WO2006120365A1

WO2006120365A1 - Transactions securisees a l'aide d'un ordinateur personnel

Info

Publication number: WO2006120365A1
Application number: PCT/GB2005/001770
Authority: WO
Inventors: Hani Girgis; Nader Iskander
Original assignee: Hani Girgis; Nader Iskander
Priority date: 2004-05-10
Filing date: 2005-05-10
Publication date: 2006-11-16
Also published as: WO2005109360A1

Abstract

La présente invention se rapporte à un terminal de transactions et à un procédé permettant à un utilisateur d'effectuer des transactions sécurisées, telles que des transactions faisant appel à un PIN, à l'aide de son ordinateur personnel. Le procédé selon l'invention comprend les étapes consistant: (a) à préparer les données de transaction ; (b) à les enregistrer dans une mémoire non volatile ; (c) à redémarrer ou à faire hiberner l'ordinateur ; (d) à lancer un environnement sécurisé, qui n'est pas en réseau, à partir d'un support ou d'un dispositif lançable, ces derniers devant être suffisamment difficiles à contrefaire, contenir des données suffisamment difficiles à trafiquer et éventuellement être difficiles à copier ; (e) à lancer de manière sécurisée le logiciel de saisie de PIN sécurisé ; (f) à charger les données de transaction depuis la mémoire non volatile ; (g) à présenter les données de transaction à l'utilisateur, et éventuellement à permettre à l'utilisateur de les modifier et/ou de les compléter ; (h) à sécuriser la saisie du PIN donnant lieu à un bloc PIN chiffré, et/ou à permettre la génération de clés appropriées pour créer un ou plusieurs codes d'authentification de message et/ou cryptogrammes et/ou signatures digitales conformément aux normes de sécurité de la transaction. L'utilisateur peut également entrer un mot de passe permettant l'accès sécurisé à des clés secrètes, des clés privées et des données confidentielles chiffrées par mot de passe ; l'utilisateur peut également entrer des informations sécurisées pour mettre à jour ses enregistrements dans le système côté serveur, telles qu'un CVV2/CVC2 sélectionnable par l'utilisateur ou un nouveau mot de passe sécurisé 3D. Le procédé selon l'invention comprend également les étapes consistant: (i) à enregistrer la demande de transaction sécurisée dans la mémoire non volatile ; (j) à redémarrer l'ordinateur en fonctionnement normal ; (k) à charger la demande de transaction sécurisée depuis la mémoire non volatile ; (l) à envoyer la transaction aux fins d'autorisation ; (m) à recevoir la réponse ; (n) à présenter la réponse à l'utilisateur, et éventuellement à l'enregistrer. Le procédé selon l'invention protège parfaitement l'utilisateur de tout logiciel malveillant susceptible de nuire à la sécurité de la saisie du PIN, et réduit considérablement les responsabilités de l'utilisateur vis-à-vis de la sécurité physique, notamment lors de transactions effectuées auprès d'un guichet automatique bancaire. L'utilisateur doit utiliser un ordinateur personnel dont il est sûr qu'il ne contient pas de matériel malveillant, soit le plus souvent son propre ordinateur portable ou ordinateur personnel à son domicile.