WO1996028796A1

WO1996028796A1 - Procede d'inscription securisee d'informations dans un support portable

Info

Publication number: WO1996028796A1
Application number: PCT/FR1996/000375
Authority: WO
Inventors: Thierry Koeberle; Vincent Rigal
Original assignee: Schlumberger Industries S.A.
Priority date: 1995-03-10
Filing date: 1996-03-08
Publication date: 1996-09-19
Also published as: US5900606A; FR2731536B1; FR2731536A1; DE19680253T1

Abstract

Procédé d'inscription sécurisée d'informations dans un support portable d'informations muni d'un composant électronique à logique câblée. Selon l'invention, l'inscription desdites informations est effectuée en au moins deux étapes sur deux sites distincts, des informations dépendant du choix du second site étant inscrites dans une première étape sur le premier site, et des informations nécessaires au fonctionnement dudit support étant inscrites dans une deuxième étape sur le second site. Application à la sécurisation contre le vol des supports portables de transactions électroniques.

Description

PROCEDE D'INSCRIPTION SECURISEE D'INFORMATIONS DANS UN

SUPPORT PORTABLE

La présente invention concerne un procédé d'inscription sécurisée d'informations dans un support portable d'informations muni d'un composant électronique à logique câblée.

L'invention trouve une application particulièrement avantageuse dans le domaine de la sécurisation contre le vol des supports portables de transactions électroniques, notamment lors de leur transport entre deux sites d'élaboration.

On connaît de nombreux systèmes de transactions électroniques mettant en oeuvre des supports portables d'informations. Les systèmes de paiement à cartes à mémoire en sont l'exemple le plus connu. D'autres systèmes utilisent des clés électroniques. Ces supports portables d'informations, convenablement programmés, donnent à leur porteur l'accès à un produit ou à un service délivré par un opérateur, tel que la publiphonie, l'électricité ou la télévision.

Actuellement, les supports portables de transactions électroniques sont fabriqués en très grandes quantités dans des sites de production centralisés, puis livrés prêts à l'emploi à un opérateur, ou à un centre de distribution, qui les remet ensuite aux porteurs. Bien entendu, en cas de vol, lesdits supports peuvent être vendus en dehors du contrôle de l'opérateur.

Divers moyens de protection contre ce risque ont été imaginés, comme la protection physique du transport qui s'avère toutefois insuffisante, car coûteuse, contraignante et n'offrant pas toujours une véritable garantie.

Le recensement et la mise en opposition des supports volés supposent que les appareils de lecture disposent de capacités de traitement de longues listes, ce qui n'est pas souvent le cas.

Enfin, le transport en petits lots limite certes le risque, mais rend les coûts et les délais prohibitifs pour les grands volumes.

Par ailleurs, concernant les supports portables d'informations munis d'un composant électronique à logique câblée, tels que les télécartes prépayées, on connaît une technique de sécurisation selon laquelle un code transport programmé par le fabricant dudit composant électronique à logique câblée permet de s'assurer que seul le fabricant de supports auquel le composant est destiné pourra l'utiliser.

Pour étendre cette prestation au transport entre le fabricant de supports et l'opérateur-client, il suffirait au premier de ne rien programmer et de laisser ce soin au second. Ce système présenterait toutefois l'inconvénient majeur que le code transport ne pourrait, pour des raisons de confidentialité, être fourni à l'opérateur, à moins que le fabricant de supports approvisionne des composants ayant des codes différents en fonction de ses clients. Cette solution conduirait à des contraintes logistiques très lourdes et onéreuses.

Aussi, le problème technique à résoudre par l'objet de la présente invention est de proposer un procédé d'inscription sécurisée d'informations dans un support portable d'informations muni d'un composant électronique à logique câblée, procédé qui permettrait d'obtenir, de façon très simple et peu coûteuse, un très haut niveau de protection contre les fraudes pouvant se produire entre la fabrication des supports et leur réception chez l'opérateur.

La solution au problème technique posé consiste, selon la présente invention, en ce que l'inscription desdites informations est effectuée en au moins deux étapes sur deux sites distincts, des informations dépendant du choix du second site étant inscrites dans une première étape sur le premier site, et des informations nécessaires au fonctionnement dudit support étant inscrites dans une deuxième étape sur le second site. Le premier site pourra être le site centralisé de fabrication du support, le second site pouvant être le site de l'opérateur-client, ou un site de distribution.

On entend par "fonctionnement" du support sa mise en oeuvre pour accéder à un produit ou à un service. Ainsi, on comprend qu'en cas de vol des supports portables sur le premier site, celui du fabricant par exemple, ou pendant leur livraison au second site, celui de l'opérateur, les supports volés ne pourront pas être utilisés ni négociés car impossibles à mettre en oeuvre du fait que les informations nécessaires à leur fonctionnement n'y sont pas totalement inscrites. On peut également ajouter que toute possibilité de fraude est exclue puisque seul, sur le deuxième site, le véritable destinataire des supports portables provenant du premier site connaît lesdites informations dépendant du choix du second site lui permettant d'inscrire lesdites informations nécessaires au fonctionnement des supports reçus.

Selon un mode de réalisation du procédé de l'invention, lesdites informations dépendant du choix du second site comprennent une clé de transport propre au second site, inscrite dans ledit composant électronique. Pour avoir accès au composant et y inscrire les informations nécessaires au fonctionnement du support, l'opérateur se trouvant sur le second site devra fournir la clé de transport, secrète, qui lui aura été attribuée.

Il est également prévu que, selon l'invention, lesdites informations dépendant du choix du second site comprennent un code d'identification du second site, inscrit de manière irréversible dans le composant.

L'opérateur destinataire sur le second site des supports livrés par le fabricant du premier site peut ainsi vérifier que les supports reçus lui étaient bien destinés. Par ailleurs, l'inscription étant irréversible, l'opérateur ne pourra s'attribuer en inscrivant son propre code d'identification, des supports qu'il aurait détournés ou qui lui auraient été expédiés par erreur.

La description qui va suivre, en regard du dessin annexé, donné à titre d'exemple non limitatif, fera bien comprendre en quoi consiste l'invention et comment elle peut être réalisée.

La figure 1 est un tableau synoptique illustrant les différentes étapes de l'inscription sécurisée d'informations dans un support portable d'informations effectuée selon un procédé conforme à l'invention.

Comme on peut le voir sur le tableau de la figure 1 , le processus d'inscription d'informations dans un support portable, tel qu'une carte à mémoire munie d'un composant électronique à logique câblée, débute au niveau du fabricant du composant électronique lui-même. Celui-ci inscrit dans une zone mémoire Z l pouvant être programmée de manière irréversible un code qui lui est caractéristique ainsi qu'un code caractéristique du fabricant du support portable auquel le composant doit être livré. Si le composant électronique comporte une fonction "code transport", le fabricant du composant inscrit également de manière secrète une clé de transport connue du seul fabricant du support.

L' inscription irréversible d'informations peut être obtenue de différentes manières.

Selon un mode de réalisation, elle est faite dans une zone du composant qui est ensuite coupée des circuits d'écriture, par exemple par action sur un fusible.

Selon un autre mode de réalisation, cette inscription est faite dans une zone qui ne peut être qu'écrite et lue, mais non effacée. Dans ce mode, le choix des codes est fait de telle sorte que leur changement suppose l'effacement d'au moins un bit.

A la réception du composant, le fabricant du support portable peut, par simple lecture dans la zone Zl , s'assurer de l'origine dudit composant et vérifier que le composant fourni lui était bien destiné.

Puis, pour pouvoir à son tour inscrire des informations dans le composant, il doit présenter la clé de transport qui lui a été attribuée.

C'est ainsi qu'au cours de l'élaboration du support portable, le fabricant a la possibilité d'inscrire des informations dépendant de l'utilisateur, à savoir, d'une part dans la zone Z l , un code d'identification propre à l'opérateur-utilisateur du support, et, d'autre part, une deuxième clé de transport également propre à l'utilisateur qui, par exemple, peut être inscrite en remplacement ou en complément de la première clé de transport. Eventuellement, le fabricant du support portable inscrit en zone Zl une information propre au support portable lui-même, telle qu'un numéro d'identification, lequel peut être imprimé sur le corps de carte lorsque ledit support est une carte à mémoire. Ceci fournit une protection supplémentaire contre le vol, les numéros desdits supports pouvant être portés sur une liste d'opposition.

Le support portable est alors livré à l'utilisateur en toute sécurité. En effet, n'étant pas opérationnel il ne présente aucun intérêt financier. De plus, même en cas de vol, aucune information frauduleuse ne pourrait y être inscrite puisque l'accès au composant exige la connaissance de la deuxième clé de transport. Quand il reçoit le support portable en provenance du fabricant, l'utilisateur peut vérifier par lecture du code d'identification inscrit en zone Zl que le support lui était bien destiné. Puis, après avoir fourni la deuxième clé de transport, il peut inscrire dans une zone Z2 du composant des informations nécessaires au fonctionnement du support.

Ces informations comprennent au moins une valeur d'identification, par exemple, un certificat ou une clé diversifiée, calculée à partir de ladite information propre au support et d'une information secrète inconnue du fabricant du support, telle qu'une clé de cryptage du numéro de série du support. De préférence, ladite valeur d'authentification est interdite en lecture et utilisée à travers un mécanisme "défi -réponse" classique.

Enfin, l'utilisateur programme les compteurs définissant le pouvoir opérationnel du support, par exemple le pouvoir financier d'une télécarte prépayée. Ces compteurs peuvent être inscrits en remplacement de la deuxième clé de transport, devenue inutile.

Claims

REVENDICATIONS

1. Procédé d'inscription sécurisée d'informations dans un support portable d'informations muni d'un composant électronique à logique câblée, caractérisé en ce que l'inscription desdites informations est effectuée en au moins deux étapes sur deux sites distincts, des informations dépendant du choix du second site étant inscrites dans une première étape sur le premier site, et des informations nécessaires au fonctionnement dudit support étant inscrites dans une deuxième étape sur le second site.

2. Procédé selon la revendication 1 , caractérisé en ce que lesdites informations dépendant du choix du second site comprennent une clé de transport propre au second site, inscrite dans ledit composant électronique.

3. Procédé selon la revendication 2, caractérisé en ce que ladite clé de transport est inscrite lors de la première étape en remplacement ou en complément d'une première clé de transport propre au premier site.

4. Procédé selon l'une quelconque des revendications 1 à 3, caractérisé en ce que lesdites informations dépendant du choix du second site comprennent un code d'identification du second site, inscrit de manière irréversible dans le composant électronique.

5. Procédé selon l'une quelconque des revendications 1 à 4, caractérisé en ce qu'une information propre audit support portable est inscrite de manière irréversible dans le composant électronique.

6. Procédé selon la revendication 5, caractérisé en ce que ledit numéro de série est également imprimé sur le support portable.

7. Procédé selon l'une quelconque des revendications 1 à 6, caractérisé en ce que lesdites informations nécessaires au fonctionnement dudit support portable comprennent au moins une valeur d'authentification faisant appel à une information secrète inconnue du premier site.

8. Procédé selon les revendications 5 et 7, caractérisé en ce que lesdites informations nécessaires au fonctionnement du support portable comprennent au moins une valeur d'authentification calculée à partir de ladite information propre au support et d'une information inconnue du premier site.

9. Procédé selon la revendication 8, caractérisé en ce que ladite valeur d'authentification est interdite en lecture et utilisée à travers un mécanisme de type "défi-réponse".

10. Procédé selon l'une quelconque des revendications 1 à 9, caractérisé en ce que les informations nécessaires au fonctionnement dudit support portable comprennent des compteurs définissant le pouvoir opérationnel du support, inscrits dans le composant électronique.

1 1. Procédé selon l'une des revendications 2 ou 3 et la revendication 10, caractérisé en ce que lesdits compteurs sont inscrits lors de la deuxième étape en remplacement de la clé de transport propre au second site.