[go: up one dir, main page]

FR3023039A1 - Authentification d'un utilisateur - Google Patents

Authentification d'un utilisateur Download PDF

Info

Publication number
FR3023039A1
FR3023039A1 FR1456131A FR1456131A FR3023039A1 FR 3023039 A1 FR3023039 A1 FR 3023039A1 FR 1456131 A FR1456131 A FR 1456131A FR 1456131 A FR1456131 A FR 1456131A FR 3023039 A1 FR3023039 A1 FR 3023039A1
Authority
FR
France
Prior art keywords
data
user
identity
mobile object
communicating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
FR1456131A
Other languages
English (en)
Inventor
Philippe Genestier
Olivier Gruson
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Priority to FR1456131A priority Critical patent/FR3023039A1/fr
Publication of FR3023039A1 publication Critical patent/FR3023039A1/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Un utilisateur dispose d'un support matériel de données (SM1), porteur de premières données d'identification représentatives d'une identité d'origine (IO1) affectée à l'utilisateur, et d'un objet mobile communicant apte à exécuter une opération d'authentification à partir d'au moins une donnée propre à l'utilisateur stockée dans une mémoire de l'objet mobile communicant. Une plateforme (PFass) d'un système d'authentification génère des deuxièmes données d'identification représentatives d'une identité dérivée (ID1) de l'identité d'origine et mémorise ces deuxièmes données d'identification en association avec des données de contact de l'objet mobile communicant. Un message envoyé vers l'objet mobile communicant déclenche l'exécution par ledit objet mobile communicant de l'opération d'authentification à partir d'au moins une donnée propre fournie par l'utilisateur et de la donnée propre à l'utilisateur stockée. Un message signalant un succès de l'opération d'authentification est envoyé à une plateforme (PFop) accompagné de l'identité de l'utilisateur, laquelle est associée à l'objet mobile communicant, et dont la non répudiation a été vérifiée.

Description

La présente invention concerne un système et procédé d'authentification d'un utilisateur, auquel est attribué un support de données numériques, porteur de premières données d'identification, représentatives d'une identité d'origine affectée à l'utilisateur. Ce procédé ou système d'authentification est utilisable notamment pour l'authentification de l'utilisateur lors d'une demande d'accès à un service, par exemple un service d'accès à des données. La demande de brevet publiée sous le numéro W02013/121127 décrit une telle solution d'authentification d'un utilisateur. Dans cette solution, une identité dérivée est générée à partir de l'identité d'origine lue sur le support matériel de données, cette identité dérivée étant stockée dans un terminal mobile de l'utilisateur en association avec une donnée propre à l'utilisateur, telle que par exemple un code PIN ou mot de passe. L'authentification de l'utilisateur est effectuée ensuite sur la base des données stockées dans le terminal mobile : l'utilisateur saisit sur le terminal mobile une donnée propre égale à celle stockée en association avec l'identité dérivée. Puis, si la donnée propre saisie est correcte, le terminal mobile transmet vers un serveur d'authentification l'identité dérivée stockée dans le terminal mobile. Cette solution présente les limitations suivantes. En premier lieu, l'identité dérivée est transmise du terminal mobile vers le serveur d'authentification au travers du réseau mobile: la nécessité de cette transmission rend impossible toute utilisation du service en l'absence de couverture par un réseau mobile : en particulier l'identité dérivée ne peut pas être obtenue. En deuxième lieu, l'utilisation de cette solution est possible seulement pour certains terminaux disposant de suffisamment de mémoire et compatibles avec l'exécution d'une application exécutée par le module de sécurité (par exemple une carte SIM, suscriber identity module) du terminal mobile, qui soit à la fois capable de stocker l'identité dérivée dans la module de sécurité et capable de procéder à l'authentification sur la base de l'identité dérivée stockée. En outre, une telle application doit être installée dans le terminal mobile préalablement à la génération de l'identité dérivée afin de pouvoir procéder au stockage de l'identité dérivée et de la donnée propre associée selon la procédure décrite dans la demande de brevet précitée.
Enfin cette solution impose une contrainte sur le nombre d'identités dérivées pouvant être stockées dans un même module de sécurité et sur la longueur en octets d'une telle identité dérivée: en effet le stockage dans une carte SIM est contraint et limité par la capacité de cette carte SIM. Il faut donc limiter soit le nombre d'identités dérivées, soit leur longueur si on veut que la solution soit compatible avec toutes les cartes SIM quelle que soit leur capacité de stockage. Ceci aurait un impact sur le niveau de sécurité de la solution d'authentification, si le nombre d'octets d'une identité dérivée devait être limité.
La présente invention vient améliorer la situation. L'invention concerne selon un premier aspect un procédé d'authentification d'un utilisateur auquel est attribué un support matériel de données, porteur de premières données d'identification représentatives d'une identité d'origine affectée à l'utilisateur, le procédé étant mis en oeuvre par au moins une plateforme d'un système d'authentification. Le procédé d'authentification comprend une phase de génération d'une identité dérivée et une phase de vérification d'identité. Pendant la phase de génération d'une identité dérivée, les étapes suivantes sont exécutées : - une étape de génération, à partir au moins des premières données d'identification, de deuxièmes données d'identification représentatives d'une identité dérivée de l'identité d'origine, - une étape de mémorisation par une dite plateforme des deuxièmes données d'identification en association avec des données de contact d'un objet mobile communicant apte à exécuter une opération d'authentification d'un utilisateur à partir d'au moins une donnée propre à l'utilisateur stockée dans une mémoire de l'objet mobile communicant, Pendant la phase de vérification d'identité, les étapes suivantes sont exécutées : - une étape d'envoi vers l'objet mobile communicant d'un message déclenchant une exécution par l'objet mobile communiquant de l'opération d'authentification à partir d'au moins une donnée propre fournie par l'utilisateur et de ladite au moins une donnée propre à l'utilisateur stockée dans la mémoire de l'objet mobile communicant, - une étape de réception d'un message signalant un succès de ladite opération d'authentification, - une étape de déclenchement, suite à la réception dudit message, d'une étape de vérification d'identité à partir des deuxièmes données d'identification mémorisées par ladite plateforme en association avec la donnée de contact dudit objet communicant. Par « objet mobile communicant », on entend par exemple un équipement capable de communiquer, notamment par messages, via un réseau de télécommunication. Un objet mobile communicant est par exemple un terminal mobile, un téléphone mobile, un smartphone, un assistant personnel, un talkie-walkie, etc. Par « données de contact d'un objet mobile communicant», on entend par exemple des données permettant de communiquer avec l'objet mobile communicant via un réseau de télécommunication, afin de lui transmettre des données et/ou de recevoir des données en provenance de cet objet mobile communicant.
Lorsque l'objet mobile communicant est un terminal de téléphonie mobile, les données de contact correspondent par exemple au numéro de téléphone (MSISDN, Mobile Station International Subscriber Directory Number, notamment) attribué au terminal, ou un identifiant de la carte SIM (Suscriber Identity Module)/SE (Security Element). Il peut toutefois s'agir, en variante, d'une adresse IP par exemple pour un équipement connecté via un réseau IP (Internet Protocol), ou encore une adresse de courriel (adresse « email »). Par « donnée d'authentification propre à l'utilisateur », on entend par exemple toute information propre à l'utilisateur permettant une authentification de l'utilisateur: par exemple un code personnel d'identification (ou code « PIN »), ou encore une donnée d'identification biométrique (reconnaissance vocale ou d'empreinte digitale, ou d'iris, etc.). Par « identité dérivée », on entend par exemple une donnée d'identité résultant d'une transformation d'une donnée d'identité d'origine. Cette transformation est par exemple une fonction de hachage. Le résultat d'une telle fonction étant non interprétable, cette identité dérivée est en quelque sorte anonyme, car elle ne permet pas de retrouver l'identité d'origine de l'utilisateur. L'identité dérivée est, comme l'identité d'origine, unique et propre à un seul utilisateur : il ne pourra être affecté une même identité dérivée à deux utilisateurs différents. Ainsi il existe une relation biunivoque entre l'identité d'origine et l'identité dérivée.
La transformation utilisée pour la génération de l'identité dérivée peut être une fonction déterministe de sorte que, par application de la transformation à l'identité d'origine, il en résulte toujours la même identité dérivée (cette identité dérivée est donc unique pour une transformation donnée) et que cette même identité dérivée puisse être retrouvée de manière certaine par application de cette transformation à l'identité d'origine.
La présente invention permet avantageusement de substituer à un support matériel de données un objet mobile communicant de l'utilisateur pour la mise en oeuvre d'une authentification de l'utilisateur. Ainsi la fonction d'authentification de l'identité de l'utilisateur (effectuée habituellement à partir d'une carte bancaire, d'une carte SESAM-Vitale ou autre) est effectuée en deux temps : - au moyen de l'objet mobile communicant en ce qui concerne la première partie de la phase de vérification d'identité, cette première partie comprenant une comparaison d'une donnée d'authentification saisie par un utilisateur avec une donnée d'authentification stockée dans l'objet mobile communicant, et - au moyen de la plateforme en ce qui concerne la deuxième partie de la phase de vérification d'identité, cette deuxième partie comprenant une vérification effectuée sur l'identité dérivée en relation avec l'identité d'origine. Le procédé d'authentification décrit ici repose sur un mécanisme d'authentification forte en ce qu'il est nécessaire pour procéder à cette authentification de plusieurs facteurs d'authentification : 1) d'accéder à l'objet mobile communicant de l'utilisateur, 2) d'obtenir au moins une donnée propre à l'utilisateur, 3) de vérifier l'identité dérivée relativement à l'identité d'origine. Selon ce procédé, n'est plus nécessaire de transmettre l'identité dérivée via un réseau de télécommunication pour effectuer la vérification d'identité. Par exemple, il n'est plus nécessaire de pouvoir communiquer avec l'objet mobile communicant pour pouvoir obtenir l'identité dérivée. Ce qui permet par exemple, en cas d'absence de connexion réseau avec l'objet mobile communicant, de faire appel à un mécanisme d'authentification de l'utilisateur ne nécessitant pas de communiquer via un réseau de télécommunication avec l'objet mobile communicant : par exemple un mécanisme de type défi / réponse (« challenge / response » selon la terminologie anglo-saxonne). Il peut par exemple être procédé à une authentification de l'utilisateur en communiquant avec un terminal via lequel l'utilisateur demande à accéder à un service, en demandant à cet utilisateur d'envoyer au moyen de ce terminal une réponse à un défi proposé sur ce terminal ou sur l'objet mobile communicant. Enfin, puisque les deuxièmes données d'identification représentatives de l'identité dérivée sont stockées dans une plateforme d'authentification et non plus dans le terminal, il n'y a plus de contraintes liées aux capacités limitées de stockage de données de l'objet communicant. La solution est donc applicable à un plus grand nombre d'objet mobile communicant. Dans un mode de réalisation du procédé d'authentification, la génération des deuxièmes données d'identification est effectuée en outre à partir de ladite donnée de contact et/ou d'un identifiant d'un module de sécurité présent dans l'objet mobile communicant et/ou d'une donnée propre à l'objet mobile communicant. Ceci permet de lier fortement l'identité dérivée à l'objet mobile communicant, en ce qu'il est possible de vérifier si l'identité dérivée a été générée pour un objet mobile communicant donné ou un autre objet mobile communicant par analyse de cette identité dérivée. Par exemple, lorsque la transformation utilisée pour générer l'identité dérivée est déterministe, il suffit de régénérer cette identité dérivée à partir de l'identité d'origine et d'une donnée de contact d'un objet mobile communicant puis de comparer cette identité dérivée à celle mémorisée dans la plateforme. Dans un mode de réalisation, le procédé d'authentification comprend en outre une étape d'envoi vers l'objet mobile communicant d'un message comprenant des données d'installation d'une application logicielle d'authentification à exécuter par l'objet mobile communicant, ladite application logicielle d'authentification étant conçue pour exécuter ladite opération d'authentification. Ceci permet une installation automatisée de l'application logicielle dans l'objet mobile communicant. Aucune configuration préalable de l'objet communicant n'est en outre requise. Dans un mode de réalisation du procédé d'authentification, les deuxièmes données d'identification sont mémorisées par une dite plateforme, par exemple une plateforme opérateur, en association avec les premières données d'identification. L'identité d'origine peut ainsi être retrouvée à partir d'une part, de l'association mémorisée entre la donnée de contact et l'identité dérivée, d'autre part, de l'association mémorisée entre l'identité dérivée et l'identité d'origine. Cette identité d'origine peut donc être retrouvée même en l'absence d'une connexion réseau avec l'objet mobile communicant. Dans un mode de réalisation du procédé d'authentification, ladite étape de vérification d'identité comprend une vérification de non répudiation de l'identité d'origine à partir des premières données d'identification mémorisées en association avec les deuxièmes données d'identification. L'identité d'origine est ainsi le moyen de contrôler la non répudiation et la validité des identités. Ceci rend la solution d'authentification applicable à tous les systèmes dans lesquelles on dispose déjà d'un système de gestion des identités qui assure le contrôle de l'authenticité, non répudiation et la validité des identités affectées à des utilisateurs. Dans un mode de réalisation du procédé d'authentification, ladite étape de vérification d'identité comprend une vérification des deuxièmes données d'identification mémorisées en association avec la donnée de contact dudit objet mobile communicant. Cette vérification est effectuée par exemple en recherchant si les deuxièmes données d'identification mémorisées en association avec la donnée de contact dudit objet mobile communicant sont par ailleurs mémorisées en association avec des premières données d'identification représentatives d'une identité d'origine. Ainsi par comparaison, sur la base des deux associations mémorisées, on peut vérifier l'identité dérivée, notamment l'intégrité de cette identité dérivée. Dans un mode de réalisation, le procédé d'authentification comprend en outre lors de l'exécution de ladite opération d'authentification: - une interrogation de l'utilisateur pour demander à l'utilisateur de fournir au moins une donnée propre à l'utilisateur, - une vérification de ladite au moins une donnée propre fournie par l'utilisateur par comparaison avec ladite au moins une donnée propre à l'utilisateur stockée dans la mémoire de l'objet mobile communicant. Dans un mode de réalisation du procédé d'authentification, les premières données d'identification sont lues par un lecteur dudit support matériel de données puis transmises vers un serveur de gestion d'identité pour vérification desdites premières données d'identification. Ceci permet de s'assurer qu'une identité dérivée ne pourra être obtenue pour une identité d'origine non valide ou répudiée. Dans un mode de réalisation du procédé d'authentification, les deuxièmes données d'identification sont ainsi générées sous condition de vérification de l'intégrité desdites premières données d'identification obtenues.
Dans un mode de réalisation, le procédé d'authentification comprend en outre, en cas de succès de l'étape de vérification d'identité, une étape de génération d'une clef cryptographique propre à l'utilisateur destinée à être utilisée pour signer et/ou chiffrer numériquement des données. Ceci permet à l'utilisateur de bénéficier d'un système d'audit / de traçabilité des opérations qu'il demande à effectuer lorsqu'il a été authentifié. Une association entre cette clef cryptographique et l'identité d'origine et / ou l'identité dérivée peut être créée soit pour une transaction donnée effectuée suite à une authentification mise en oeuvre au moyen du procédé d'authentification selon l'invention, soit pour un ensemble de transactions, chacun de ses transactions requérant le mise en oeuvre préalable du procédé d'authentification selon l'invention. Les différents modes de réalisation mentionnés ci-dessus sont combinables entre eux pour la mise en oeuvre de l'invention. L'invention concerne, selon un deuxième aspect, une plateforme pour la mise en oeuvre d'un procédé d'authentification d'un utilisateur auquel est attribué un support matériel de données, porteur de premières données d'identification représentatives d'une identité d'origine affectée à l'utilisateur, la plateforme comportant: - des moyens de génération, à partir au moins des premières données d'identification, de deuxièmes données d'identification représentatives d'une identité dérivée de l'identité d'origine, - des moyens de mémorisation des deuxièmes données d'identification en association avec des données de contact d'un objet mobile communicant apte à exécuter une opération d'authentification d'un utilisateur à partir d'au moins une donnée propre à l'utilisateur stockée dans une mémoire de l'objet mobile communicant, - des moyens d'envoi vers l'objet mobile communicant d'un message déclenchant une exécution par l'objet mobile communiquant de l'opération d'authentification à partir d'au moins une donnée propre fournie par l'utilisateur et de ladite au moins une donnée propre à l'utilisateur stockée dans la mémoire de l'objet mobile communicant, - des moyens de réception d'un message signalant un succès de ladite opération d'authentification, - des moyens de déclenchement d'une étape de vérification d'identité à partir des deuxièmes données d'identification mémorisées par ladite plateforme en association avec la donnée de contact dudit objet communicant. Les avantages énoncés pour le procédé d'authentification selon l'invention sont transposables directement à la plateforme selon l'invention. L'invention concerne, selon un troisième aspect, un objet mobile communicant d'un utilisateur auquel est attribué un support matériel de données, porteur de premières données d'identification représentatives d'une identité d'origine affectée à l'utilisateur, ledit objet mobile comprenant - des moyens pour exécuter une opération d'authentification d'un utilisateur à partir d'au moins une donnée propre à l'utilisateur stockée dans une mémoire de l'objet mobile communicant, - des moyens de réception, en provenance d'une plateforme d'un système d'authentification, d'un message déclenchant une exécution par l'objet mobile communiquant de l'opération d'authentification à partir d'au moins une donnée propre fournie par l'utilisateur et de ladite au moins une donnée propre à l'utilisateur stockée dans la mémoire de l'objet mobile communicant, - des moyens d'envoi à ladite plateforme d'un message signalant un succès de ladite opération d'authentification, ledit message déclenchant une étape de vérification d'identité à partir de deuxièmes données d'identification, représentatives d'une identité dérivée de l'identité d'origine, mémorisées en association avec des données de contact dudit objet mobile communicant par ladite plateforme. L'invention concerne, selon un quatrième aspect, un terminal comprenant un objet mobile communicant selon l'invention. Les avantages énoncés pour le procédé d'authentification selon l'invention sont transposables directement à la plateforme, à l'objet communicant et au terminal selon l'invention.
Selon une implémentation, les différentes étapes du procédé d'authentification sont mises en oeuvre par un logiciel ou programme d'ordinateur. L'invention concerne ainsi un logiciel ou programme, susceptible d'être exécuté par un ordinateur ou par un processeur de données, ce logiciel / programme comportant des instructions pour commander l'exécution des étapes d'un procédé d'authentification. Ces instructions sont destinées à être stockées dans une mémoire d'un dispositif informatique, chargées puis exécutées par un processeur de ce dispositif informatique. Ce logiciel / programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme 30 souhaitable. Le dispositif informatique peut être mis en oeuvre par une ou plusieurs machines physiquement distinctes et présente globalement l'architecture d'un ordinateur, incluant des constituants d'une telle architecture: mémoire(s) de données, processeur(s), bus de communication, interface(s) matérielle(s) pour la connexion de ce dispositif informatique à un 35 réseau ou un autre équipement, interface(s) utilisateur, etc. L'invention concerne aussi un support d'informations comportant des instructions d'un programme tel que mentionné ci-dessus. Le support d'informations peut être n'importe quelle entité ou dispositif capable de stocker le programme. Dans un mode de réalisation, les différentes étapes du procédé d'authentification sont mises en oeuvre par un ensemble d'au moins une plateforme, constituant un système d'authentification, chaque plateforme de cet ensemble étant dotée des moyens suivants: - des moyens de stockage, notamment une mémoire, pour le stockage d'instructions de programme conçues pour commander l'exécution des étapes d'un procédé d'authentification; - des moyens de traitement de données, comprenant notamment un processeur de données, apte à exécuter les instructions de programme stockées afin de mettre en oeuvre les étapes correspondantes du procédé d'authentification. Chaque plateforme de ce système d'authentification comprend des moyens de mise en oeuvre d'au moins certaines étapes du procédé d'authentification selon ce qui est décrit ci-dessous pour la plateforme concernée. Ces moyens sont des modules logiciels (software) et/ou matériels (hardware). Dans cette optique, le terme "module" correspond dans ce document à un composant logiciel, à un composant matériel ou bien à un ensemble de composants matériels et/ou logiciels, apte à mettre en oeuvre une fonction ou un ensemble de fonctions, selon ce qui est décrit ci-dessous pour le module concerné.
D'autres buts, caractéristiques et avantages de l'invention apparaîtront à travers la description qui va suivre, donnée uniquement à titre d'exemple non limitatif, et faite par référence aux dessins annexés dans lesquels: - la figure 1 illustre schématiquement les échanges entres des plateformes du système 25 d'authentification pour la mise en oeuvre d'une phase d'enrôlement du procédé d'authentification, - la figure 2 illustre schématiquement les échanges entres des plateformes du système d'authentification pour la mise en oeuvre d'une phase d'authentification du procédé d'authentification. 30 Le procédé d'authentification est utilisable pour authentifier un utilisateur demandant l'accès à un ou plusieurs services. Cet utilisateur U1 est porteur d'un support matériel de données SM1, comprenant des premières données d'identification DI01, représentatives d'une identité d'origine I01 affectée à l'utilisateur U1. 35 Le support matériel de données SM1 constitue un support d'identité. Il peut s'agir par exemple d'une carte personnelle portant un composant de sécurité, par exemple une carte de paiement, une carte bancaire, ou plus généralement une carte à puce donnant accès à des droits, telle que par exemple une carte SESAM-Vitale ouvrant, en France, droit à des soins de santé. En variante, il peut s'agir d'une pièce d'identité numérique (passeport, éventuellement biométrique, ou autre). Il peut également s'agir d'une carte avec un composant radio RFID (Radio Frequency Identification) ou NFC (Near Field Contact) adapté pour une lecture en champ proche. Un tel support matériel SM1 de données est conçu pour être lu par un appareil de lecture LC, par exemple un lecteur de carte à puce, une borne de lecture RFID ou NFC ou un lecteur dédié capable d'obtenir du support tout ou partie des données qui y sont stockées. L'accès aux données stockées dans le support matériel SM1 peut être sécurisé, par exemple nécessiter la saisie sur une interface utilisateur d'un appareil de lecture LC du support d'un code / mot de passe, propre à un utilisateur. Le procédé d'authentification est utilisable pour authentifier un utilisateur avant d'autoriser l'accès à un ou plusieurs services. Un tel service peut être un service d'accès à des données bancaires, ou à des données d'un dossier médical, ou autres données. Un service précité peut également être un service d'exécution d'une transaction électronique. Généralement, l'accès au service et/ou aux données est autorisé après vérification du support matériel de données SM1. Des droits d'accès sont définis pour cet utilisateur et mémorisés en association avec l'identité d'origine 101 représentée par les premières données d'identification DIO1 stockées dans le support matériel de données SM1. Le procédé d'authentification qui est décrit dans ce document permet d'authentifier un utilisateur au moyen d'un objet mobile communicant T1 de l'utilisateur Ul, utilisé en lieu et place du support matériel de données SM1, et de vérifier s'il bénéficie des droits nécessaires pour l'accès au service demandé ou pour l'exécution de la transaction demandée en retrouvant l'identité d'origine à partir de l'objet mobile communicant T1. Le procédé d'authentification repose notamment sur la réalisation d'une association entre l'objet mobile communicant T1 et le support matériel de données SM1, au moyen d'une identité dérivée ID1 de l'identité d'origine I01. Cette identité dérivée ID1 sert de lien logique entre l'objet mobile communicant T1 et le support matériel de données SM1.
Le procédé d'authentification est mis en oeuvre au moyen d'un système d'authentification comprenant plusieurs plateformes coopérant entre elles et communiquant au travers d'au moins un réseau de télécommunication, par exemple au travers du réseau Internet. Ce système d'authentification comprend ainsi une plateforme d'association PFass, qui reçoit les demandes d'inscription / désinscription d'un utilisateur au système d'authentification et procède à un enregistrement d'une association entre une identité dérivée et une identité d'origine, - une plateforme opérateur PFop, apte à communiquer avec un objet mobile communicant T1 au travers d'un réseau de télécommunication Rop, par exemple au travers d'un réseau de téléphonie mobile, et qui mémorise, pour chaque objet mobile communicant T1 autorisé à utiliser le service, une association entre une donnée de contact DC1 de cet objet mobile communicant T1 et une identité dérivée associée; - une plateforme frontale PFin, qui reçoit les demandes d'authentification pour l'accès à un service; - une plateforme de gestion d'identité PFgi, qui gère et stocke dans une base de données les identités d'origine affectées aux différents utilisateurs et est en charge de la vérification de ces identités d'origine, ainsi que de leur éventuelle répudiation ; - une plateforme de service PFse pour l'accès à un service Ces différentes plateformes communiquent entre elles au travers d'un réseau de télécommunication, par exemple au travers du réseau Internet ou d'un réseau privé. Elles utilisent un protocole de communication compatible avec ce réseau pour se transmettre des messages, par exemple protocole http ou autre. Ces différentes plateformes peuvent être distinctes physiquement ou bien intégrées dans un même équipement physique unique. Plus généralement, les différentes fonctions décrites pour ces différentes plateformes peuvent être mises en oeuvre dans un ou plusieurs équipements physiquement distincts et réparties selon les besoins entre ces équipements physiques.
Chaque plateforme du système d'authentification est une entité réseau, localisée dans une infrastructure réseau, plateforme de service ou serveur informatique, mettant en oeuvre pour une pluralité d'utilisateurs les fonctionnalités de service décrites dans ce document pour cette plateforme. La plateforme opérateur PFop est par exemple localisée dans une infrastructure réseau d'un opérateur de réseau. La plateforme de gestion d'identité PFgi est par exemple localisée dans une infrastructure réseau d'une société gérant les identités d'origine. Phase d'enrôlement et d'association Le procédé d'authentification comprend une première phase, dite d'enrôlement, lors de laquelle une identité dérivée est affectée à un utilisateur U1. Pour la mise en oeuvre de cette première phase, l'utilisateur U1 doit être doté du support matériel de données SM1 et de l'objet mobile communicant T1 entre lesquels une association sera effectuée. L'objet mobile communicant T1 est équipé d'un module de sécurité, comprenant une mémoire permettant de stocker de manière sécurisée des données, un microcontrôleur capable d'exécuter une application logicielle d'authentification. Ce module de sécurité est par exemple une carte à puce de type SIM (Subscriber Identity Module), USIM (Universal Subscriber Identity Module) ou SE (Secure Element).
Cette première phase comprend les étapes E100 à E180. Lors de l'étape E100, un utilisateur se connecte à la plateforme d'association PFass et formule une demande d'inscription au système d'authentification. Pour cela, l'utilisateur utilise un appareil de lecture LC du support matériel de données SM1 sur lequel sont stockées des premières données d'identification DIO1 représentatives d'une identité d'origine I01. L'appareil de lecture LC est connecté avec la plateforme d'association PFass qui met en oeuvre un service d'inscription: l'appareil de lecture LC lit les premières données d'identification DIO1 stockées dans le support matériel de données SM1, et les transmet à la plateforme d'association PFass avec la demande d'inscription au système d'authentification. La lecture de ces données stockées dans le support matériel de données SM1 peut être conditionnée à la saisie par l'utilisateur d'un code ou mot de passe propre à cet utilisateur. La plateforme d'association PFass procède ensuite à la vérification (étape E110) de l'identité d'origine 101 préalablement à la génération d'une identité dérivée ID1. Lors de l'étape E110, la plateforme d'association PFass transmet les premières données d'identification DIO1 à la plateforme de gestion d'identité PFgi pour vérification de la validité des premières données d'identification DI01. La plateforme de gestion d'identité PFgi vérifie si ces premières données d'identification DIO1 sont valides, en particulier qu'elles figurent bien dans une liste de données d'identité valides et que l'identité d'origine 101 représentée par ces données n'a pas été répudiée. Si c'est bien le cas, la plateforme de gestion d'identité PFgi renvoie un message à la plateforme d'association PFass pour lui indiquer que les premières données d'identification DIO1 transmises sont valides. Dans le cas contraire, le procédé d'authentification se termine avec l'envoi par la plateforme d'association PFass d'un message informant l'utilisateur U1 de la non validité de l'identité d'origine 101 stockée sur le support matériel de données SM1.
Lors de l'étape E120, lorsque les premières données d'identification DIO1 sont valides, la plateforme d'association PFass demande à l'utilisateur U1 d'entrer au moins une donnée de contact DC1 de l'objet mobile communicant T1 : soit un identifiant associé de manière biunivoque à l'objet mobile communicant T1, soit un identifiant associé de manière biunivoque au module de sécurité de cet objet mobile communicant Tl.
Lors de l'étape E130, l'utilisateur U1 fournit les données de contact demandées. En pratique, lorsque l'objet mobile communicant T1 est un terminal de téléphonie et que le module de sécurité est une carte SIM / USIM / SE ou équivalent, l'utilisateur U1 saisit par exemple le MSISDN (Mobile Station International Subscriber Directory Number) de son terminal de téléphonie mobile ou un identifiant de la carte SIM / SE ou une autre donnée de contact DC1 permettant d'identifier l'objet mobile communicant T1 et d'établir une communication avec cet objet mobile communicant Ti. La saisie de la donnée de contact DC1 peut être effectuée au moyen d'un clavier présent sur l'appareil de lecture LC. A défaut, une connexion pourra être établie par l'objet mobile communiquant avec la plateforme d'association PFass et la saisie sera effectuée au moyen d'une interface de saisie de cet objet mobile communicant T1.
Dans un mode de réalisation, les étapes E140 et E150 sont ajoutées avant exécution de l'étape E160 pour vérification que la donnée de contact DC1 fournie est bien correcte. Lors de l'étape E140, afin de vérifier que la donnée de contact DC1 saisie pour l'objet mobile communicant T1 est correcte, un message est envoyé sur demande de la plateforme d'association PFass vers l'objet mobile communicant T1 identifié par cette donnée de contact DC1 par l'intermédiaire de la plateforme opérateur PFop et du réseau de télécommunication Rop associé. Ce message peut être un SMS, par exemple conforme à la norme ETSI 102 225 : le message est soit un message interprété par une application exécutée dans le module de sécurité pour son affichage, soit un simple SMS texte. Ce message contient par exemple un code, par exemple numérique, généré aléatoirement, que l'utilisateur doit ensuite saisir sur l'appareil de lecture LC et/ou son objet mobile communicant T1. A l'étape E150, le code saisi est transmis par l'appareil de lecture LC et/ou l'objet mobile communicant T1 vers la plateforme d'association PFass ou la plateforme opérateur PFop qui y est connectée pour vérification que le code saisi est bien identique au code envoyé.
A l'étape E160, si le code saisi est bien identique au code envoyé, la plateforme d'association PFass envoie ensuite, par l'intermédiaire de la plateforme opérateur PFop et d'un réseau de télécommunication Rop associé, un message vers l'objet mobile communicant T1. Le message est par exemple un message SMS (Short Message Service) envoyé en utilisant la technologie OTA (« over the air ») qui permet de mettre à jour ou d'enrichir les services / applications mis en oeuvre par une carte SIM. Cette technologie est décrite notamment dans la spécification TS 31.115 définie par l'organisme 3GPP (« Third Generation Partnership Project ») ou plus globalement dans la spécification ETSI TS 102 225. Tous les terminaux mobiles utilisant une carte SIM sont compatibles avec de tels messages. Dans un mode de réalisation, ce message contient des données d'installation d'une application logicielle d'authentification, exécutable par l'objet mobile communicant T1, notamment par le module de sécurité de l'objet mobile communicant T1. Ces données d'installation sont par exemple constituées par un lien hypertexte. Lorsque, à réception de ce message sécurisé, l'utilisateur clique sur le lien hypertexte, le processus de téléchargement et d'installation de l'application logicielle d'authentification dans le module de sécurité est déclenché automatiquement. A l'étape E165, à réception de ce message, l'application logicielle d'authentification est installée dans l'objet mobile communicant T1, notamment dans le module de sécurité de l'objet mobile communicant T1. Au moins une donnée propre à l'utilisateur est également stockée dans l'objet mobile communicant T1, notamment dans le module de sécurité de l'objet mobile communicant T1.
Une première association est ainsi matérialisée dans l'objet mobile communicant T1 entre cet objet mobile communicant T1 et l'utilisateur (au moins une donnée propre à l'utilisateur). La donnée propre à l'utilisateur peut être - générée par la plateforme d'association PFass ou la plateforme opérateur PFop puis incorporée dans le message envoyé à l'étape E160 pour être mémorisée par l'application logicielle d'authentification après son installation et communiquée à l'utilisateur par cette application logicielle, ou - générée par la la plateforme d'association PFass ou la plateforme opérateur PFop puis encodée directement dans le code logiciel de l'application logicielle d'authentification à télécharger et communiquée à l'utilisateur par cette application logicielle, ou - entrée sur une interface utilisateur de l'objet mobile communicant T1 de l'utilisateur après installation de l'application logicielle d'authentification et exécution d'une fonction d'activation d'une interface utilisateur d'entrée de cette donnée propre.
La donnée propre à cet utilisateur peut être un mot de passe, un code numérique ou alphanumérique, une empreinte digitale, des données biométriques etc. La donnée propre est choisie librement par l'utilisateur ou contrainte en nombre de caractères et/ou en forme (lettres, chiffres, caractères spéciaux, etc). Cette donnée propre est connue seulement de cet utilisateur. Dans une variante de réalisation, plusieurs données propres sont requises : par exemple une empreinte digitale et un mot de passe. A l'étape E170, la plateforme d'association PFass génère une identité dérivée identité dérivée ID1 de l'identité d'origine 101 et mémorise les deuxièmes données d'identification DID1 représentatives de cette identité dérivée ID1 en association avec l'identité d'origine I01.
Une deuxième association est mémorisée entre l'identité d'origine (premières données d'identification DIO1) et l'identité dérivée ID1 (deuxièmes données d'identification DID1) dans la plateforme d'association PFass. L'identité dérivée ID1 est obtenue par application d'une fonction de transformation à l'identité d'origine. En variante, cette identité dérivée ID1 est obtenue par application d'une fonction de transformation combinant l'identité d'origine et la donnée de contact DC1 de l'objet mobile communicant T1. Le fait de combiner ces deux informations renforce la sécurité de l'association définie entre l'objet mobile communicant T1 et l'identité dérivée ID1 en ce qu'en cas d'utilisation d'un autre objet mobile communicant T1, il pourra être détecté que cet autre objet mobile communicant T1 n'est pas celui utilisé lors de la phase de génération d'identité dérivée ID1. Il est possible de combiner l'identité d'origine avec une autre donnée pour la génération de l'identité dérivée : - un identifiant de l'objet mobile communicant T1 et/ou du module de sécurité de cet l'objet mobile communicant T1 et/ou - une donnée propre à l'objet mobile communicant T1 et/ou au module de sécurité de cet l'objet mobile communicant T1.
La fonction de transformation utilisée est par exemple fonction de hachage, de chiffrement, ou toute autre fonction mathématique adaptée. Cette fonction de transformation peut ou non être réversible, selon que l'on souhaite ou non pouvoir retrouver l'identité d'origine 101 à partir de l'identité dérivée ID1. L'identité dérivée ID1 peut se présenter sous la forme d'un code alphanumérique sans signification particulière afin de garantir un anonymat. La longueur de ce code alphanumérique doit être suffisamment élevée pour optimiser l'entropie de la solution de sécurité et garantir que l'identité dérivée ID1 qui en résulte soit unique, et donc propre à un utilisateur et un seul. Puis, lors d'une étape E180, la plateforme d'association PFass envoie l'identité dérivée à la plateforme opérateur PFop pour mémorisation en association avec la donnée de contact DC1 de l'objet mobile communicant T1. Une troisième association est aussi mémorisée entre l'objet mobile communicant T1 (donnée de contact DC1) et l'identité dérivée ID1 (deuxièmes données d'identification DID1) dans la plateforme opérateur PFop.
Avec la première association mémorisée dans l'objet mobile communicant T1, la deuxième association mémorisée dans la plateforme d'association PFass, et la troisième association mémorisée dans la plateforme opérateur PFop, une triple association est donc constituée entre l'objet mobile communicant T1, la donnée propre à l'utilisateur, l'identité dérivée ID1 et le support matériel SM1 de données, porteur de l'identité d'origine I01. L'identité dérivée ID1 est ainsi fortement liée au support matériel SM1 de données et à son porteur, au moyen notamment de l'objet mobile communicant T1. La phase d'authentification qui va maintenant être décrite repose donc sur une réconciliation permettant, au travers des différentes associations mémorisées, de retrouver l'identité d'origine de l'utilisateur et d'effectuer une vérification de la validité de celle-ci. L'identité dérivée, peut, contrairement à l'identité d'origine, être strictement anonyme et ne pas divulguer l'identité réelle de l'utilisateur U1 concerné. Ainsi l'identité dérivée ID1 permet de limiter la circulation de l'identité d'origine et surtout sa mémorisation ailleurs que chez son gestionnaire.
Phase d'authentification Cette deuxième phase comprend les étapes E200 à E280. Cette deuxième phase permet l'authentification forte d'un utilisateur préalablement à l'accès à un service : accès à des données personnelles, accès à un espace de stockage de données, accès à un service en ligne, accès à des contenus et/ou exécution une transaction, par exemple en rapport avec des données personnelles, des données personnelles, un service en ligne, des contenus. Lors de l'étape initiale E200, l'utilisateur se connecte à une plateforme de service PFse, hébergeant le service visé. Avant d'ouvrir l'accès à l'utilisateur, cette plate-forme de service PFse va envoyer une requête d'authentification à la plateforme frontale PFin, servant de plateforme frontale pour l'authentification/identification de l'utilisateur. Le rôle de cette plateforme frontale PFin est de faire le lien avec les autres plateformes ayant procédé dans la phase d'enrôlement à la mémorisation des différentes associations. Dans ce but, l'utilisateur utilise un terminal T2 adapté pour se connecter à la plateforme de service PFse et envoyer une demande d'accès à un service. Ce terminal T2 peut être identique ou différent de l'objet mobile communicant / du terminal T1 utilisé dans la phase d'enrôlement. Par exemple, la plateforme de service PFse comprend un serveur Web, mettant en oeuvre une interface de communication utilisant un protocole Web tel que le protocole HTTP (« hypertext transfer protocol »). Dans ce cas, la demande d'accès au service provient d'un terminal T2 de l'utilisateur, intégrant un navigateur web communiquant avec la plateforme de service PFse par requête HTTP pour l'envoi de la demande d'accès au service. La demande d'accès est accompagnée d'une donnée de contact DC1 de l'objet mobile communicant T1 utilisé dans la phase d'enrôlement.
Lors de l'étape E210, suite à la réception de la demande d'accès au service, la plateforme de service PFse envoie un message à la plateforme frontale PFin pour lui demander de procéder à l'authentification de l'utilisateur et lui transmet dans ce but la donnée de contact DC1 de l'objet mobile communicant Ti.
Puis, la plateforme frontale PFin déclenche l'envoi d'un message vers l'objet mobile communicant T1 par l'intermédiaire de la plateforme opérateur PFop et du réseau de télécommunication Rop associé. Ce message déclenche l'exécution par l'objet mobile communicant T1 de l'application logicielle d'authentification installée lors de l'étape E165. Lors de l'étape E220, l'exécution de l'application logicielle d'authentification est démarrée par l'objet mobile communicant T1, notamment par le module de sécurité de l'objet mobile communicant Ti. Cette application logicielle d'authentification déclenche la présentation à l'utilisateur d'une interface utilisateur d'entrée de données d'au moins une donnée propre à l'utilisateur. Lors de l'étape E230, l'utilisateur saisit ou fournit au moyen de cette interface utilisateur d'entrée de données une ou des données propres à l'utilisateur, devant a priori être identiques ou correspondre à celles ayant été stockées lors de la phase d'enrôlement.
Lors de l'étape E240, l'application logicielle d'authentification vérifie si les données propres à l'utilisateur fournies lors de l'étape E230 sont identiques à celles stockées lors de l'étape E165 lors de la phase d'enrôlement. Dans l'affirmative, l'application logicielle d'authentification envoie vers la plateforme frontale PFin, par l'intermédiaire de la plateforme opérateur PFop et du réseau de télécommunication Rop associé, un message signalant le succès de l'opération d'authentification exécutée par l'application logicielle d'authentification. Ce message comprend un identifiant de l'opération d'authentification, une date et, optionnellement une signature numérique de l'application logicielle d'authentification. La technologie « Mobile Connect » spécifiée dans le cadre de l'association d'opérateurs GSMA est utilisable dans ce but.
Dans le cas contraire, l'application logicielle d'authentification envoie vers la plateforme frontale PFin, par l'intermédiaire de la plateforme opérateur PFop et du réseau de télécommunication Rop associé, un message signalant l'échec de l'opération d'authentification exécutée par l'application logicielle d'authentification. La phase d'authentification se termine alors et l'utilisateur en est informé via le terminal T2 utilisé pour se connecter à la plateforme de service PFse. Lors de l'étape E250, en cas de réception d'un message signalant le succès de l'opération d'authentification exécutée par l'application logicielle d'authentification, la plateforme opérateur PFop retransmet ce résultat à la plate-forme frontale PFin en y adjoignant l'identité dérivée ID1, c'est-à-dire les deuxièmes données d'identification DID1 stockées en association avec les données de contact de l'objet mobile communicant Ti. La plateforme frontale PFin interroge alors la plateforme d'association PFass pour obtention de l'identité d'origine, après vérification des deuxièmes données d'identification DID1.
Lors de l'étape E260, la plateforme d'association PFass effectue une vérification de la validité des deuxièmes données d'identification DID1 reçues auprès de la plateforme PFgi. Dans ce but, la plateforme de gestion d'association PFass recherche d'abord si les deuxièmes données d'identification DID1 sont stockées en association avec des premières données d'identification DI01. Dans l'affirmative, la plateforme de gestion d'identité PFgi est sollicitée par la plateforme d'association PFass pour vérifier si l'identité d'origine 101 représentée par ces premières données d'identification DIO1 n'a pas été répudiée et/ou est toujours valide. A l'issue de l'étape E250, la plateforme de gestion d'identité PFgi renvoie une réponse à la plateforme d'association PFass sur le résultat de la vérification de l'identité d'origine. Lors de l'étape E270, en cas de succès de l'authentification de l'utilisateur U1, la plateforme frontale PFin transmet à la plateforme de service PFse, en tant que résultat de la demande d'authentification reçue par la plateforme frontale PFin à l'étape E210, un message de réponse. Ce message de réponse comprend par exemple l'identité d'origine 101 de l'utilisateur. En fonction des droits attribués à l'utilisateur, la plateforme de service PFse autorise alors ou non l'accès au service demandé par cet utilisateur.
Par exemple, autorise l'accès à des données, à un espace de stockage sécurisé, à un module d'exécution d'une transaction, etc. Une clef cryptographique propre à l'utilisateur peut en outre être générée pour signer et/ou chiffrer des données / un message / un contenu que l'utilisateur souhaiterait transmettre dans le cadre de la mise en oeuvre du service. Lors de l'étape E280 une transaction électronique est par exemple exécutée : par exemple un accès à des données, une transmission de données, etc. Si dans le cadre de l'accès au service, l'utilisateur demande à exécuter une transaction, incluant une transmission de données vers un tiers destinataire, les données transmises peuvent être signées et/ou chiffres au moyen de la clef cryptographique reçue. Ceci permet une traçabilité et un audit des transactions effectuées par un utilisateur.
Phase de désinscription du système d'authentification La désinscription / désactivation peut avoir lieu à la demande de l'utilisateur. Dans ce cas, l'utilisateur peut demander la désinstallation de l'application logicielle d'authentification et/ou demander la suppression de l'association mémorisée entre l'identité dérivée et l'identité d'origine. L'utilisateur déclenche par exemple l'exécution de l'application logicielle d'authentification. Cette application demande à l'utilisateur de fournir au moins une donnée propre à l'utilisateur. Si la donnée propre fournie par l'utilisateur est correcte, l'application logicielle d'authentification notifie, par l'intermédiaire de la plateforme opérateur PFop et du réseau de télécommunication Rop associé, la plateforme d'association PFass de la demande de suppression de l'association mémorisée entre l'identité dérivée et l'identité d'origine. La plateforme opérateur PFop supprime l'association mémorisée à son niveau entre l'identité dérivée et la donnée de contact DC1 de l'objet mobile communicant T1. La plateforme d'association PFass supprime l'association mémorisée à son niveau entre l'identité dérivée et l'identité d'origine. L'application logicielle d'authentification peut ensuite être désinstallée de l'objet mobile communicant Tl. La désinscription / désactivation peut avoir lieu à la demande d'un gestionnaire du service de gestion d'association, en vue d'empêcher l'authentification d'un utilisateur, par exemple lorsque l'objet mobile communicant T1 est perdu ou a été volé.
Cette désinscription / désactivation peut consister à - supprimer la deuxième association mémorisée entre l'objet mobile communicant T1 (donnée de contact DC1) et l'identité dérivée ID1 (deuxièmes données d'identification DID1) dans la plateforme opérateur PFop; et/ou - supprimer la troisième association mémorisée entre l'identité dérivée ID1 et l'identité d'origine 101 dans la plateforme d'association PFass. La suppression de l'une de ces deux association rend impossible l'authentification de l'utilisateur puisque - la suppression de la deuxième association rend impossible la restitution de l'identité dérivée ID1 associée à l'objet mobile communicant T1, et la recherche subséquente de l'identité d'origine 101; - la suppression de la troisième association rend impossible la restitution de l'identité d'origine 101 associée à l'identité dérivée ID1 et la vérification de l'identité d'origine I01. La désinscription / désactivation peut avoir lieu à la demande d'un gestionnaire du service de gestion d'identité, en vue d'invalider les droits de l'utilisateur ou lorsque la validité du support matériel SM1 de données est expirée. Cette désinscription / désactivation peut consister à supprimer la troisième association est mémorisée entre l'identité dérivée ID1 et l'identité d'origine 101 dans la plateforme de d'association PFass. Cette suppression rend en effet impossible l'authentification de l'utilisateur puisque qu'elle rend impossible la restitution de l'identité d'origine 101 associée à l'identité dérivée ID1 et la vérification de l'identité d'origine I01, et ce même si la deuxième association devait être conservée au niveau de la plateforme opérateur PFop entre l'identité dérivée et la donnée de contact DC1. En alternative, cette désinscription / désactivation peut consister à modifier dans la plateforme de gestion d'identité PFgi les droits de l'utilisateur et/ou à procéder à une inscription de l'identité d'origine 101 dans une liste d'identités invalides et/ou répudiées. Dans une alternative comme dans l'autre, l'authentification de l'utilisateur échouera et l'accès au service demandé sera refusé. Changement du support matériel d'identité et/ou d'objet mobile communicant L'utilisateur demande la désinscription du système d'authentification puis envoie une nouvelle demande d'inscription au système d'authentification : la phase d'enrôlement est alors exécutée à nouveau pour le nouveau support matériel d'identité et/ou le nouvel objet mobile communicant. Trois nouvelles associations sont alors créées pour le support matériel SM1 d'identité courant et l'objet mobile communicant courant.
Le procédé d'authentification est applicable à de nombreux cas d'usage : - pour la mise en oeuvre d'échanges et de transactions dans le cadre de services électroniques, mis en oeuvre via Internet ou via un réseau de téléphonie, requérant une vérification de l'intégrité de l'identité d'un utilisateur, auquel est attribué un support matériel SM1 d'identité ; - pour la vérification d'identité impliquant la gestion de droits, notamment droits d'accès à un service, dans le but par exemple de lutter contre la fraude, et de protéger des usagers contre l'usurpation d'identité ; - dans le domaine de la santé et des services à distance, pour le contrôle des droits et des accès au dossier médical d'un patient, notamment dans tous les cas où la protection de l'anonymat du patient est souhaitée et où la connaissance de l'identité réelle du patient n'est pas impérative, voire sensible (cas d'une demande d'analyse effectuée par un laboratoire d'analyses par exemple).25

Claims (14)

  1. REVENDICATIONS1. Procédé d'authentification d'un utilisateur auquel est attribué un support matériel de données (SM1), porteur de premières données d'identification (DI01) représentatives d'une identité d'origine (I01) affectée à l'utilisateur, le procédé étant mis en oeuvre par au moins une plateforme (PFop, PFass, PFin, PFgi, PFse) d'un système d'authentification et comportant: - une phase de génération d'une identité dérivée comprenant : - une étape de génération, à partir au moins des premières données d'identification, de deuxièmes données d'identification (DID1) représentatives d'une identité dérivée (ID1) de l'identité d'origine, - une étape de mémorisation par une dite plateforme (PFop) des deuxièmes données d'identification en association avec des données de contact d'un objet mobile communicant apte à exécuter une opération d'authentification d'un utilisateur à partir d'au moins une donnée propre à l'utilisateur stockée dans une mémoire de l'objet mobile communicant, - une phase de vérification d'identité comprenant : - une étape d'envoi vers l'objet mobile communicant d'un message déclenchant une exécution par l'objet mobile communiquant de l'opération d'authentification à partir d'au moins une donnée propre fournie par l'utilisateur et de ladite au moins une donnée propre à l'utilisateur stockée dans la mémoire de l'objet mobile communicant, - une étape de réception d'un message signalant un succès de ladite opération d'authentification, - une étape de déclenchement, suite à la réception dudit message, d'une étape de vérification d'identité à partir des deuxièmes données d'identification mémorisées par ladite plateforme (PFop) en association avec la donnée de contact dudit objet communicant.
  2. 2. Procédé selon la revendication 1, dans lequel la génération des deuxièmes données d'identification est effectuée en outre à partir de ladite donnée de contact et/ou d'un identifiant d'un module de sécurité présent dans l'objet mobile communicant et/ou d'une donnée propre à l'objet mobile communicant.
  3. 3. Procédé selon la revendication 1 ou 2, une étape d'envoi vers l'objet mobile communicant d'un message comprenant des données d'installation d'une application logicielle d'authentification à exécuter par l'objet mobile communicant, ladite application logicielle d'authentification étant conçue pour exécuter ladite opération d'authentification.
  4. 4. Procédé selon l'une des revendications précédentes, dans lequel les deuxièmes données d'identification sont mémorisées par une dite plateforme (PFass) en association avec les premières données d'identification.
  5. 5. Procédé selon la revendication 4, dans lequel ladite étape de vérification d'identité comprend une vérification de non répudiation de l'identité d'origine à partir des premières données d'identification mémorisées en association avec les deuxièmes données d'identification.
  6. 6. Procédé selon la revendication 4 ou 5, dans lequel ladite étape de vérification d'identité comprend une vérification des deuxièmes données d'identification mémorisées en association avec la donnée de contact dudit objet mobile communicant.
  7. 7. Procédé selon l'une des revendications précédentes, comprenant lors de l'exécution de ladite opération d'authentification: - une interrogation de l'utilisateur pour demander à l'utilisateur de fournir au moins une donnée propre à l'utilisateur, - une vérification de ladite au moins une donnée propre fournie par l'utilisateur par comparaison avec ladite au moins une donnée propre à l'utilisateur stockée dans la mémoire de l'objet mobile communicant.
  8. 8. Procédé selon l'une des revendications précédentes, dans lequel les premières données d'identification sont lues par un lecteur dudit support matériel de données puis transmises vers un serveur de gestion d'identité pour vérification desdites premières données d'identification.
  9. 9. Procédé selon l'une des revendications précédentes, dans lequel les deuxièmes données d'identification sont générées sous condition de vérification de l'intégrité desdites premières données d'identification obtenues.
  10. 10. Procédé selon l'une des revendications précédentes, comprenant, en cas de succès de l'étape de vérification d'identité, une étape de génération d'une clef cryptographique propre à l'utilisateur destinée à être utilisée pour signer et/ou chiffrer numériquement des données.
  11. 11. Plateforme pour la mise en oeuvre d'un procédé d'authentification d'un utilisateur auquel est attribué un support matériel de données, porteur de premières données d'identification représentatives d'une identité d'origine affectée à l'utilisateur, la plateforme comportant: - des moyens de génération, à partir au moins des premières données d'identification, de deuxièmes données d'identification représentatives d'une identité dérivée de l'identité d'origine, - des moyens de mémorisation des deuxièmes données d'identification en associationavec des données de contact d'un objet mobile communicant apte à exécuter une opération d'authentification d'un utilisateur à partir d'au moins une donnée propre à l'utilisateur stockée dans une mémoire de l'objet mobile communicant, - des moyens d'envoi vers l'objet mobile communicant d'un message déclenchant une exécution par l'objet mobile communiquant de l'opération d'authentification à partir d'au moins une donnée propre fournie par l'utilisateur et de ladite au moins une donnée propre à l'utilisateur stockée dans la mémoire de l'objet mobile communicant, - des moyens de réception d'un message signalant un succès de ladite opération d'authentification, - des moyens de déclenchement d'une étape de vérification d'identité à partir des deuxièmes données d'identification mémorisées par ladite plateforme en association avec la donnée de contact dudit objet communicant.
  12. 12. Support d'enregistrement sur lequel est enregistré un programme comprenant des instructions de code de programme pour l'exécution des étapes d'un procédé selon l'une des revendications 1 à 10.
  13. 13. Objet mobile communicant d'un utilisateur auquel est attribué un support matériel de données, porteur de premières données d'identification représentatives d'une identité d'origine affectée à l'utilisateur, ledit objet mobile comprenant - des moyens pour exécuter une opération d'authentification d'un utilisateur à partir d'au moins une donnée propre à l'utilisateur stockée dans une mémoire de l'objet mobile communicant, - des moyens de réception, en provenance d'une plateforme d'un système d'authentification, d'un message déclenchant une exécution par l'objet mobile communiquant de l'opération d'authentification à partir d'au moins une donnée propre fournie par l'utilisateur et de ladite au moins une donnée propre à l'utilisateur stockée dans la mémoire de l'objet mobile communicant, - des moyens d'envoi à ladite plateforme d'un message signalant un succès de ladite opération d'authentification, ledit message déclenchant une étape de vérification d'identité à partir de deuxièmes données d'identification, représentatives d'une identité dérivée de l'identité d'origine, mémorisées en association avec des données de contact dudit objet mobile communicant par ladite plateforme.
  14. 14. Terminal (T1) comprenant un objet mobile communicant selon la revendication 13.
FR1456131A 2014-06-30 2014-06-30 Authentification d'un utilisateur Withdrawn FR3023039A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR1456131A FR3023039A1 (fr) 2014-06-30 2014-06-30 Authentification d'un utilisateur

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1456131A FR3023039A1 (fr) 2014-06-30 2014-06-30 Authentification d'un utilisateur

Publications (1)

Publication Number Publication Date
FR3023039A1 true FR3023039A1 (fr) 2016-01-01

Family

ID=51519053

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1456131A Withdrawn FR3023039A1 (fr) 2014-06-30 2014-06-30 Authentification d'un utilisateur

Country Status (1)

Country Link
FR (1) FR3023039A1 (fr)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005045649A1 (fr) * 2003-11-07 2005-05-19 Telecom Italia S.P.A. Procede et systeme d'authentification d'un utilisateur d'un systeme de traitement de donnees
EP1862936A2 (fr) * 2006-05-31 2007-12-05 Siemens Aktiengesellschaft Procédé d'identification d'un patient destiné à la saisie ultérieure sur un dossier patient électronique du patient grâce à un dispositif de communication d'une personne le demandant
EP2498472A1 (fr) * 2011-03-10 2012-09-12 France Telecom Système et procédé pour accorder l'accès à un système sécurisé
WO2013121127A1 (fr) * 2012-02-16 2013-08-22 Orange Securisation d'une transmission de donnees

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005045649A1 (fr) * 2003-11-07 2005-05-19 Telecom Italia S.P.A. Procede et systeme d'authentification d'un utilisateur d'un systeme de traitement de donnees
EP1862936A2 (fr) * 2006-05-31 2007-12-05 Siemens Aktiengesellschaft Procédé d'identification d'un patient destiné à la saisie ultérieure sur un dossier patient électronique du patient grâce à un dispositif de communication d'une personne le demandant
EP2498472A1 (fr) * 2011-03-10 2012-09-12 France Telecom Système et procédé pour accorder l'accès à un système sécurisé
WO2013121127A1 (fr) * 2012-02-16 2013-08-22 Orange Securisation d'une transmission de donnees

Similar Documents

Publication Publication Date Title
EP1549011A1 (fr) Procédé et système de communication entre un terminal et au moins un équipment communicant
EP2567502A2 (fr) Procede d'authentification d'un utilisateur requerant une transaction avec un fournisseur de service
EP2826005B1 (fr) Securisation d'une transmission de donnees
FR2989799A1 (fr) Procede de transfert d'un dispositif a un autre de droits d'acces a un service
WO2013021107A9 (fr) Procede, serveur et systeme d'authentification d'une personne
FR3048530B1 (fr) Systeme ouvert et securise de signature electronique et procede associe
EP2614458A2 (fr) Procede d'authentification pour l'acces a un site web
EP1645070B1 (fr) Methode de securisation d'un certificat electronique
EP2813962B1 (fr) Méthode de contrôle d'accès à un type de services spécifique et dispositif d'authentification pour le contrôle de l'accès à un tel type de services.
EP3757832B1 (fr) Système et procédé d'authentification d'une personne détentrice d'un titre d'identité à distance par un tiers
EP3570518B1 (fr) Systeme et procede d'authentification utilisant un jeton a usage unique de duree limitee
FR3114714A1 (fr) Procédé d’accès à un ensemble de données d’un utilisateur.
FR3023039A1 (fr) Authentification d'un utilisateur
EP2071799B1 (fr) Procédé et serveur pour l'accès a un coffre-fort électronique via plusieurs entités
FR3007929A1 (fr) Procede d'authentification d'un utilisateur d'un terminal mobile
WO2011023554A1 (fr) Dispositif électronique nomade configuré pour établir une communication sans fil sécurisé
WO2025125562A1 (fr) Procédé d'authentification d'un individu pour la mise en œuvre d'une transaction sur un terminal marchand
FR3140688A1 (fr) Procédé de gestion de données d’authentification permettant l’accès à un service d’un utilisateur depuis un terminal
FR3031609A1 (fr) Procede de traitement d'une transaction a partir d'un terminal de communication
EP2911083B1 (fr) Méthode d'accès aux données d'au moins une personne physique ou morale ou d'un objet
EP3029878A1 (fr) Procédé de transmission de secret à durée de vie limitée pour réaliser une transaction entre un terminal mobile et un équipement
FR3143143A1 (fr) Procédé de connexion à un compte personnel sur un service en ligne au moyen d’une chaîne de blocs
WO2022184726A1 (fr) Procédé pour permettre à des utilisateurs de déployer des contrats intelligents dans une chaîne de blocs au moyen d'une plateforme de déploiement
WO2008132393A2 (fr) Procédé et système d'authentification d'un utilisateur
FR3026875A1 (fr) Procedes de configuration d'un peripherique de type terminal connecte a un reseau afin de permettre une authentification forte d'un utilisateur

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20160101

ST Notification of lapse

Effective date: 20170228