La présente invention concerne un dispositif auto­nome et portable, apte à traiter et à mémoriser une plu­ralité d'informations.

Elle concerne plus particulièrement un dispositif de contrôle, d'identification et d'authentification, de paiement et de pré-paiement, de cryptage et de décryp­tage.

On connait à ce jour différents dispositifs qui visent à remplir certaines de ces fonctions, notamment la carte à mémoire munie de son lecteur. Cette dernière bien connue aujourd'hui, présente de notables inconvé­nients, parmi lesquels on peut citer :

- un prix de revient élevé ; en effet, si le prix de revient de la carte est tout à fait raisonnable, cel­le-ci ne peut fonctionner sans un lecteur qui lui est relativement onéreux. Ce prix limite voire interdit un développement grand public d'un tel système et en res­treint donc largement la diffusion aux applications pro­fessionnelles pour lesquelles le lecteur n'est diffusé qu'en quantité restreinte (par exemple cabines téléphoni­ques, guichets bancaires,...) ;

- le système formé par la carte et le lecteur n'est pas portable, seule la carte l'est en réalité ; le lec­teur plus volumineux est fixe et nécessite une alimenta­tion, généralement sur secteur, et ce en permanence ;

- la carte n'est pas alimentée électriquement, donc ne peut pas fonctionner lorsqu elle n'est pas connectée sur le lecteur ; on limite ainsi de façon notable les possibilités de la carte portative ainsi que les garan­ties de sécurité et de confidentialité.

La carte utilisée d'une manière indépendante ne remplit qu'un simple rôle d'identification, et ne peut en aucun cas jouer un rôle actif sans être connectée à un lecteur.

On a montré dans les documents FR - A - 2 311 360 et FR - A - 2 311 365 des systèmes du type en question, faisant appel à l'intégration au sein d'une entité porta­ble d'un microprocesseur, qui réagit en fonction d'un programme qui y a été masqué au préalable. Les fonctions essentielles de ce microprocesseur sont de trois types :

- la gestion du protocole de dialogue avec le centre serveur et l'usager ;

- le contrôle d'accès à la mémoire de données ;

- la mise en oeuvre d'un algorithme de sécurité à des fins d'authentification de signature et de gestion des clefs.

La mémoire de données entrant en jeu contient trois types d'informations, respectivement :

- des informations libres, accessibles de l'exté­rieur sans formalités particulières ;

- des informations confidentielles, lisibles seule­ment après présentation d'un code et ne circulant pas sans certificat à l'extérieur ;

- des informations secrètes, uniquement accessibles au microprocesseur, qui en interdit toute diffusion à l'extérieur ; ce sont les clefs secrètes et le code por­teur.

Toutefois, comme déjà dit, ces systèmes, qui se présentent principalement sous la forme de carte, format carte de visite, ne peuvent fonctionner de façon autonome et sont nécessairement "connecter" à un centre serveur, par exemple par l'intermédiaire d'un lecteur.

De plus, il s'est avéré que la confidentialité of­ferte par ce type de système n'était pas toujours suffi­sante, et de fait nécessite d'être augmentée pour devenir radicalement inviolable.

La présente invention vise à pallier ces inconvé­nients. Elle propose un dispositif qui soit économique à réaliser, fiable notamment du point de vue sécurité et confidentialité, donc sur le plan de l'identification, qui soit portable et adapté suivant le type d'appareil sur lequel il se raccorde, ne nécessitant ainsi pas de lecteur spécifique, et qui surtout puisse présenter une activité dynamique, permettant d'étendre les possibilités des dispositifs du type en question existant sur le mar­ché.

La présente invention propose un dispositif auto­nome portable de stockage, de transfert et de contrôle d'informations destiné éventuellement à se raccorder à un appareil apte à effectuer une "lecture" des informa­tions contenues et/ou transitant par ledit dispositif, du type comprenant un support apte à recevoir des com­posants électroniques, intégrant :

. une mémoire morte de type ROM,

. un microprocesseur apte à gérer le fonction­nement du dispositif, ainsi que des mémoires dont la ROM;

. un moyen de connexion du support avec un terminal;

. une source d'énergie éléctrique .

Elle se caractérise :

- en ce que la dite source d'énergie électrique est intégrée sur le support,

- et en ce qu'il comprend en outre :

. une horloge du type à quartz, activée par la dite source électrique, et destinée outre à fournir des données horaires, à horodater les différentes informations transitant par le dispositif ;

. une mémoire vive de type RAM, alimentée par ladite source d'énergie électrique,

. un interface destiné à permettre le transit des informations entre le microprocesseur et les moyens de connexion ;

- et en ce que le circuit électronique formé par le microprocesseur , les mémoires et l'interface est du type monolitique intégré.

En d'autres termes, l'invention se caractérise en ce que l'on munisse un dispositif portable d'une alimen­tation énergétique, en l'occurence électrique, afin de permettre l'utilisation de composants, qui jusqu'alors se trouvaient sur le lecteur, conférant ainsi au présent dispositif des possibilités d'utilisation non conceva­bles avec les dispositifs connus.

Avantageusement, en pratique :

- le moyen de connexion sont constitués d'une plura­lité de connecteurs, de forme complémentaire à celle du moyen de connexion de l'appareil sur lequel le dispositif se connecte ;

- le dispositif comporte un écran de visualisation, notamment du type à cristaux liquides, destiné à contrô­ler les informations concernant l'état du dispositif ;

- le dispositif comprend un clavier, destiné à l'in­troduction de données ;

- le dispositif comporte des fonctions annexes ap­partenant au groupe constitué par une calculette, un répertoire.. ;

- le dispositif comporte un système sonore, permet­tant de communiquer par voie acoustique ; il comporte également un microphone destiné à recueillir également des signaux acoustiques ;

- le dispositif comprend un récepteur radio lui permettant de recevoir des informations par voie Hert­zienne ;

- le dispositif comprend également un organe émet­teur et/ou récepteur de signaux optiques, notamment des­tiné à assurer une identification visuelle ;

- le dispositif se présente sous la forme d'un boi­tier de dimensions de poche.

La manière dont l'invention peut être réalisée et les avantages qui en découlent ressortiront mieux de l'exemple de réalisation qui suit, donné à titre indica­tif et non limitatif, à l'appui des figures annexées.

• La figure 1 est une représentation schématique du circuit éléctronique mettant en oeuvre les différents éléments du dispositif, conforme à l'invention.
• La figure 2 est une représentation schématique mon­trant l'agencement des différentes structures au sein du dispositif conforme à l'invention.

Si dans la suite de la description, on décrit une forme de réalisation plus particulièrement adaptée à un centre serveur videotex type MINITEL (marque déposée par la Direction Générale des Télécommunications), il va de soi que la présente invention est adaptée à tout terminal d'un centre serveur, présentant une prise de connexion, susceptible de permettre un échange, un transfert d'in­formations avec le dispositif revendiqué.

Fondamentalement, le dispositif se présente sous la forme d'un boitier, format de poche, en matière plastique surmoulée, éventuellement muni d'un anneau fixé à l'une de ses extrémités, afin de rendre sa préhension, voire son stockage plus aisés, notamment en le fixant par exem­ple à un porte-clef. Il présente à son autre extrémi2té une prise de connexion (10) de type mâle. Il n'est pas démontable et porte un numéro de série indélébile.

Comme on peut le voir sur la figure 1, il est cons­titué d'un support (7) sur lequel sont gravées des conne­xions éléctriques.Un microprocesseur masqué (6) intégrant différentes fonctions, parmi lesquelles une mémoire RAM (2), une mémoire ROM (3), ainsi qu'une horloge à quartz, est enfiché sur ce circuit. Le microprocesseur (6) est lui-même relié à une interface d'entrée (5) et une inter­face de sortie (11), dont le rôle principal est la con­version des signaux analogiques provenant du centre ser­veur en signaux numériques, en vue de leur traitement par le microprocesseur, et vice versa. L'ensemble dispose d'une source d'alimentation interne non remplaçable, sous forme de piles (1) telles que des piles au lithium. La durée de vie de cette source est au maximum égale à 18 mois.

Selon une caractéristique de l'invention, le dispo­sitif comporte une mémoire vive de type RAM (2), alimen­tée électriquement au moyen des piles mentionnées précé­demment. La mémoire RAM (2) est destinée à stocker tous les éléments dynamiques du présent dispositif, c'est-à-­dire les clefs d'accès des paramètres et fonctions de cryptage et de décryptage des données et/ou de program­mes, des crédits d'utilisation de services, des fonctions d'horodatages,...

La mémoire RAM (2) est directement reliée au micro­processeur, ou elle peut être intégrée au sein dudit microprocesseur (6). Il est à noter que toute tentative de démontage du dispositif provoque ipso facto une coupu­re d'alimentation,et par la même une remise à zéro de la mémoire. Il n'y a donc aucun moyen qui permette de dévoi­ler les codes et autres données contenues dans la mémoire RAM.

Lorsqu'une utilisation spécifique et bien déterminée du dispositif conforme à l'invention pour un seul type d'application est souhaitée, le paramétrage initial de la mémoire RAM (2) peut être couplé avec un dispositif de type fusible ou PROM, permettant de n'autoriser ce param­étrage qu'une seule fois. On dispose ainsi d'une sécurité accrue interdisant toute forme de "re-paramétrage". Ce verrouillage effectué lors de la fabrication peut être total ou partiel en fonction des choix des utilisateurs.

Dans une forme de réalisation avantageuse, l'adapta­tion du connecteur (9), éventuellement de l'adaptateur (8) et des interfaces (5,11) du circuit électronique à l'appareil sur lequel le dispositif doit se connecter, évite l'utilisation d'un lecteur.

Le programme présent dans la mémoire ROM (3) est constitué de telle façon qu'après mise sous tension, celui-ci ne démarre réellement qu'après introduction d'un code de déblocage, inscrit également dans la mémoire ROM, suivi des paramètres d'initialisation.

Comme déjà dit, Le microprocesseur comprend égale­ment une horloge à quartz (4). Cette dernière est activée par les piles (1). Elle est destinée à permettre un horo­datage pour toutes les informations transitant par le microprocesseur (6), garantissant ainsi les opérations effectuées.

Il est à noter, et c'est également l'une des carac­téristiques importantes de la présente invention, que le microprocesseur (6), les interfaces (5,11), la mémoire ROM (3) et la mémoire RAM (2) sont intégrés au sein d'un même circuit électronique monolithique (12), augmentant de ce fait l'inviolabilité du contenu des mémoires.

Dans une version plus évoluée de la présente inven­tion, le dispositif comporte un écran de visualisation, notamment à cristaux liquides, ainsi qu'un clavier d'in­troduction de données, permettant d'augmenter l'interac­tivité du dispositif propement dit.

Dans une autre version, le dispositif comporte un système sonore permettant de communiquer par voie acous­tique, le dit système sonore comprenant en outre un mi­crophone destiné à permettre la reception de signaux acoustiques.

Dans le même ordre d'idée, il comprend également un récepteur radio, lui permettant de recevoir des informa­tions, voire un paramétrage par voie hertzienne.

Dans une autre version, le dispositif conforme à l'invention peut émettre et recevoir des signaux opti­ques, par l'intermédiaire d'un organe émetteur et récep­teur de tels signaux, et ce en vue d'une identification visuelle.

La principale application du dispositif conforme à l'invention est la mise en relation d'un usager dudit dispositif et d'un centre serveur, afin d'échanger des informations confidentielles et de permettre d'offrir des solutions adaptées aux besoins du simple usager, voire des entreprises, à savoir, notamment, des applications de paiement, de sécurité d'accès logique et physique.

La mise en relation d'un usager et d'un serveur peut s'effectuer par le biais de la connexion automatique mise en oeuvre à l'échelon local par le dispositif conforme à l'invention. Cette fonctionnalité permet d'assurer la numérotation, puis la connexion avec un serveur.

Outre la protection que l'usager est en droit d'at­tendre quant aux tentatives d'utilisation frauduleuse de son dispositif, en cas de perte, ou de vol par exemple, l'intégrité des transactions effectuées par le biais du réseau télématique doit également être assurée. Pour ce faire, le dispositif conforme à l'invention comprend trois fonctions essentielles mises en oeuvre successive­ment :

- l'authentification, au cours de laquelle le centre serveur vérifie la validité du dispositif utilisé ; cette phase se décompose en fait de deux étapes respectives . D'une part, une phase d'identification à l'échelon local, dans laquelle, à la demande du serveur l'utilisateur entre son code confidentiel, contrôlé par le dispositif . Trois erreurs successives bloquent le dispositif pour une durée fixée à l'origine par le constructeur.Trois séquen­ces de trois erreurs entrainent la destruction de la mé­moire de données. D'autre part,une phase d'identification par le serveur. Ce dernier est averti de façon sûre et inimitable du résultat correct de la saisie du code con­fidentiel par certification de la réponse du dispositif ;

- la certification, qui donne à une centre serveur la preuve de la présence d'une information dans le dispo­sitif. Pour ce faire, le microprocesseur du dispositif exécute un algorithme de sécurité fournissant un résultat à partir d'un message reçu du serveur, notamment sous la forme d'un nombre aléatoire, d'une clef secrète du dis­positif et de données de la mémoire ROM ;

- la signature : pour se prémunir contre la malveil­lance d'un tiers qui voudrait modifier le contenu d'un message émis de A vers B, les textes envoyés par A sont accompagnés d'une signature électronique garantissant à B l'intégrité du message reçu. La demande de signature doit être accompagnée d'une procédure d'authentification ana­logue à celle décrite ci-dessus. Le dispositif calcule une signature sur un compressé de texte fourni par le serveur en utilisant sa clef de signature. Cette signa­ture garantit que le porteur du dispositif a donné son accord pour le déroulement d'une procédure proposée par le serveur. Il est à la charge de ce dernier de garantir l'association du compressé et de la procédure. Le calcul effectué par le dispositif est équivalent à une signature si le serveur ne possède pas la clef de signature ; dans ce cas, le serveur ne peut produire de fausse signature. De fait, le compressé est chiffré en utilisant la clef d'authentification, dechiffré par le dispositif, signé avec la clef de signature dudit dispositif, et rechiffré en utilisant la clef d'authentification avant transmis­sion. Dans ces conditions, l'authentification et la pro­tection de la signature utilisent une clef différente de celle utilisée pour calculer la signature.

Le dispositif étant alimenté par piles, il n'y a pas lieu de le mettre sous tension, et le seul fait de l'in­sérer dans la prise péri-informatique d'un terminal, tel que par exemple celle d'un MINITEL, le rend opérationnel. Toutefois, afin de réduire l'usure de piles, le disposi­tif est en mode sommeil lorsqu il ne détecte aucune acti­vité sur la prise. Tout caractère transitant par la prise provoque le réveil du dispositif. Celui-ci analyse le caractère reçu, et s'il s'agit d'une commande reconnue, l'éxécute. Dans le cas contraire, il considère qu'il s'agit d'un réveil intempestif et commande au terminal un blocage de la prise, ce qui permet d'éviter une usure de la pile trop rapide dans les cas suivants :

- connexion avec un serveur n'utilisant pas le ter­minal ;

- utilisation d'un terminal non connecté.

Il est à la charge du serveur de commander le déblo­cage de la prise avant toute utilisation du dispositif.

Il va être décrit plus en détail les phases de fonc­tionnement du dispositif avec le centre serveur. La mise en oeuvre d'une application du dispositif nécessite l'é­tablissement de la connexion, au travers du réseau télé­phonique ou télématique, du terminal sur un serveur. La première étape constitue l'établissement de la session avec le dispositif. Le serveur adresse au dispositif une demande d'ouverture de session. Cette demande comporte obligatoirement une commande d'établissement d'aiguillage d'un système de modulation-démodulation associé, tel que l'adaptateur (8), ou éventuellement (MINITEL) intégré dans le terminal vers la prise peri-informatique, car le dispositif a pu bloquer la prise (voir paragraphe précé­dent). Il attend alors une réponse à sa demande de con­nexion logique pour débuter le dialogue avec le disposi­tif. Ce dialogue s'effectue à l'aide de consignes, c'est à dire de commandes destinées par exemple à initialiser des paramètres du dispositif ou à éxécuter des fonctions internes.

La première commande transmise au dispositif est une consigne de mise en mode identique à celle d'un lec­teur de cartes mémoires. La réponse à la consigne de mise en mode permet au serveur de savoir qu'il a affaire à un dispositif du type en question, et comporte des informa­tions décrivant l'état de ce dernier. Le serveur peut alors soit vérifier la validité du dispositif, soit le télécharger d'abord et commencer ensuite la phase appli­cative.

La phase suivante constitue le téléchargement de paramètres. Lors de la première connexion avec un dispo­sitif conforme à l'invention, le serveur initie un dialo­gue particulier qui permet de personnaliser ledit dispo­sitif en fonction de son numéro de série et de son appli­cation, et de le rendre unique. Ce dialogue est authenti­fié et certifié par les clefs de transport présentes dans le dispositif et caractéristiques du lot auquel il appar­tient.

La phase ultime constitue la fermeture de la ses­sion. Elle peut être provoquée de différentes manières :

- par le dispositif, après échec du dialogue avec le serveur ;

- par le serveur après échec du dialogue avec le dispositif ;

- par une fin normale, décidée par le serveur, qui envoie une commande de déconnexion ;

- par une déconnexion du terminal ;

- par le point d'accès qui envoie une demande de déconnexion ;

- par la modification abusive des aiguillages du terminal de la part du serveur, en cours de saisie/con­trôle de code confidentiel.

De la description qui précède, il ressort que le dispositif conforme à l'invention dispose d'un système d'exploitation chargé d'interpreter et d'exécuter les commandes appelées consignes, que lui transmet un ser­veur, dans le but d'établir un dialogue sécurisé entre un usager et une application déterminée. De la sorte, il est doté d'une part de trois modules communiquant entre eux, respectivement un "module réveil", surveillant l'activité sur la prise péri-informatique d'un terminal et décidant du réveil ou de la mise en sommeil du dispositif, un module "application" chargé d'analyser les consignes, de les éxécuter puis de renvoyer un compte-rendu, et un module "télécommunications" chargé de gérer l'interface du dispositif avec le monde extérieur, et d'autre part d'un module autonome de "prépersonnalisation", actif lors de la première initialisation dudit dispositif, chargé d'acquérir les paramètres caractéristiques du lot.

Le module autonome dit de "prépersonnalisation" remplit trois fonctions essentielles, à savoir :

- l'initialisation du dispositif; cette fonction est activée lors de la mise en place des piles avant le surmoulage du dispositif. Cette fonction procède à la remise à zéro de la mémoire de données ROM, la mise en route des différentes horloges internes, l'autotest du dispositif et passe le contrôle au module d'acquisition ;

- l'acquisition des données à précharger et leur contrôle ;

- la validation des données chargées et transfert du contrôle aux modules définis ci-dessus ; cette fonction termine le processus de "prépersonnalisation" en enregis­trant définitivement les valeurs chargées dans la mémoire de données. Il est alors impossible dans la suite de réutiliser ce module. Le contrôle est alors passé aux modules télécommunications et application et le module prépersonnalisation est désactivé.

Dans le cadre de l'application du dispositif au MINITEL, il est destiné à se raccorder sur le connecteur DIN péri-minitel d'un Minitel du type distribué par les Postes et Télecommunications. Le connecteur du dispositif présente donc des connexions adaptées en forme et en nom­bre. Il est donc possible pour le dispositif de saisir les informations transitant entre le MINITEL et un centre serveur quelconque, voire même de détourner ces informa­tions pour les faire transiter par le dispositif lui-­même. De même, le dispositif conforme à l'invention est à même de répondre à des sollicitations du serveur. Ainsi, l'utilisation directe du connecteur DIN du Minitel évite l'utilisation d'un dispositif spécial de lecteur et/ou d'écriture. En effet, le transfert des informations se fait en série de manière bi-directionnelle simultanée.

Il ressort de la présente invention un grand nombre d'avantages, que les systèmes connus jusqu'alors ne per­mettaient pas d'obtenir, parmi lesquels :

- les avantages inhérents au fait que le dispositif est sous alimentation électrique permanente. Ainsi, cette disposition augmente de manière importante la sécurité du dispositif, du fait que l'on peut alors utiliser des sys­tèmes de protection dynamiques, aussi bien pour la mémo­risation que pour le transfert d'informations. En effet, la présence d'une horloge intégrée dans le dispositif permet la modification régulière et automatique de certaines variables. Cette modification temporelle des caractéristiques de l'objet permet entre autre la mise en oeuvre de systèmes de sécurité très performants. De plus, le fait qu'il soit alimenté de manière permanente permet de stocker en mémoire vive RAM certaines clefs permettant son fonctionnement. En effet, toute tentative de démontage du dispositif entraîne une autodestruction de ces éléments, notamment du contenu de la mémoire vive RAM.

De plus, en cas d'erreur dans l'introduction du code confidentiel, le système ne se bloque pas au bout d'un petit nombre d'essai, comme pour les systèmes connus, mais on peut temporiser chaque accès d'une durée varia­ble, croissant avec le nombre d'erreurs ;

- un faible prix et une simplicité de fabrication et d'utilisation du fait de l'emploi de matériaux tradi­tionnels ;

- un dispositif autonome et réellement portable ;

- de nombreuses possibilités complémentaires.

Ce dispositif présente de ce fait un grand nombre d'applications parmi lesquelles :

- la sécurité d'accès à certaines banques de don­nées du minitel ;

- le pré-paiement de certains services, sur mini­tel;

- l'achat par minitel ou téléphone grâce à l'iden­tification et/ou le paiement automatique ou pré-paiement, etc...

En-dehors du Minitel (donné comme exemple), le dis­positif peut être connecté sur de nombreux autres appa­reils pour remplir les fonctions décrites ci-dessus ou des fonctions complémentaires : en effet, le dispositif conforme à l'invention peut être connecté à un télévi­seur, au compteur d'électricité, au décodeur chaîne TV à payage, au décodeur satellite, aux jeux électroniques, aux serrures de portes d'accès..

De ce fait, le dispositif conforme à l'invention, de par sa structure électronique, reste actif sans être connecté. De plus, il permet de réaliser l'auto-destruc­tion de la mémoire vive (RAM) augmentant ainsi ses pro­priétés de cryptage et d'authentification.