mentionnée ci-dessus) permettant d'associer cette valeur physique à une grandeur logique plus directement
représentative du temps.
D'autres possibilités consistent à recharger la cellule à intervalles de 30 temps réguliers, ou encore à chaque mise sous tension de l'entité électronique sécurisée. On utilise avantageusement un seul composant capacitif pour une pluralité d'opérations. A chaque exécution d'une opération donnée (par exemple, la mise à zéro de la carte), le temps écoulé depuis la dernière recharge du composant capacitif est mesuré, puis le composant capacitif est rechargé. On accumule les temps ainsi mesurés dans un emplacement de la mémoire non
volatile de la carte.
Cet emplacement mémoire mémorise ainsi le temps écoulé depuis la première charge du composant capacitif (la première charge ayant lieu, par exemple, lors de la première mise sous tension de la carte) et permet de
connaître le temps écoulé à tout moment pour tout type d'opération.
Cette solution a pour avantage d'utiliser un seul composant capacitif ayant 10 une épaisseur d'oxyde relativement faible, ce qui confère une plus grande précision dans la mesure du temps, par comparaison avec le cas d'un seul
composant pour toute la durée de vie de la carte.
Le temps qui s'écoule entre l'instant de mesure de la charge du composant capacitif et le moment de sa recharge est parfois non négligeable, en 15 particulier si la carte est retirée du lecteur avant recharge. Pour prendre en compte cet intervalle de temps, on peut utiliser un second composant dont la
fonction sera de prendre le relais du premier pendant cet intervalle de temps.
On peut également prévoir d'utiliser des composants capacitifs de précisions différentes afin d'améliorer la précision de la mesure: on choisira, 20 parmi plusieurs mesures, celle obtenue à partir du composant le plus précis qui
n'est pas déchargé.
Encore une autre possibilité consiste à recharger la cellule à chaque exécution d'une opération d'un type donné (par exemple, à chaque authentification), après avoir mesuré le temps écoulé depuis la précédente 25 opération du même type. Un avantage de cette possibilité est qu'on peut prévoir des composants adaptés à l'opération à contrôler, pour améliorer la précision de la mesure du temps; dans la cellule de mesure du temps, en particulier pour ce qui concerne l'épaisseur d'oxyde, on a vu par le tableau donné plus haut que le
choix de l'épaisseur d'oxyde influe sur la précision de la mesure.
Cette possibilité de rechargement de la cellule à chaque exécution d'une opération d'un type donné est appropriée lorsqu'on prévoit une cellule de mesure du temps pour chaque application considérée dans la carte. En effet, sachant que la cellule est rechargée à chaque nouvelle opération de même nature, chaque application ayant recours au système de gestion du temps conforme à la
présente invention utilise la cellule de mesure du temps qui lui est associée.
Dans cette hypothèse, pour l'application considérée, la différence entre la charge maximale de la cellule et l'état de la charge à l'instant de la nouvelle 5 opération (dans l'exemple, la nouvelle authentification) est mémorisée (dans
l'exemple, dans un fichier d'une région sécurisée de la mémoire de la carte).
Cette différence représente le temps écoulé entre les deux opérations.
Pour obtenir le temps écoulé entre N opérations, il suffit alors
d'additionner les (N-1) valeurs des différences précédemment mémorisées. 10 D'autres variantes, à la portée de l'homme du métier, sont possibles.
Un autre exemple d'application d'une entité électronique sécurisée conforme à la présente invention, dans lequel l'entité électronique est également une carte à microcircuit, consiste, dans le domaine bancaire, à introduire une
sécurité supplémentaire pour les achats effectués au moyen de la carte.
Par exemple, on peut prévoir de déclencher une connexion avec le serveur de la banque concernée lorsque de nombreux achats de faibles montants auront été réalisés (généralement sans connexion à la banque) dans un intervalle de temps donné (par exemple dix "petits achats" en une heure). Le choix de cet intervalle de temps, i.e. de la durée autorisée au sens de la 20 présente invention, peut dépendre de l'état du compte bancaire du porteur de la
carte au moment o la carte a réalisé sa dernière connexion avec la banque.
Pour ce faire, dans un mode particulier de réalisation, la carte contient un fichier avec la date et le montant des achats. La date est mémorisée, par exemple, sous forme de l'état de la charge dans la cellule de mesure du temps, 25 décrite plus haut en liaison avec les figures 2 à 4, ou bien mémorisée sous forme d'une valeur logique plus directement représentative du temps, dans une table de correspondance entre charges et temps écoulé comme indiqué précédemment. Les opérations sont ici constituées par l'un quelconque des
traitements récurrents effectués par la carte au cours d'un achat.
A chaque nouvel achat, l'application mise en oeuvre par la carte va chercher toutes les opérations effectuées depuis écoulement d'un temps Ut et calculer le nombre total de "petits achats" effectués par l'utilisateur de la carte. Si ce nombre est inférieur à un seuil prédéfini autorisé dans l'intervalle de temps considéré, le nouvel achat est accepté; sinon, la carte communique avec la
banque l'ayant délivrée, à des fins de vérification.
Ainsi, conformément à l'invention, l'utilisation du compteur de temps à l'intérieur de la carte permet d'améliorer la sécurité puisque le décompte du temps est difficile à falsifier. Un exemple d'application d'une entité électronique sécurisée conforme à la présente invention, dans le domaine de la téléphonie mobile, o l'entité électronique est une carte du type SIM (module d'identification de l'abonné, en anglais "Subscriber Identity Module") ou analogue, et o les opérations ont lieu 10 sans échange de données avec l'extérieur de l'ensemble constitué par la carte et le terminal de téléphonie mobile, consiste à limiter le nombre, par unité de temps, de tentatives d'authentification de l'abonné par saisie de son code
personnel d'identification (code PIN, en anglais "Personal Identification Code").
Lorsque l'utilisateur saisit son code PIN sur le clavier du téléphone mobile, 15 ce dernier le communique à la carte SIM. La carte vérifie le code PIN afin d'authentifier l'abonné et de lui donner accès aux services de communication sans fil. Si le code PIN saisi est erroné, l'utilisateur est autorisé à refaire un certain nombre maximal de tentatives (typiquement, trois) avant que la carte se bloque. Les opérations considérées sont ici l'un quelconque des traitements 20 récurrents effectués par la carte au cours de la saisie du code PIN par l'utilisateur. Selon l'invention, on ne bloque pas la carte à l'issue de trois présentations d'un code PIN erroné, mais l'accès aux services de communication sans fil sera conditionné à un certain temps d'attente si par exemple le nombre de saisies de 25 code PIN erroné dépasse un nombre maximal par unité de temps. On peut par exemple mettre en oeuvre un processus de sécurité du type Ps2 comme décrit
plus haut, avec N = 3, T0 = Tmin2 = 2 heures et Ds = 12 heures.
Encore un autre exemple d'application d'une entité électronique sécurisée conforme à la présente invention, également dans le domaine de la téléphonie 30 mobile, o l'entité électronique est aussi une carte du type SIM ou analogue, consiste à limiter le temps de communication par unité de temps Ut d'un
téléphone mobile associé à cette carte SIM.
Par exemple, on peut choisir d'empêcher un utilisateur du téléphone de passer des appels dépassant une certaine durée totale Dt par unité de temps Ut, l'unité de temps Ut définie à l'avance pouvant être, de même que dans l'exemple d'application bancaire donné précédemment, un jour, une semaine ou toute 5 autre période de temps. A titre d'illustration en aucun cas limitative, on peut choisir Dt = 1 heure et Ut = 1 jour, ce qui revient à limiter le temps de
communication à au maximum une heure par jour.
Pour ce faire, dans un mode particulier de réalisation, la carte contient un fichier, par exemple journalier, avec la durée de toutes les communications 10 téléphoniques de la journée. Pour chaque communication, la durée a été obtenue en soustrayant l'heure de fin de communication hi à l'heure de début de communication hO. Ces heures de début et de fin de communication sont mémorisées, de façon similaire aux dates dans l'exemple d'application bancaire donné précédemment, par exemple, sous forme de l'état de la charge dans la 15 cellule de mesure du temps, décrite plus haut en liaison avec les figures 2 à 4,
ou bien mémorisées sous forme d'une valeur logique plus directement représentative du temps, dans une table de correspondance entre charges et temps écoulé comme indiqué précédemment. Les opérations sont ici constituées par l'un quelconque des traitements récurrents effectués par la carte au cours 20 d'un appel téléphonique sortant.
A chaque nouvel appel sortant, l'application mise en oeuvre par la carte va chercher toutes les opérations effectuées depuis écoulement du temps Ut et additionner les durées des appels passés par l'utilisateur de la carte. Si le résultat de cette addition est inférieur à la durée totale maximale autorisée dans 25 l'intervalle de temps considéré (dans l'exemple, 1 h par jour), l'émission de la
nouvelle communication est acceptée; sinon, elle est refusée.
Dans les exemples d'application aux cartes bancaires et aux téléphones mobiles qui viennent d'être détaillés, comme dans les trois exemples décrits plus haut incluant la mise en oeuvre de processus de sécurité Ps1, PS2 et Ps3, il y a 30 plusieurs possibilités de gestion de la cellule de mesure du temps dans l'entité électronique sécurisée 11, à savoir, par exemple, une seule charge au début de la vie de la carte, ou un rechargement de la cellule à chaque lecture de l'état de la charge dans la cellule, ou encore un rechargement de la cellule de temps à
autre, avec accumulation des temps mesurés, comme décrit plus haut.
Un exemple d'application supplémentaire d'une entité électronique sécurisée conforme à la présente invention, dans lequel l'entité électronique est 5 une carte SIM ou analogue, consiste, dans le domaine de la téléphonie mobile, à surveiller et limiter le temps de réponse attendu après émission d'une requête
par la carte.
Ainsi, on peut choisir d'annuler une opération en cours, en introduisant
une temporisation (en anglais "time-out'), si aucune réponse n'est reçue durant 10 un laps de temps donné.
Par exemple, dans un mode particulier de réalisation, si la carte SIM n'a pas reçu, après écoulement d'un intervalle de temps donné, la confirmation qu'un message court du type SMS (service de messages courts, en anglais "Short Message Service") envoyé par la carte a bien été reçu, par exemple en 15 l'absence d'arrivée d'un accusé de réception, la carte peut automatiquement réitérer l'envoi du message court et/ou informer l'utilisateur du terminal de
téléphonie mobile coopérant avec la carte SIM.
Lorsque le message court est envoyé, l'instant correspondant tO (ou l'état de la charge de la cellule de mesure du temps à l'instant tO) est mémorisédans 20 la carte (par exemple dans un fichier d'une région sécurisée de la mémoire de la carte). A tout instant, il est possible de surveiller le temps écoulé depuis l'envoi du message court précité, en faisant la différence entre l'instant courant t (ou la charge courante de la cellule de mesure du temps) et l'instant tO (ou l'état de la 25 charge de la cellule de mesure du temps à l'instant tO). Ces instants sont mémorisés, de façon similaire aux dates ou aux heures dans les exemples d'application aux cartes bancaires et aux téléphones mobiles donnés précédemment, par exemple, sous forme de l'état de la charge dans la cellule de mesure du temps, décrite plus haut en liaison avec les figures 2 à 4, ou bien 30 mémorisés sous forme d'une valeur logique plus directement représentative du temps, dans une table de correspondance entre charges et temps écoulé comme indiqué précédemment. Le couple d'opérations constitué par, d'une part, l'un quelconque des traitements récurrents effectués par la carte au cours de l'envoi d'un message court et, d'autre part, l'un quelconque des traitements récurrents effectués par la carte au cours de la réception d'un accusé de réception, correspond ici aux deux opérations considérées pour la mesure du
*temps écoulé entre elles.
Si la différence entre l'instant courant t et l'instant tO est supérieure au laps de temps maximal autorisé (typiquement, de l'ordre de 1 à 10 minutes), autrement dit, si la différence de charge de la cellule de mesure du temps entre les instants tO et t dépasse une valeur de différence maximale autorisée de charge, et qu'aucun accusé de réception n'a été reçu, on peut considérer qu'il y 10 a eu une erreur ou anomalie dans l'envoi du message court. Il est à noter qu'entre les différents moments o l'application mise en oeuvre par l'entité électronique sécurisée 11 vérifie le temps écoulé (c'est-à-dire le déchargement de la cellule de mesure du temps depuis l'instant tO), le système d'exploitation du microcircuit de la carte peut effectuer d'autres opérations, i.e. la carte n'est pas 15 bloquée lors de l'attente de l'accusé de réception ou lors de la vérification du
temps écoulé (ou du déchargement passé de la cellule de mesure du temps).
Une variante de cet exemple d'application est adaptée aux achats effectués via les téléphones mobiles. Lors de la transaction bancaire qui a lieu pour un achat, si un reçu n'a pas été obtenu par la carte en un laps de temps 20 maximal donné, la transaction n'est pas validée. Les caractéristiques décrites cidessus en relation avec l'exemple d'application à l'émission d'une requête par la carte et l'attente d'un accusé de réception en retour s'appliquent mutatis
mutandis à cette variante.
En outre, pour ces exemples d'application, comme dans les exemples 25 d'application aux cartes bancaires et aux téléphones mobiles détaillés précédemment et dans les trois exemples décrits plus haut incluant la mise en oeuvre de processus de sécurité P,1, PS2 et PS3, les diverses possibilités de gestion de la cellule de mesure du temps dans l'entité électronique sécurisée i1, détaillées plus haut (à savoir, notamment, une seule charge lors de la mise en 30 service de la carte ou un rechargement de la cellule de mesure du temps à
chaque lecture de l'état de la charge, ou encore un rechargement de la cellule de temps à autre, avec accumulation des temps mesurés) se présentent également.

Claims (18)

REVENDICATIONS
1. Entité électronique sécurisée (11), caractérisée en ce qu'elle contient un moyen (18) de mesure du temps qui s'écoule entre deux opérations, et en ce 5 qu'elle comporte un moyen (19) de mémorisation d'une durée minimale ou maximale autorisée, le moyen (19) de mémorisation coopérant avec le moyen (18) de mesure du temps, en vue de déterminer si ledit temps écoulé respecte
ladite durée autorisée.
2. Entité électronique sécurisée (11) selon la revendication 1, 10 caractérisée en ce que le moyen (18) de mesure du temps est adapté à fournir une mesure du temps qui s'écoule entre deux opérations lorsque l'entité
électronique (11) n'est pas alimentée par une source d'énergie extérieure.
3. Entité électronique sécurisée (11) selon la revendication 1, caractérisée en ce que le moyen (18) de mesure du temps est adapté à fournir 15 une mesure du temps qui s'écoule entre deux opérations lorsque l'entité
électronique (11) n'est pas alimentée électriquement.
4. Entité électronique sécurisée (11) selon la revendication 1, 2 ou 3,
caractérisée en ce que le moyen (18) de mesure du temps est adapté à fournir une mesure du temps qui s'écoule entre deux opérations indépendamment de 20 tout signal d'horloge extérieur.
5. Entité électronique sécurisée (11) selon l'une quelconque des
revendications précédentes, caractérisée en ce que lesdites opérations sont de
même nature.
6. Entité électronique sécurisée (11) selon l'une quelconque des 25 revendications précédentes, caractérisée en ce que le moyen (18) de mesure du
temps comporte un moyen de comparaison de deux dates.
7. Entité électronique sécurisée (11) selon l'une quelconque des
revendications précédentes, caractérisée en ce que le moyen (19) de mémorisation de la durée autorisée comporte une entité sécurisée et est situé 30 dans ou hors de ladite entité électronique (11).
8. Entité électronique sécurisée (11) selon l'une quelconque des
revendications précédentes, caractérisée en ce que lesdites opérations
comportent l'utilisation d'une donnée secrète.
9. Entité électronique sécurisée (11) selon l'une quelconque des
revendications précédentes, caractérisée en ce que ladite durée autorisée
correspond à une consommation maximale autorisée par unité de temps.
10. Entité électronique sécurisée (11) selon l'une quelconque des 5 revendications précédentes, caractérisée en ce qu'elle comporte au moins un
sous-ensemble (17) comprenant: un composant capacitif (20) présentant une fuite au travers de son espace diélectrique, des moyens permettant de coupler ledit composant capacitif à une source d'énergie électrique pour être chargé par ladite source d'énergie 10 électrique et un moyen (22) de mesure de la charge résiduelle du composant capacitif (20), ladite charge résiduelle étant au moins en partie représentative du temps qui s'est écoulé après que le composant capacitif (20) a été découplé de la
source d'énergie électrique.
11. Entité électronique sécurisée (11) selon la revendication précédente, caractérisée en ce qu'elle comporte un moyen de commutation pour découpler
ledit composant capacitif (20) de ladite source d'énergie électrique.
12. Entité électronique sécurisée (11) selon la revendication 10 ou 11,
caractérisée en ce que ledit moyen (22) de mesure de la charge résiduelle est 20 compris dans ledit moyen (18) de mesure du temps.
13. Entité électronique sécurisée (11) selon la revendication 10, 11 ou 12, caractérisée en ce que le composant capacitif (20) est une capacité réalisée suivant la technologie MOS et dont l'espace diélectrique est constitué par un
oxyde de silicium.
14. Entité électronique sécurisée (11) selon l'une quelconque des
revendications 10 à 13, caractérisée en ce que le moyen (22) de mesure de la charge résiduelle comprend un transistor (30) à effet de champ ayant une couche isolante (34), en ce que le composant capacitif (20) comporte une couche isolante (24) et en ce que l'épaisseur de la couche isolante (34) du 30 transistor (30) à effet de champ est notablement plus grande que l'épaisseur de
la couche isolante (24) du composant capacitif (20).
15. Entité électronique sécurisée (11) selon la revendication précédente, caractérisée en ce que l'épaisseur de la couche isolante (24) du composant
capacitif (20) est comprise entre 4 et 10 manomètres.
16. Entité électronique sécurisée (11) selon la revendication 13, 14 ou 15, caractérisée en ce qu'elle comporte: au moins deux sous-ensembles (17A, 17B) comprenant chacun un composant capacitif présentant une fuite au travers de son espace diélectrique, des moyens permettant de coupler ledit composant capacitif à une source d'énergie électrique pour être chargé par ladite 10 source d'énergie électrique et un moyen de mesure de la charge résiduelle du composant capacitif, ladite charge résiduelle étant au moins en partie représentative du temps qui s'est écoulé après que le composant capacitif a été découplé de la source d'énergie électrique, lesdits sous-ensembles (17A, 17B) comprenant des composants capacitifs présentant des fuites différentes au travers de leurs espaces diélectriques respectifs, et en ce que ladite entité électronique sécurisée (11) comporte en outre des moyens (14, 15, T) de traitement des mesures des charges 20 résiduelles respectives desdits composants capacitifs, pour extraire desdites mesures une information sensiblement indépendante des apports calorifiques
appliqués à ladite entité (11) pendant le temps écoulé entre deux opérations.
17. Entité électronique sécurisée (11) selon la revendication précédente, caractérisée en ce que lesdits moyens (14, 15, T) de traitement comportent un 25 logiciel de calcul d'une fonction prédéterminée pour déterminer ladite information sensiblement indépendante des apports calorifiques en fonction desdites mesures.
18. Entité électronique sécurisée (11) selon l'une quelconque des
revendications précédentes, caractérisée en ce qu'il s'agit d'une carte à 30 microcircuit.
FR0211879A 2002-09-25 2002-09-25 Entite electronique securisee avec gestion du temps Expired - Fee Related FR2844897B1 (fr)

Priority Applications (3)

Application Number Priority Date Filing Date Title
FR0211879A FR2844897B1 (fr) 2002-09-25 2002-09-25 Entite electronique securisee avec gestion du temps
PCT/FR2003/002780 WO2004029873A1 (fr) 2002-09-25 2003-09-22 Entite electronique securisee avec gestion du temps
AU2003282182A AU2003282182A1 (en) 2002-09-25 2003-09-22 Secure electronic unit comprising time management system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0211879A FR2844897B1 (fr) 2002-09-25 2002-09-25 Entite electronique securisee avec gestion du temps

Publications (2)

Publication Number Publication Date
FR2844897A1 true FR2844897A1 (fr) 2004-03-26
FR2844897B1 FR2844897B1 (fr) 2005-01-28

Family

ID=31970997

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0211879A Expired - Fee Related FR2844897B1 (fr) 2002-09-25 2002-09-25 Entite electronique securisee avec gestion du temps

Country Status (3)

Country Link
AU (1) AU2003282182A1 (fr)
FR (1) FR2844897B1 (fr)
WO (1) WO2004029873A1 (fr)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1724709A2 (fr) 2005-05-13 2006-11-22 Giesecke & Devrient GmbH Procédé destiné à l'exploitation d'un support de données portatif
ITMI20102474A1 (it) * 2010-12-30 2012-07-01 Incard Sa Metodo e sistema per calcolare una frequenza di clock di un segnale di clock per una carta a circuito integrato

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4882006B2 (ja) * 2007-01-05 2012-02-22 プロトン ワールド インターナショナル エヌ.ヴィ. 電子回路のリソースへのアクセス制限
JP4882007B2 (ja) * 2007-01-05 2012-02-22 プロトン ワールド インターナショナル エヌ.ヴィ. 電子回路の一時的なロック
US8566931B2 (en) 2007-01-05 2013-10-22 Proton World International N.V. Protection of information contained in an electronic circuit

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5146068A (en) * 1989-12-01 1992-09-08 Oki Electric Industry Co., Ltd. System for authenticating an authorized user of an IC card
WO1999056253A1 (fr) * 1998-04-27 1999-11-04 Detemobil Deutsche Telekom Mobilnet Gmbh Procede et systeme pour empecher une utilisation frauduleuse des procedures d'authentification presentes sur l'interface de cartes a puces
WO2001054057A1 (fr) * 2000-01-19 2001-07-26 Infineon Technologies Ag Circuit de protection integre

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5146068A (en) * 1989-12-01 1992-09-08 Oki Electric Industry Co., Ltd. System for authenticating an authorized user of an IC card
WO1999056253A1 (fr) * 1998-04-27 1999-11-04 Detemobil Deutsche Telekom Mobilnet Gmbh Procede et systeme pour empecher une utilisation frauduleuse des procedures d'authentification presentes sur l'interface de cartes a puces
WO2001054057A1 (fr) * 2000-01-19 2001-07-26 Infineon Technologies Ag Circuit de protection integre

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1724709A2 (fr) 2005-05-13 2006-11-22 Giesecke & Devrient GmbH Procédé destiné à l'exploitation d'un support de données portatif
EP1724709A3 (fr) * 2005-05-13 2008-07-16 Giesecke & Devrient GmbH Procédé destiné à l'exploitation d'un support de données portatif
ITMI20102474A1 (it) * 2010-12-30 2012-07-01 Incard Sa Metodo e sistema per calcolare una frequenza di clock di un segnale di clock per una carta a circuito integrato
WO2012089332A1 (fr) * 2010-12-30 2012-07-05 Stmicroelectronics Nv Procédé et système pour calculer une fréquence d'horloge d'un signal d'horloge pour une carte à puce
US9239588B2 (en) 2010-12-30 2016-01-19 Stmicroelectronics International N.V. Method and system for calculating a clock frequency of a clock signal for an IC card

Also Published As

Publication number Publication date
WO2004029873A8 (fr) 2004-06-10
FR2844897B1 (fr) 2005-01-28
AU2003282182A8 (en) 2004-04-19
WO2004029873A1 (fr) 2004-04-08
AU2003282182A1 (en) 2004-04-19

Similar Documents

Publication Publication Date Title
WO2003083769A1 (fr) Entite electronique transactionnelle securisee par mesure du temps
FR2968799A1 (fr) Procede et dispositif de controle d'execution pour des fonctions internes et des applications protegees embarquees dans des cartes a microcircuits pour terminaux mobiles
EP2108164B1 (fr) Limitation d'acces a une ressource d'un circuit electronique
EP2431911B1 (fr) Dispositif de protection d'un connecteur et d'un fil de communication d'un lecteur de carte à mémoire.
WO2008142356A2 (fr) Cryptoprocesseur a protection de donnees amelioree
EP1055203B1 (fr) Protocole de controle d'acces entre une cle et une serrure electronique
EP2108165A1 (fr) Verrouillage temporaire d'un circuit electronique
EP1567978B1 (fr) Entite electronique securisee integrant la gestion de la duree de vie d'un objet
EP0965994B1 (fr) Dispositif à circuit intégré sécurisé au moyen de lignes complémentaires de bus
FR2844897A1 (fr) Entite electronique securisee avec gestion du temps
FR2849248A1 (fr) Entite electronique securisee permettant une certification du temps
EP1374160B1 (fr) Carte a puce et procede de protection d'une carte a puce
FR3061586A1 (fr) Procede de controle d'habitudes d'utilisation et dispositif electronique apte a mettre en œuvre un tel procede
WO1997040474A1 (fr) Systeme securise de controle d'acces permettant le transfert d'habilitation a produire des cles
FR2837959A1 (fr) Entite electronique transactionnelle autonome securisee par mesure du temps s'ecoulant entre deux transactions successives
EP3690685A1 (fr) Procede d'authentification d'un utilisateur et dispositif associe
CA2252001A1 (fr) Systeme securise de controle d'acces permettant l'invalidation automatique de cles electroniques volees ou perdues et/ou le transfert d'habilitation a produire des cles
EP3599564B1 (fr) Procédé de gestion d'un dispositif électronique délivrant des codes d'authentifications, dispositifs et serveurs associés
WO2020260316A1 (fr) Procede de communication radiofrequence entre un lecteur et un dispositif relie a un peripherique, avec mesure de champ radiofrequence
WO2019234346A1 (fr) Carte a puce personnalisable de façon securisée et procede de personnalisation securisé
WO2003038742A1 (fr) Carte a microcircuit sans contact incorporant un clavier et procede d'utilisation d'une telle carte
WO1999035616A1 (fr) Procede d'auto-controle d'une cle electronique dans un systeme de controle d'acces a une ressource et cle electronique mettant en oeuvre un tel procede
CA2285642A1 (fr) Procede de certification d'un cumul dans un lecteur
FR2786903A1 (fr) Procede et systeme de controle d'acces a une ressource limite a certaines plages horaires, a partir d'un compteur dynamique
FR3054701A1 (fr) Procede de mise en oeuvre d'une transaction depuis un moyen de transaction electronique

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 15

PLFP Fee payment

Year of fee payment: 16

PLFP Fee payment

Year of fee payment: 17

ST Notification of lapse

Effective date: 20200914

CA Change of address

Effective date: 20201228

CD Change of name or company name

Owner name: IDEMIA FRANCE, FR

Effective date: 20201228