WO2007060322A2 - Procede et dispositif d'authentification par un utilisateur d'une interface de confiance et programme d'ordinateur associe - Google Patents
Procede et dispositif d'authentification par un utilisateur d'une interface de confiance et programme d'ordinateur associe Download PDFInfo
- Publication number
- WO2007060322A2 WO2007060322A2 PCT/FR2006/002562 FR2006002562W WO2007060322A2 WO 2007060322 A2 WO2007060322 A2 WO 2007060322A2 FR 2006002562 W FR2006002562 W FR 2006002562W WO 2007060322 A2 WO2007060322 A2 WO 2007060322A2
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- user
- secret
- authentication
- information system
- event
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 23
- 238000012795 verification Methods 0.000 claims abstract description 11
- 230000001960 triggered effect Effects 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000004590 computer program Methods 0.000 claims description 3
- 238000013479 data entry Methods 0.000 claims description 2
- 230000003068 static effect Effects 0.000 description 6
- 230000006399 behavior Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 229920001690 polydopamine Polymers 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013481 data capture Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/031—Protect user input by software means
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
Definitions
- the present invention relates to a method and a device for user authentication of the mode of operation of a system by interacting with it through its user interface.
- an attacker will try to intercept the data that pass through the user interface by entering into its communication system (which is based on the exchange of messages, in a number of common cases), or by accessing directly the memory areas used to communicate with the display or input components.
- An attacker may also seek to deceive a user by mimicking some input windows well known to the user for the sole purpose of encouraging him to provide sensitive data.
- the document WO 00/73913 discloses a system capable of operating in a so-called trust mode comprising a trusted component making it possible to signal to the user the level of confidence of the system.
- the trusted component When entering confidential information, the trusted component presents the user with a screen containing a secret image enabling the user to authenticate this screen before entering the confidential information.
- a third party can not develop an application simulating this screen in order to fraudulently recover the confidential information by making the user believe that it is in relation to the authentic application, the so-called information theft technique. Phishing. Since the authentication data of the trusted system is reduced to a static image - that is to say unique, and presented at a predetermined time to the user - the security of the process is entirely based on the guarantee that this secret image can not be intercepted and then reproduced.
- the implementation of this invention therefore requires a specific hardware architecture to provide an acceptable level of security. Among other things, it requires hardware trusted components such as a secure graphics processor, which entails significant material costs.
- Document PCT / US01 / 43476 discloses a system for protecting the entry of a password in which the entry screen is authenticated by the presence of a secret element known only to the user.
- This system has the disadvantage of being specific to securing password entries.
- a locking system of other applications is set up so that only the security application is executed while entering the password.
- a third-party application can not access the screen memory to copy the secret element.
- the system therefore also has the disadvantage of requiring to change the operating system to ensure the security of the application.
- the present invention therefore proposes a method and a device that does not have the aforementioned drawbacks and that, in particular, enables the user to authenticate a trusted system by interacting with him through his interface.
- the main advantage of the invention is to make it more difficult to capture and reproduce the authentication data of the trusted system without resorting to costly modifications of the hardware architecture of the computer system or its operating system.
- the invention assigns a dynamic character to the authentication data.
- the authentication criteria include not only static data but also behavioral data, ie expected responses from the system in response to user initiated events.
- the object of the invention is a method of authentication by a user of a secure mode of operation of an information system comprising means for presenting information to the user, means of data capture by the user and storage means, said method comprising the steps of:
- each secret being the trigger of one of said events, - seizure of a secret by the user, via data entry means,
- the information system when it is in a secure operating mode, makes it possible to display a trusted interface and the authentication of the user-secured operating mode is performed when the said interface is displayed; trust ; prior to the inputting step, the trusted interface is displayed and a security indicator previously stored in the storage means is presented by the trusted interface;
- the storage step is performed by the user
- the storage step is performed in a safe operating mode said "customization" of the information system and in any other mode of operation any secret or event stored in the storage means can not be changed;
- the transition to the personalization operating mode is performed by the user with hardware or software that an application of the information system can neither simulate nor achieve.
- Another object of the invention is a device for authentication by a user of a secure mode of operation of an information system, said device comprising:
- means for verifying that the secret entered corresponds to the secret stored means for transmitting, on positive verification, the stored confidential event, such that the user's recognition of the confidential event authenticates the secure operating mode.
- Another characteristic of this object is: the information system, when in a secure operating mode, makes it possible to display a trusted interface, the authentication of the secure operating mode by the user being carried out during displaying said trusted interface; and
- the storage means are writable only in a safe operating mode said "customization" of the information system and that in any other mode of operation no secret or event stored in the storage means can not be changed.
- Another object is a computer program comprising program code instructions for performing the steps of the method when said program is executed on a computer.
- FIG. 1 is a schematic view of an authentication device according to the embodiment of the invention.
- FIG. 2 is a flow chart of an authentication method according to one embodiment of the invention.
- a computer system such as a work station or a home computer, comprises a display screen 2, loudspeakers 3 and input means 4 such as a keyboard and a mouse.
- the display screen 2 and the speakers 3 allow the computer system 1 to present the user with graphic information, respectively sound.
- a security module 5 controls the display screen 2, the loudspeakers 3 and the input means 4 for the purposes of a security application 6. This security module is responsible for the execution of the information system in secure mode.
- This security module 5 comprises an authentication device 7.
- This authentication device 7 comprises means 8 for secure storage.
- These storage means 8 are, for example, a chip card or a restricted access memory area.
- These storage means 8 confidentially store one or more secrets and one or more events. Each event is triggered by entering a particular secret.
- Secrets are, for example, a sequence of characters to enter the keyboard or a particular movement performed by the mouse.
- the events correspond, for example, to the display of a predetermined sentence, or to a drawing, or to the broadcasting of music by the loudspeakers 3.
- the secrets and the events being stored in a confidential manner, are only known from the authentication device 7 and the user.
- the authentication device 7 is connected to the input means 4 as well as to the display screen 2 and to the loudspeakers 3 via the security module 5.
- the authentication device 7 further comprises means 9 for verification of secrets, that is to say means that verify that a secret entered corresponds to the stored secret. It also comprises means 10 for transmitting or broadcasting the events stored on the display screen 2 and / or the speakers 3, these transmission means 10 being activated by the verification means 9.
- the write access to the storage means 8 is controlled by locking means 10A.
- these locking means 10A consist of material means such as a switch triggering a particular action.
- these locking means 10A correspond to a special switch for powering up the system in a secure state allowing write access to the storage means 8.
- the method comprises a prior step 11 of storing at least one confidential characteristic event and a secret triggering this event in the secure storage means 8.
- This step is normally performed by the user in an initialization phase of the information system. It can be done again by the user in a later phase to update the secrets and events stored in the secure storage means 8.
- the system must be in a safe mode of operation (called "customization") to accept storage operations of characteristic events and triggering secrets.
- they can be executed after a system reset and startup of the system in a single-job mode.
- the user enters a secret in the form of a sequence of keys on the keyboard or a particular movement of the mouse. It also defines a confidential event. This event is, for example, a sentence or an image to be displayed on the screen 2 or a melody to be executed by the loudspeakers 3.
- This information is shared secrets by the user and the authentication device.
- the computer system 1 is then put back into a normal operating mode (that is to say different from the personalization mode). In this normal mode of operation, the operations for storing or modifying the characteristic events and the triggering secrets are prohibited in order to prevent any risk of fraud. Similarly, read access to this information is limited to means 9 verification.
- This trusted interface consists of components that can be parameterized by the security application, the latter parameterizing the configurable components according to its needs.
- a configurable component is for example a password entry area. The user sees, for example, an input window appear on his screen with a field for entering a password.
- the user wishes to authenticate this window, that is to say verify that it is displayed under the control of the security module and not by a third party application.
- the user then executes at 14 the secret, that is to say, he enters the sequence of characters or the predefined mouse movement. This input is performed outside of the parametrizable components by the security application.
- the authentication device 7 verifies at 16 that the secret entered corresponds to a secret stored, and, of course, if the trusted interface is displayed under the control of the security module. If the verification is positive, the authentication device 7 reacts to this seizure of secrecy by broadcasting in 18 the confidential event associated with this secret, these being stored in its means 8 secure storage.
- the user noting in 18 that the event produced by the system corresponds to that which has been previously stored and associated with the secret that he has just executed, authenticates in 20 the secure operating mode (and therefore the interface of confidence, ie the input window) and seize in confidence 22, the confidential information requested in the trusted interface.
- the user can store several secret / event pairs and decide as he wishes the secret that he will use as a means of authentication.
- the security of the system is thus reinforced because it becomes even more difficult for a third party to detect secret couples / events and correctly reproduce the expected event following the seizure of any secret from the list of secrets.
- the input window displays from the beginning confidential information known to the user and previously stored in the secure storage means 8.
- the secret and event storage step 11 is performed by the administrator of the secure application and this secret and this event are transmitted by a confidential means, such as a mail, to the client. user.
- the computer system 1 described above can be any system capable of interacting with a user.
- this system can also be for example a mobile terminal, a handheld computer or an interactive television console.
- the method and the authentication device described advantageously allow the authentication of a secure operating mode (in particular when displaying a trusted interface) by the management of an event triggered by a secret. It is thus much more difficult for a third party to intercept and then reproduce this event (or to counterfeit the trusted interface).
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Input From Keyboards Or The Like (AREA)
Abstract
La présente invention concerne un procédé d'authentification par un utilisateur d'un mode de fonctionnement sécurisé d'un système d'information comportant des moyens de présentation d'informations à l'utilisateur, des moyens de saisie de données par l'utilisateur et des moyens de stockage (8), ledit procédé comportant les étapes de : - stockage (11) d'au moins un événement caractéristique confidentiel et d'au moins un secret, dans les moyens de stockage, chaque secret étant déclencheur d'un desdits événements, - saisie (14) d'un secret par l'utilisateur, par l'intermédiaire des moyens de saisie de données, - vérification (16) par le système d'information que le secret saisi correspond à un desdits secrets stockés, - sur vérification positive, émission (18) par le système d'information, via les moyens de présentation d'informations, de l'événement confidentiel stocké correspondant au secret saisi, - authentification (20) du mode de fonctionnement sécurisé par l'utilisateur sur reconnaissance de l'événement confidentiel émis.
Description
Procédé et dispositif d'authentification par un utilisateur d'une interface de confiance et programme d'ordinateur associé
La présente invention concerne un procédé et un dispositif d'authentification par un utilisateur du mode de fonctionnement d'un système en interagissant avec lui à travers son interface utilisateur.
De nombreux appareils électroniques (ordinateurs personnels, PDA, téléphones mobiles, set top box, etc.) disposent d'une interface utilisateur permettant d'afficher ou de recueillir, entre autres choses, des données dites sensibles. Les données sensibles les plus communes sont les mots de passe, les numéros de compte, les numéros de cartes bancaires, etc. Ces données sont la proie de nombreuses attaques, en particulier sur des environnements ouverts et fortement communicants comme des ordinateurs personnels. Ces attaques visent le plus souvent à obtenir l'accès à des informations ou à des opérations réservées uniquement à l'utilisateur (par exemple accès au système d'information privé de l'utilisateur ou accès à des opérations bancaires de débit sur un compte de l'utilisateur). Ces attaques sont fréquemment mises en œuvre en exploitant les faiblesses de conception ou de réalisation de l'interface utilisateur de la machine ou du périphérique utilisé par l'utilisateur pour accéder à ces données ou opérations sensibles. Typiquement, un attaquant cherchera à en intercepter les données qui transitent par l'interface utilisateur en s'insérant dans son système de communication (qui repose sur l'échange de messages, dans un certain nombre de cas courants), ou en accédant directement au zones mémoires utilisées pour communiquer avec les composants d'affichage ou de saisie. Un attaquant pourra chercher aussi à tromper un utilisateur en mimant certaines fenêtres de saisie bien connues de l'utilisateur dans le seul but de l'inciter à fournir une donnée sensible.
Des solutions existent pour définir des éléments d'interfaces de confiance capables de sécuriser les interactions avec l'utilisateur. Par exemple, des solutions matérielles sont dédiées à la saisie de codes secrets (« pinpads ») mais sont relativement coûteuses. D'autres solutions émergeantes définissent des composants de confiance au sein d'interfaces standards disponibles sur les machines grand public (ordinateurs personnels, PDA, téléphones mobiles etc.) Ces solutions garantissent que les données saisies par l'utilisateur ainsi que les
informations affichées ne peuvent être interceptées par une tierce partie. Par exemple, certains éléments tels que des zones de saisie de mot de passe peuvent être sécurisées au moyen de claviers spéciaux qui protègent directement les données saisies par des moyens cryptographiques. De telles solutions n'ont d'intérêt que si les éléments d'interface de confiance sont reconnaissables par l'utilisateur et infalsifiables (i.e. non-imitables et non modifiables) par une tierce partie. En effet, une application malveillante peut facilement déguiser un élément graphique de saisie de données en un élément graphique de confiance et demander une information sensible à l'utilisateur sous un faux prétexte. L'utilisateur croit alors que l'information qu'il saisit est protégée par le système alors qu'elle est directement récupérée par l'attaquant.
Il y a donc un besoin d'indicateurs de confiance permettant d'informer l'utilisateur du niveau de sécurité du système en cours d'utilisation. L'utilisateur pourra ainsi avoir la garantie que les informations qu'il échange avec le système (saisie, lecture, etc.) ou, de manière plus générale, que l'exécution du système sont gérés par le seul composant de confiance du système. De telles données d'authentification (qui sont généralement visuelles) doivent être infalsifiables et activables uniquement par le composant de confiance. Néanmoins, les solutions permettant de gérer un indicateur de confiance sont peu nombreuses et limitées pour différentes raisons. Les principales solutions connues sont :
- L'affichage d'une icône à l'écran. Cette solution est falsifiable car la grande majorité des systèmes graphiques fournissent un mode plein-écran aux applications, leur permettant ainsi d'accéder à toutes les zones de l'écran, sans restriction, et de potentiellement simuler n'importe quel composant graphique. De plus, la réservation continue d'une zone de l'écran inaccessible même en mode plein-écran est beaucoup trop contraignante pour l'utilisateur et les applications multimédia et n'est pas envisagée, - L'attribution aux composants graphiques de confiance d'une apparence particulière: cette solution est également falsifiable car une application peut accéder au mode plein-écran sur lequel le système graphique n'a aucun contrôle. Il peut alors simuler un composant graphique de confiance,
- L'affichage d'un indicateur dans un composant dédié, externe à l'écran (par exemple via une LED). Cette solution fonctionne mais requiert un composant matériel spécifique. La grande majorité des systèmes ne sont pas dotés d'un tel composant. Les solutions actuelles sont donc limitées soit en terme de sécurité, soit par manque de réalité économique, soit par manque d'adaptabilité au matériel existant.
Deux demandes de brevets antérieures apportent des réponses partielles aux problèmes ci-dessus : Le document WO 00/73913 divulgue un système capable d'opérer dans un mode dit de confiance comprenant un composant de confiance permettant de signaler à l'utilisateur le niveau de confiance du système.
Lors de la saisie d'une information confidentielle, le composant de confiance présente à l'utilisateur un écran contenant une image secrète permettant à l'utilisateur d'authentifier cet écran avant de saisir l'information confidentielle. Ainsi, un tiers ne peut pas développer une application simulant cet écran afin de récupérer de manière frauduleuse l'information confidentielle en faisant croire à l'utilisateur qu'il est en relation avec l'application authentique, technique de vol d'information dite de « phishing ». Les données d'authentification du système de confiance étant réduites à une image statique - c'est à dire unique, et présentée à un moment prédéterminé à l'utilisateur - la sécurité du procédé repose complètement sur la garantie que cette image secrète ne peut être interceptée puis reproduite.
La mise en oeuvre de cette invention nécessite donc une architecture matérielle spécifique afin d'apporter un niveau de sécurité acceptable. Elle requiert entre autre des composants de confiance matériels tel qu'un processeur graphique sécurisé, ce qui implique des coûts matériels importants.
Le document PCT/US01/43476 divulgue un système de protection de la saisie d'un mot de passe dans lequel l'écran de saisie est authentifié par la présence d'un élément secret connu seulement de l'utilisateur.
Ce système à l'inconvénient d'être spécifique à la sécurisation de saisies de mots de passe.
De plus, pour maintenir la sécurité de l'application, un système de verrouillage des autres applications est mis en place de façon à ce que seule
l'application de sécurité soit exécutée pendant la saisie du mot de passe. Ainsi une application tierce ne peut pas accéder à la mémoire d'écran pour recopier l'élément secret.
Le système a donc aussi l'inconvénient d'obliger à modifier le système d'exploitation pour assurer la sécurité de l'application.
La présente invention propose donc un procédé et un dispositif n'ayant pas les inconvénients précités et permettant, en particulier, à l'utilisateur d'authentifier un système de confiance en interagissant avec lui à travers son interface. L'intérêt principal de l'invention est de complexifier la capture et la reproduction des données d'authentification du système de confiance sans recours à des modifications coûteuses de l'architecture matérielle du système informatique ou de son système d'exploitation. Pour cela l'invention attribue un caractère dynamique aux données d'authentification. Les critères d'authentification comprennent non seulement des données statiques mais aussi des données comportementales, c'est à dire des réponses attendues du système en réaction à des événements déclenchés par l'utilisateur.
Ainsi, la découverte des données statiques d'authentification ne suffit pas à tromper l'utilisateur car celui-ci peut alors vérifier les réactions du système à de nouvelles sollicitations. En effet, une application ayant découvert les données statiques d'authentification ne pourra simuler correctement le comportement du système. Tenter de découvrir le comportement du système est bien plus compliqué que de découvrir des données statiques présentées à l'utilisateur car un comportement est par nature dynamique et en réaction à un événement imprévisible déclenché par l'utilisateur alors que les données statiques sont stockées une fois pour toutes dans le système.
L'objet de l'invention est un procédé d'authentification par un utilisateur d'un mode de fonctionnement sécurisé d'un système d'information comportant des moyens de présentation d'informations à l'utilisateur, des moyens de saisie de données par l'utilisateur et des moyens de stockage, ledit procédé comportant les étapes de :
- stockage d'au moins un événement caractéristique confidentiel et d'au moins un secret, dans les moyens de stockage, chaque secret étant déclencheur d'un desdits événements,
- saisie d'un secret par l'utilisateur, par l'intermédiaire des moyens de saisie de données,
- vérification par le système d'information que le secret saisi correspond à un desdits secrets stockés, - sur vérification positive, émission par le système d'information, via les moyens de présentation d'informations, de l'événement confidentiel stocké correspondant au secret saisi,
- authentification du mode de fonctionnement sécurisé par l'utilisateur sur reconnaissance de l'événement confidentiel émis. D'autres caractéristiques sont :
- le système d'information, lorsqu'il se trouve en mode de fonctionnement sécurisé, permet d'afficher une interface de confiance et l'authentification du mode de fonctionnement sécurisé par l'utilisateur est effectuée lors de l'affichage de ladite interface de confiance ; - préalablement à l'étape de saisie, l'interface de confiance est affichée et, un indicateur de sécurité préalablement stocké dans les moyens de stockage est présenté par l'interface de confiance ;
- l'étape de stockage est effectuée par l'utilisateur ;
- l'étape de stockage est effectuée dans un mode de fonctionnement sûr dit « de personnalisation » du système d'information et dans tout autre mode de fonctionnement aucun secret ou événement stocké dans les moyens de stockage ne peut être modifié ;
- le passage dans le mode de fonctionnement de personnalisation est réalisé par l'utilisateur avec des moyens matériels ou logiciels qu'une application du système d'information ne peut ni simuler, ni réaliser.
Un autre objet de l'invention est un dispositif d'authentification par un utilisateur d'un mode de fonctionnement sécurisé d'un système d'information, ledit dispositif comportant :
- des moyens de stockage d'au moins un événement caractéristique confidentiel et d'au moins un secret, chaque secret étant déclencheur d'un desdits événements,
- des moyens de saisie du secret par l'utilisateur,
- des moyens de vérification que le secret saisi correspond au secret stocké,
- des moyens d'émission, sur vérification positive, de l'événement confidentiel stocké, tel que la reconnaissance par l'utilisateur de l'événement confidentiel authentifie le mode de fonctionnement sécurisé.
Une autre caractéristique de cet objet est : - le système d'information, lorsqu'il se trouve en mode de fonctionnement sécurisé, permet d'afficher une interface de confiance, l'authentification du mode de fonctionnement sécurisé par l'utilisateur étant effectuée lors de l'affichage de ladite interface de confiance ; et
- les moyens de stockage sont accessibles en écriture seulement dans un mode de fonctionnement sûr dit « de personnalisation » du système d'information et que dans tout autre mode de fonctionnement aucun secret ou événement stocké dans les moyens de stockage ne peut être modifié.
Un autre objet est un programme d'ordinateur comprenant des instructions de code de programme pour l'exécution des étapes du procédé lorsque ledit programme est exécuté sur un ordinateur.
L'invention sera mieux comprise à la lecture de la description qui va suivre, donnée uniquement à titre d'exemple, et faite en référence aux dessins en annexe dans lesquels :
- la Figure 1 est une vue schématique d'un dispositif d'authentification selon le mode de réalisation de l'invention ; et
- la Figure 2 est un ordinogramme d'un procédé d'authentification selon un mode de réalisation de l'invention.
En référence à la Figure 1 , un système informatique, ou d'information 1 , tel qu'une station de travail ou un ordinateur domestique, comporte un écran 2 de visualisation, des haut-parleurs 3 et des moyens 4 de saisie tels qu'un clavier et une souris.
L'écran 2 de visualisation et les haut-parleurs 3 permettent au système informatique 1 de présenter à l'utilisateur des informations graphiques, respectivement sonores. Un module de sécurité 5 pilote l'écran 2 de visualisation, les haut- parleurs 3 et les moyens de saisie 4 pour les besoins d'une application de sécurité 6. Ce module de sécurité est responsable de l'exécution du système d'information en mode sécurisé.
Ce module de sécurité 5 comporte un dispositif d'authentification 7.
Ce dispositif d'authentification 7 comporte des moyens 8 de stockage sécurisé. Ces moyens 8 de stockage sont, par exemple, une carte à puces ou une zone de mémoire à accès restreint.
Ces moyens 8 de stockage mémorisent de manière confidentielle un ou plusieurs secrets et un ou plusieurs événements. Chaque événement est déclenché par la saisie d'un secret particulier. Les secrets sont, par exemple, une suite de caractères à saisir au clavier ou bien un mouvement particulier effectué par la souris. Les événements correspondent, par exemple, à l'affichage d'une phrase prédéterminée, ou d'un dessin, ou bien à la diffusion d'une musique par les haut-parleurs 3.
Les secrets et les événements étant stockés de manière confidentielle, ne sont connus que du dispositif d'authentification 7 et de l'utilisateur.
Le dispositif d'authentification 7 est connecté aux moyens 4 de saisie ainsi qu'à l'écran 2 de visualisation et aux haut-parleurs 3 par l'intermédiaire du module de sécurité 5.
Le dispositif d'authentification 7 comporte en outre des moyens 9 de vérification des secrets c'est-à-dire des moyens qui vérifient qu'un secret saisi correspond au secret stocké. Il comporte également des moyens 10 d'émission ou de diffusion des événements stockés sur l'écran 2 de visualisation et/ou les haut-parleurs 3, ces moyens 10 d'émission étant activés par les moyens 9 de vérification.
L'accès en écriture aux moyens de stockage 8 est contrôlé par des moyens de verrouillage 10A. De préférence, ces moyens de verrouillage 10A sont constitués de moyens matériels tels qu'un interrupteur déclenchant une action particulière. Par exemple, ces moyens de verrouillage 10A correspondent à un interrupteur spécial de mise sous tension du système dans un état sécurisé permettant l'accès en écriture aux moyens de stockage 8.
Le fonctionnement de ce système va maintenant être explicité en relation avec la Figure 2. Le procédé comporte une étape préalable 11 de stockage d'au moins un événement caractéristique confidentiel et d'un secret déclencheur de cet événement dans les moyens 8 de stockage sécurisé.
Cette étape est normalement effectuée par l'utilisateur dans une phase d'initialisation du système d'information. Elle peut être effectuée à nouveau par
l'utilisateur dans une phase ultérieure afin de mettre à jour les secrets et événements stockés dans les moyens 8 de stockage sécurisé. De manière générale, le système doit se trouver dans un mode de fonctionnement sûr (dit « de personnalisation ») pour accepter des opérations de stockage des événements caractéristiques et des secrets déclencheurs.
Ces opérations sont effectuées dans un environnement sécurisé afin de garantir que les informations échangées entre l'utilisateur et le module de sécurité ne sont pas interceptables par un tiers.
Par exemple, elles peuvent être exécutées après une réinitialisation de système et un démarrage de celui-ci dans un mode mono-tâche.
Cet environnement sécurisé a été initialisé par l'utilisation des moyens de verrouillage 10A.
Durant cette étape, l'utilisateur saisit un secret sous la forme d'une suite de touches du clavier ou d'un mouvement particulier de la souris. Il définit également un événement confidentiel. Cet événement est, par exemple, une phrase ou une image à afficher sur l'écran 2 ou bien une mélodie à faire exécuter par les haut-parleurs 3.
Ces informations sont des secrets partagés par l'utilisateur et le dispositif d'authentification. Le système informatique 1 est ensuite remis dans un mode de fonctionnement normal (c'est à dire différent du mode de personnalisation). Dans ce mode de fonctionnement normal, les opérations de stockage ou de modification des événements caractéristiques et des secrets déclencheurs sont interdites afin d'empêcher tout risque de fraude. De même, l'accès en lecture à ces informations est limité aux moyens 9 de vérification.
Dans ce mode de fonctionnement normal, lorsque l'application de sécurité 6 a besoin d'obtenir une information confidentielle de la part de l'utilisateur ou de transmettre des informations confidentielles à l'utilisateur, elle déclenche en 12 l'affichage d'une interface de confiance par l'intermédiaire du module de sécurité 5. Cette interface de confiance est constituée de composants paramétrables par l'application de sécurité, cette dernière paramétrant selon ses besoins les composants paramétrables. Un composant paramétrable est par exemple une zone de saisie d'un mot de passe.
L'utilisateur voit, par exemple, une fenêtre de saisie apparaître sur son écran avec un champ de saisie d'un mot de passe.
L'utilisateur souhaite authentifier cette fenêtre, c'est-à-dire vérifier qu'elle est bien affichée sous le contrôle du module de sécurité et pas par une application tierce.
L'utilisateur exécute alors en 14 le secret, c'est-à-dire qu'il saisit la suite de caractères ou le mouvement de souris prédéfini. Cette saisie est réalisée en dehors des composants paramétrables par l'application de sécurité.
Le dispositif 7 d'authentification vérifie en 16 que le secret saisi correspond à un secret stocké, et, bien évidemment, si l'interface de confiance est affichée sous le contrôle du module de sécurité. Si la vérification est positive, le dispositif d'authentification 7 réagit à cette saisie du secret en diffusant en 18 l'événement confidentiel associé à ce secret, ceux-ci étant stockés dans ses moyens 8 de stockage sécurisé. L'utilisateur, constatant en 18 que l'événement produit par le système correspond à celui qui a été stocké préalablement et associé au secret qu'il vient d'exécuter, authentifie en 20 le mode de fonctionnement sécurisé (et donc l'interface de confiance, c'est à dire la fenêtre de saisie) et saisit en 22, en confiance, l'information confidentielle demandée, dans l'interface de confiance. Avantageusement, l'utilisateur peut stocker plusieurs couples secret/événement et décider à sa guise du secret qu'il va utiliser comme moyen d'authentification. La sécurité du système est ainsi renforcée car il devient encore plus difficile pour un tiers de détecter les couples secrets/événements et de reproduire correctement l'événement attendu suite à la saisie d'un secret quelconque parmi la liste des secrets.
Dans une variante de ce procédé, encore plus sécurisée, la fenêtre de saisie affiche dès le début une information confidentielle connue de l'utilisateur et préalablement stockée dans les moyens 8 de stockage sécurisé.
Dans une autre variante, l'étape 11 de stockage du secret et de l'événement est effectuée par l'administrateur de l'application sécurisée et ce secret et cet événement sont transmis par un moyen confidentiel, tel qu'un courrier, au client utilisateur.
Le système informatique 1 décrit ci-dessus peut être tout système capable d'interagir avec un utilisateur. Outre une station de travail ou un
ordinateur domestique, ce système peut également être par exemple un terminal mobile, un ordinateur de poche ou une console interactive de télévision. Le procédé et le dispositif d'authentification décrit permettent avantageusement l'authentification d'un mode de fonctionnement sécurisé (en particulier lors de l'affichage d'une interface de confiance) par la gestion d'un événement déclenché par un secret. Il est ainsi beaucoup plus difficile à un tiers d'intercepter, puis de reproduire cet événement (ou de contrefaire l'interface de confiance).
Claims
1. Procédé d'authentification par un utilisateur d'un mode de fonctionnement sécurisé d'un système d'information comportant des moyens (2,3) de présentation d'informations à l'utilisateur, des moyens de saisie (4) de données par l'utilisateur et des moyens de stockage (8), ledit procédé comportant les étapes de :
- stockage (11) d'au moins un événement caractéristique confidentiel et d'au moins un secret, dans les moyens de stockage, chaque secret étant déclencheur d'un desdits événements, - saisie (14) d'un secret par l'utilisateur, par l'intermédiaire des moyens de saisie de données,
- vérification (16) par le système d'information que le secret saisi correspond à un desdits secrets stockés,
- sur vérification positive, émission (18) par le système d'information, via les moyens de présentation d'informations, de l'événement confidentiel stocké correspondant au secret saisi,
- authentification (20) du mode de fonctionnement sécurisé par l'utilisateur sur reconnaissance de l'événement confidentiel émis.
2. Procédé d'authentification selon la revendication 1 , caractérisé en ce que le système d'information, lorsqu'il se trouve en mode de fonctionnement sécurisé, permet d'afficher une interface de confiance et en ce que l'authentification du mode de fonctionnement sécurisé par l'utilisateur est effectuée lors de l'affichage de ladite interface de confiance.
3. Procédé d'authentification selon la revendication 2, caractérisé en ce que préalablement à l'étape de saisie, l'interface de confiance est affichée et, un indicateur de sécurité préalablement stocké dans les moyens de stockage est présenté par l'interface de confiance.
4. Procédé d'authentification selon l'une des revendications 1, 2 ou 3, caractérisé en ce que l'étape de stockage est effectuée par l'utilisateur.
5. Procédé d'authentification selon la revendication 4, caractérisé en ce que l'étape de stockage est effectuée dans un mode de fonctionnement sûr dit « de personnalisation » du système d'information et que dans tout autre mode de fonctionnement aucun secret ou événement stocké dans les moyens de stockage ne peut être modifié.
6. Procédé d'authentification selon la revendication 5, caractérisé en ce que le passage dans le mode de fonctionnement de personnalisation est réalisé par l'utilisateur avec des moyens matériels ou logiciels qu'une application du système d'information ne peut ni simuler, ni réaliser.
7. Dispositif d'authentification par un utilisateur d'un mode de fonctionnement sécurisé d'un système d'information, ledit dispositif comportant :
- des moyens (8) de stockage d'au moins un événement caractéristique confidentiel et d'au moins un secret, chaque secret étant déclencheur d'un desdits événements, - des moyens (4) de saisie du secret par l'utilisateur,
- des moyens (9) de vérification que le secret saisi correspond au secret stocké,
- des moyens (10) d'émission, sur vérification positive, de l'événement confidentiel stocké, tel que la reconnaissance par l'utilisateur de l'événement confidentiel authentifie le mode de fonctionnement sécurisé.
8. Dispositif d'authentification selon la revendication 7, caractérisé en ce que le système d'information, lorsqu'il se trouve en mode de fonctionnement sécurisé, permet d'afficher une interface de confiance, l'authentification du mode de fonctionnement sécurisé par l'utilisateur étant effectuée lors de l'affichage de ladite interface de confiance.
9. Dispositif d'authentification selon l'une des revendications 7 ou 8, caractérisé en ce que les moyens de stockage ne sont accessibles en écriture que dans un mode de fonctionnement sûr dit « de personnalisation » du système d'information et que dans tout autre mode de fonctionnement aucun secret ou événement stocké dans les moyens de stockage ne peut être modifié.
10. Programme d'ordinateur comprenant des instructions de code de programme pour l'exécution des étapes du procédé selon l'une quelconque des revendications 1 à 6 lorsque ledit programme est exécuté sur un ordinateur.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP06831151A EP1952297A2 (fr) | 2005-11-22 | 2006-11-21 | Procede et dispositif d'authentification par un utilisateur d'une interface de confiance et programme d'ordinateur associe |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0511821A FR2893732B1 (fr) | 2005-11-22 | 2005-11-22 | Procede et dispositif d'authentification par un utilisateur d'une interface de confiance et programme d'oedinateur associe |
| FR0511821 | 2005-11-22 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| WO2007060322A2 true WO2007060322A2 (fr) | 2007-05-31 |
| WO2007060322A3 WO2007060322A3 (fr) | 2007-08-09 |
Family
ID=36675882
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/FR2006/002562 WO2007060322A2 (fr) | 2005-11-22 | 2006-11-21 | Procede et dispositif d'authentification par un utilisateur d'une interface de confiance et programme d'ordinateur associe |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP1952297A2 (fr) |
| FR (1) | FR2893732B1 (fr) |
| WO (1) | WO2007060322A2 (fr) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9530014B2 (en) | 2011-12-20 | 2016-12-27 | Orange | Method and a device for making a computer application secure |
| US9781093B2 (en) | 2014-09-25 | 2017-10-03 | Morpho | Authentication of a secure electronic device from a non-secure electronic device |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2998687B1 (fr) * | 2012-11-27 | 2016-01-08 | Oberthur Technologies | Dispositif electronique comprenant un environnement d'execution de confiance et un environnement d'execution polyvalent |
| FR3080693B1 (fr) | 2018-04-30 | 2021-10-08 | Ledger | Authentification mutuelle d'un dispositif ou d'un systeme contenant des donnees sensibles ou confidentielles commandable par un utilisateur |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001018636A1 (fr) * | 1999-09-09 | 2001-03-15 | American Express Travel Related Services Company, Inc. | Systeme et procede destines a authentifier une page web |
| JP3956130B2 (ja) * | 2002-12-25 | 2007-08-08 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 認証装置、認証システム、認証方法、プログラム、及び記録媒体 |
| FR2868570A1 (fr) * | 2004-04-05 | 2005-10-07 | Nickcode Sarl | Procede d'identification numerique et/ou d'authentification numerique par ou d'une personne physique |
-
2005
- 2005-11-22 FR FR0511821A patent/FR2893732B1/fr active Active
-
2006
- 2006-11-21 WO PCT/FR2006/002562 patent/WO2007060322A2/fr active Application Filing
- 2006-11-21 EP EP06831151A patent/EP1952297A2/fr not_active Ceased
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9530014B2 (en) | 2011-12-20 | 2016-12-27 | Orange | Method and a device for making a computer application secure |
| US9781093B2 (en) | 2014-09-25 | 2017-10-03 | Morpho | Authentication of a secure electronic device from a non-secure electronic device |
Also Published As
| Publication number | Publication date |
|---|---|
| FR2893732B1 (fr) | 2009-09-18 |
| FR2893732A1 (fr) | 2007-05-25 |
| EP1952297A2 (fr) | 2008-08-06 |
| WO2007060322A3 (fr) | 2007-08-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101529366B (zh) | 可信用户界面对象的标识和可视化 | |
| EP1975840B1 (fr) | Procédé et dispositif de visualisation sécuritaire | |
| EP1688818B1 (fr) | Procédé de gestion sécurisée de l'éxécution d'une application | |
| CN1609809B (zh) | 维持多操作系统环境中显示的数据的安全的方法和系统 | |
| EP2316088A2 (fr) | Systeme et procede pour la securisation d'une interface utilisateur | |
| WO2003100580A1 (fr) | Interface utilisateur de confiance pour dispositif sans fil mobile securise | |
| EP1576444A1 (fr) | Procede et dispositif de verification de l'integrite d'une application logicielle | |
| CN108335105A (zh) | 数据处理方法及相关设备 | |
| EP1952297A2 (fr) | Procede et dispositif d'authentification par un utilisateur d'une interface de confiance et programme d'ordinateur associe | |
| CN115544586B (zh) | 用户数据的安全存储方法、电子设备及存储介质 | |
| EP3244375B1 (fr) | Microcontrôleur pour démarrage sécurisé avec pare-feu | |
| WO2020165521A1 (fr) | Procédé de commande d'un équipement informatique pour saisir un code personnel | |
| EP3350745B1 (fr) | Gestion d'un affichage d'une vue d'une application sur un écran d'un dispositif électronique de saisie de données, procédé, dispositif et produit programme d'ordinateur correspondants | |
| FR2923041A1 (fr) | Procede d'ouverture securisee a des tiers d'une carte a microcircuit. | |
| WO2019095449A1 (fr) | Procédé et appareil pour empêcher une fuite d'informations personnelles | |
| BE1024111B1 (fr) | Microcontroleur pour demarrage securise avec pare-feu | |
| GB2421093A (en) | Trusted user interface | |
| WO2004093019A1 (fr) | Entite electronique securisee avec compteur modifiable d'utilisations d’une donnee secrete | |
| FR3143790A1 (fr) | Procédé et système de saisie sécurisée d’un code secret au moyen d’un clavier | |
| EP3557839A1 (fr) | Procédé pour sécuriser un système informatique | |
| WO2014135519A1 (fr) | Système et procédé de gestion d'au moins une application en ligne, objet portable utilisateur communiquant par un protocole radioélectrique et dispositif distant du système | |
| WO2019201898A1 (fr) | Procédé de sécurisation d'un système informatique | |
| FR2819602A1 (fr) | Procede de gestion d'applications informatiques par le systeme d'exploitation d'un systeme informatique multi-applications | |
| EP3113056A1 (fr) | Sécurisation d'une validation d'une séquence de caractères, procédé, dispositif et produit programme d'ordinateur correspondants | |
| FR2939932A1 (fr) | Procede et dispositif d'acces conditionnel pour entites electroniques portables |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2006831151 Country of ref document: EP |
|
| WWP | Wipo information: published in national office |
Ref document number: 2006831151 Country of ref document: EP |