[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

FR2973618A1 - Authentification forte par presentation du numero - Google Patents

Authentification forte par presentation du numero Download PDF

Info

Publication number
FR2973618A1
FR2973618A1 FR1152664A FR1152664A FR2973618A1 FR 2973618 A1 FR2973618 A1 FR 2973618A1 FR 1152664 A FR1152664 A FR 1152664A FR 1152664 A FR1152664 A FR 1152664A FR 2973618 A1 FR2973618 A1 FR 2973618A1
Authority
FR
France
Prior art keywords
user
information system
caller
time password
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1152664A
Other languages
English (en)
Other versions
FR2973618B1 (fr
Inventor
Benoit Ferlin
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ONEY BANK, FR
Original Assignee
BANQUE ACCORD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to FR1152664A priority Critical patent/FR2973618B1/fr
Application filed by BANQUE ACCORD filed Critical BANQUE ACCORD
Priority to RU2013148028/07A priority patent/RU2570838C2/ru
Priority to PCT/FR2012/050672 priority patent/WO2012131268A1/fr
Priority to EP12717417.5A priority patent/EP2692122A1/fr
Priority to CN201710912811.2A priority patent/CN107423975A/zh
Priority to CN201280016508.XA priority patent/CN103597806A/zh
Priority to US14/006,257 priority patent/US9602504B2/en
Publication of FR2973618A1 publication Critical patent/FR2973618A1/fr
Application granted granted Critical
Publication of FR2973618B1 publication Critical patent/FR2973618B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/325Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices using wireless networks
    • G06Q20/3255Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices using wireless networks using mobile network messaging services for payment, e.g. SMS
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/385Payment protocols; Details thereof using an alias or single-use codes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4012Verifying personal identification numbers [PIN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/57Arrangements for indicating or recording the number of the calling subscriber at the called subscriber's set
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/66Substation equipment, e.g. for use by subscribers with means for preventing unauthorised or fraudulent calling
    • H04M1/663Preventing unauthorised calls to a telephone set
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/42Systems providing special services or facilities to subscribers
    • H04M3/42025Calling or Called party identification service
    • H04M3/42034Calling party identification service
    • H04M3/42059Making use of the calling party identifier

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Finance (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)
  • Sub-Exchange Stations And Push- Button Telephones (AREA)

Abstract

Procédé d'authentification par mot de passe à usage unique d'un utilisateur (10) pourvu d'un terminal informatique (11) et d'un terminal téléphonique (12) et souhaitant accéder à une ressource en ligne auprès d'un système d'information (20), ce procédé incluant une étape de déclenchement d'un appel vers ledit terminal téléphonique avec un identifiant de l'appelant comprenant le mot de passe à usage unique.

Description

AUTHENTIFICATION FORTE PAR PRESENTATION DU NUMERO La présente invention se rapporte au domaine technique de la sécurisation de l'accès à des ressources en ligne, et plus particulièrement à l'authentification d'un utilisateur souhaitant accéder à un service en ligne depuis un réseau informatique public tel qu'Internet. Par « authentification » dans les systèmes informatiques, on entend, ici, la vérification de l'identité d'une entité (une personne, un ordinateur, un processus informatique par exemple) afin d'autoriser l'accès de cette entité à des ressources (services, réseaux, systèmes, applications par exemple).
On désigne, ci-après, ces entités par le terme « utilisateur ». La mise en ligne de ressources sur des réseaux informatiques publics du type internet présente d'énormes avantages, que ce soit pour les utilisateurs ou pour les sociétés, notamment celles à caractère commercial (e-banking, e-commerce par exemple). Le nombre croissant ainsi que l'usage grandissant des services en ligne en témoignent. Ceci a naturellement éveillé l'intérêt des cybercriminels (« hackers »), et le nombre de programmes conçus pour dérober des données permettant d'accéder frauduleusement à des ressources en ligne a fortement augmenté.
A cet égard, des techniques d'authentification robustes sont plus que jamais nécessaires, tant pour les utilisateurs que pour les sociétés. En effet, d'une part un utilisateur doit pouvoir être certain qu'il accède bien au serveur du service qu'il sollicite (et auquel il va peut-être transmettre des données personnelles telles que des coordonnées bancaires) et d'autre part ce serveur doit être aussi certain que cet utilisateur corresponde bien à celui qui s'est préalablement enregistré auprès de lui et qu'il ne s'agit donc pas d'un fraudeur. Un tiers mal intentionné se faisant passer pour un utilisateur légitime pour effectuer, par exemple, une transaction bancaire en ligne ne peut certainement plaire ni à l'utilisateur légitime ni à la banque proposant ce service en ligne. On distingue dans l'état de l'art différentes méthodes permettant de vérifier l'authenticité d'un utilisateur travaillant dans un environnement en mode B015 B002 FR/TQD
client/serveur et sollicitant l'accès à une ressource en ligne. Une authentification peut se faire sur plusieurs facteurs : une donnée connue par l'utilisateur telle qu'un mot de passe ; un objet que possède l'utilisateur, par exemple une carte magnétique ou une carte à puce ; une action que seul sait faire l'utilisateur, par exemple une signature manuscrite sur un écran tactile ; une caractéristique physique propre à l'utilisateur, telle qu'une empreinte digitale.
Actuellement, la méthode la plus largement employée pour effectuer une authentification d'un utilisateur auprès d'un serveur distant se base sur un mot de passe statique combiné avec un identifiant (login). L'avantage d'une telle méthode est qu'elle peut être implémentée entièrement par logiciel, évitant donc un coût matériel (hardware) supplémentaire.
Cependant, l'espionnage des connexions réseaux dans le but de recueillir des identités d'utilisateurs légitimes handicape cette méthode. Des identités ainsi usurpées peuvent être ultérieurement utilisées. Les techniques de hachage ou de cryptage des mots de passe ne peuvent résoudre complètement cette problématique parce qu'ils ne font que déporter la menace depuis le lien réseau vers le terminal utilisateur, où il n'est désormais pas rare de trouver de nombreuses applications malveillantes (malware). Les techniques d'authentification basées sur des moyens fournis aux utilisateurs, tels qu'un jeton d'authentification, une carte à puce, une carte intelligente, ou une clé USB ont l'inconvénient de nécessiter un coût hardware supplémentaire. Par ailleurs, les méthodes biométriques d'authentification sont généralement complexes et demandent une étape de caractérisation préalable fastidieuse.
Pour palier les limites des méthodes d'authentification à un seul facteur, notamment l'utilisation de mots de passe statiques, sont apparues des solutions d'authentification combinant deux facteurs : une donnée connue B015 B002 FR/TQD
par l'utilisateur (par exemple un mot de passe) et un item que possède l'utilisateur (tel qu'un numéro de téléphone ou une adresse électronique). On parle dans ce cas d'authentification forte. Parmi ces méthodes existent la solution d'authentification basée sur des mots de passe à usage unique (aussi dits OTP pour One-Time Password). Comme son nom l'indique, le mot de passe à usage unique (OTP) ne peut être utilisé comme moyen d'authentification que pour une seule session. Ainsi, un nouvel OTP est généré, généralement d'une manière aléatoire ou pseudo-aléatoire, et ensuite communiqué à l'utilisateur à chaque nouvelle demande d'accès émise par l'utilisateur auprès du serveur distant. L'utilisateur soumet cet OTP au serveur distant comme une preuve de l'authenticité de son identité, qu'il a déclarée à l'aide de son login/mot de passe par exemple. Par conséquent, l'usurpation des logins/mots de passe statiques, que ce soit depuis le terminal utilisateur ou depuis le lien réseau reliant le terminal utilisateur au serveur, devient superflu puisque qu'un OTP devient caduc dès lors qu'il a été utilisé. Pour garantir une réelle sécurité, un OTP est généralement communiqué à l'utilisateur via un autre canal que celui établi entre le terminal utilisateur et le serveur. En effet, un OTP est généralement envoyé à l'utilisateur par SMS (Short Service Message), par MMS (Multimedia Messaging Service) ou par message vocal en utilisant le deuxième facteur d'authentification, à savoir le numéro de téléphone que l'utilisateur possède et qu'il a préalablement fourni au serveur distant. Toutefois, l'envoi d'un OTP (par SMS, par MMS ou par message vocal par exemple) sur un téléphone engendre certainement un coût financier supplémentaire pour les fournisseurs des services en ligne (ceci n'étant pas gratuit à ce jour). On comprendra que l'envoi des OTPs par SMS à un millier de clients utilisant mensuellement un service en ligne proposé par une PME représente une charge financière non négligeable pour cette entreprise. Un objet de la présente invention est de remédier aux inconvénients précités. B015 B002 FR/TQD
Un autre objet de la présente invention est de déployer une solution d'authentification forte à plus faible coût. Un autre objet de la présente invention est de réduire le coût financier nécessaire à garantir la sécurité des sites marchands.
Un autre objet de l'invention est de permettre à un utilisateur, typiquement un internaute, d'accéder à des services en ligne de manière simple et sécurisée. Un autre objet de la présente invention est de proposer une méthode d'authentification forte permettant de sécuriser les accès aux ressources en ligne depuis un réseau non sécurisé. A cette fin, l'invention se rapporte, selon un premier aspect, à un procédé d'authentification par mot de passe à usage unique d'un utilisateur pourvu d'un terminal informatique et d'un terminal téléphonique et souhaitant accéder à une ressource en ligne auprès d'un système d'information, ce procédé incluant une étape de déclenchement d'un appel vers ledit terminal téléphonique avec un identifiant de l'appelant comprenant le mot de passe à usage unique. L'invention se rapporte, selon un deuxième aspect, à un système d'authentification par mot de passe à usage unique d'un utilisateur pourvu d'un terminal informatique et d'un terminal téléphonique et souhaitant accéder à une ressource en ligne auprès d'un système d'information, ce système incluant un autocommutateur téléphonique privé agencé pour déclencher un appel vers ledit terminal téléphonique avec un identifiant de l'appelant comprenant le mot de passe à usage unique.
L'invention se rapporte, selon un troisième aspect, à un produit programme d'ordinateur implémenté sur un support mémoire, susceptible d'être mis en oeuvre au sein d'une unité de traitement informatique et comprenant des instructions pour la mise en oeuvre du procédé résumé ci-dessus. D'autres caractéristiques et avantages de l'invention apparaîtront plus clairement et de manière concrète à la lecture de la description ci-après de modes de réalisation préférés, laquelle est faite en référence à la figure 1
B015 B002 FR/TQD
annexée qui illustre schématiquement une représentation fonctionnelle d'un mode de réalisation. Sur la figure 1 on a représenté un utilisateur 10 souhaitant accéder à distance, via un terminal informatique 11, à une ressource en ligne mise à sa disposition par un système d'information 20. Le terminal informatique 11 peut être tout équipement utilisateur permettant à un utilisateur 10 de se connecter à un réseau informatique, notamment Internet, à partir duquel la ressource en ligne proposée par le système d'information 20 est accessible. Un ordinateur fixe/portable personnel/public, un PDA (Persona) Digital Assistant), ou un Smartphone (un téléphone intelligent) sont des exemples de terminal informatique 10. Le système d'information 20 peut être tout moyen informatique matériel et/ou logiciel mettant à la disposition de l'utilisateur 10 une ressource en ligne, notamment un service en ligne, accessible depuis un terminal informatique 11. Un serveur d'application, un serveur Web hébergeant un site Web e-commerce, ou une pluralité de serveurs coopératifs sont des exemples de système d'information 20. L'utilisateur 10 dispose également d'un terminal téléphonique 12 associé à au moins un numéro d'appel (numéro de téléphone). Ce terminal téléphonique 12 est, par exemple, - un téléphone mobile, un Smartphone ou un PDA comprenant une carte SIM (Subscriber Identity Module) ou USIM (Universal Subscriber Identity Module) ; - un téléphone fixe analogique ou numérique ; - un Softphone ayant un numéro de téléphone (par exemple SkypeîM In). Dans une mise en oeuvre avantageuse, le terminal téléphonique 12 est un téléphone mobile ou un Smartphone. Ce cas n'est bien entendu pas limitatif.
Le terminal téléphonique 12 permet la présentation à l'appelé du numéro de l'appelant (en anglais, Caller_ID pour Calter Identification ou CLIP pour
B015 B002 FR/TQD
Calling Line Identification Presentation). Autrement dit, le terminal téléphonique 12 fournit à l'appelée le numéro, ou plus généralement l'identifiant de l'appelant. L'identifiant de l'appelant peut être affiché sur l'écran du terminal téléphonique 12, s'il en a un, ou sur un appareil à part.
En variante ou en combinaison, l'identifiant d'un appel entrant au terminal téléphonique 12 peut être - affiché depuis un répertoire compris dans ce terminal (journal des appels, appels manqués, appels en absence par exemple), et/ou - obtenu en composant un certain numéro (par exemple, pour un abonné France TelecomTM, composer le 3131 pour avoir le numéro du dernier appelant). Notamment, le terminal informatique 11 et le terminal téléphonique 12 peuvent être compris dans un seul équipement utilisateur tel que : - un ordinateur fixe/mobile comprenant un Softphone ; ou - un Smartphone ou un PDA permettant un service de données (DATA) en plus de sa fonction en tant que téléphone. Dans une mise en oeuvre d'un mode de réalisation illustré sur la figure 1, l'utilisateur 10 souhaite accéder à une ressource mise en ligne par le système d'information 20 et nécessitant une authentification forte (étape 1 sur la figure 1). A titre d'exemple, l'utilisateur 10 souhaite effectuer une transaction (virement, achat, vente par exemple) en ligne sur un site Web (bancaire, ou e-commerce par exemple) hébergé par le système d'information 20. Pour se connecter au système d'information 20 distant du site Web auquel il veut accéder, l'utilisateur 10 utilise le terminal informatique 11 de manière classique en entrant l'adresse Web du site. S'agissant d'une ressource en ligne nécessitant une authentification forte, le système d'information 20 est agencé pour vérifier l'authenticité de l'identité de l'utilisateur 10 que ce dernier a déclaré, par exemple, à l'aide d'un login/mot de passe. Pour cela, le système d'information 20 (étape 2 sur la figure 1) - mémorise la demande de l'utilisateur 10 ;
B015 B002 FR/TQD
- recherche le numéro de téléphone (c.à.d. le deuxième facteur d'authentification) que l'utilisateur 10 a préalablement fourni au cours d'une session antérieure. Bien entendu, ceci suppose que l'utilisateur 10 a préalablement renseigné son profil (au moins, un login, un mot de passe et un numéro de téléphone) auprès du système d'information 20 en y indiquant le numéro de téléphone de son terminal téléphonique 12 ; - génère un OTP que l'utilisateur 10 ne peut connaitre à l'avance. Cet OTP est généralement généré d'une manière aléatoire ou pseudo- aléatoire. Ensuite, le système d'information 20 - communique (étape 31 sur la figure 1) l'OTP généré et le numéro de téléphone de l'utilisateur 10 à l'autocommutateur téléphonique privé 30, aussi dit PBX ou PABX pour Private Automatic Branch eXchange, et - informe (étape 32 sur la figure 1) l'utilisateur 10 o qu'il va instantanément recevoir un appel sur le numéro de téléphone qu'il a préalablement fourni (c.à.d. le numéro de téléphone du terminal téléphonique 12 en sa possession) ; et o qu'il doit lui soumettre (retourner) l'identifiant de l'appelant (Caller_ID). Le PABX 30 peut être aussi un PABX IP, qui est une évolution vers l'IP (Internet Protocol) du BAPX traditionnel. Avantageusement, une des fonctionnalités natives du PABX 30 est de pouvoir changer le numéro de l'appelant (Caller_ID) à la demande. De ce fait, en utilisant le numéro de téléphone et l'OTP qui lui sont transmis depuis le système d'information 20, le PABX 30 est agencé pour (étape 4 sur la figure 1) déclencher un appel sur le terminal téléphonique 12 de l'utilisateur 10 tout en présentant l'OTP dans l'identifiant de l'appelant (c'est-à-dire dans le Caller_ID). Il en résulte que l'OTP est transporté directement sur l'afficheur du terminal téléphonique 12, en lieu et place de la présentation du numéro de l'appelant. B015 B002 FR/TQD
Il est à noter que l'appel déclenché par le PABX 30 vers le terminal téléphonique 12 vise à fournir l'OTP et non pas à établir une conversation. Cet appel ne prend donc que le temps nécessaire et suffisant pour fournir l'OTP au terminal téléphonique 12, autrement dit, avant que l'utilisateur 10 ne décroche. Par conséquent, le PABX 30 est programmé pour interrompre l'appel émis dès la première ou la deuxième sonnerie par exemple. L'utilisateur 10 saisit (étape 5 sur la figure 1) l'identifiant de l'appelant (Caller_ID) qui lui est affiché sur son terminal téléphonique 12 conformément à ce que lui a été demandé par le système d'information 20.
A titre d'exemple, l'utilisateur 10 saisit l'identifiant de l'appelant dans une zone dédiée (un certain champ dans un formulaire électronique par exemple), et le soumet au système d'information 20. En variante, le système d'information 20 demande à l'utilisateur 10 de ne lui retourner qu'une partie précise de l'identifiant de l'appelant d'un appel entrant qu'il va instantanément recevoir sur son terminal téléphonique 12. Le système d'information 20 vérifie (étape 6 sur la figure 1) la validité du message qui lui est soumis en retour par l'utilisateur 10 et, en conséquence, autorise ou refuse l'accès sollicité par l'utilisateur 10. Pour cela, le système d'information 20 comprend des moyens permettant de vérifier la concordance entre le message soumis par l'utilisateur 10 et l'OTP qui a été généré et communiqué au PABX 30. En cas de concordance du contenu soumis par l'utilisateur 10 (étape 5 sur la figure 1) avec celui généré par le système d'information 20, l'utilisateur 10 est authentifié de manière certaine par le système d'information 20. Le système d'information 20 dirige, dans ce cas, l'utilisateur 10 vers la ressource sollicitée. L'utilisateur 10 est informé du résultat de son authentification (étape 7 sur la figure 1). Dans une mise en oeuvre illustrative du procédé décrit ci-dessus, - l'internaute 10 émet un message de demande d'accès depuis son ordinateur 11, vers un serveur d'application 20 hébergeant un site bancaire afin d'effectuer une certaine transaction (étape 1 sur la figure 1); B015 B002 FR/TQD
- le serveur d'application 20 mémorise la requête de l'internaute 10, retrouve le numéro de téléphone de ce dernier (deuxième facteur d'authentification de l'internaute 10), et génère un mot de passe à usage unique (OTP) (étape 2 de la figure 1); - le serveur d'application 20 communique le mot de passe à usage unique généré et le numéro de téléphone de l'internaute 10 au PABX 30 (étape 31 de la figure 1) ; - le serveur d'application 20 informe l'internaute 10 qu'il va recevoir, dans un instant, un appel - sur le numéro de téléphone qu'il a précédemment renseigné - dont l'identifiant de l'appelant (Caller_ID) est le mot de passe à usage unique qu'il doit lui soumettre (étape 32 sur la figure 1); - le PABX 30 émet un appel vers le numéro de téléphone de l'internaute 10 en affichant dans l'identifiant de l'appelant le mot de passe à usage unique généré par le serveur d'application 20; - l'internaute 10 soumet l'identifiant de l'appelant qui lui est affiché sur son téléphone 11 (étape 5 sur la figure 1); - le serveur d'application 20 vérifie la concordance entre le mot de passe à usage unique qu'il a généré et celui qui lui a été soumis par l'internaute 10 (étape 6 sur la figure 1); - le serveur d'application 20 informe l'internaute 10 du succès/échec de son authentification (étape 7 sur la figure 1). Dans une autre mise en oeuvre illustrative d'un mode de réalisation, l'utilisateur 20 est pourvu d'un équipement utilisateur combinant un terminal téléphonique et un terminal informatique tel qu'un Smartphone, ou un ordinateur fixe/portable par exemple. Dans ce cas, l'utilisateur 10 - se connecte au serveur distant 20 à partir de son Smartphone (par exemple, ouvre la page Web d'un service en ligne proposé par le serveur distant 20); - s'identifie auprès du serveur distant 20 à l'aide d'au moins un identifiant qui lui est propre (un login et un mot de passe par exemple) ; - requière la connexion au service en ligne auprès du serveur distant 20 (requière la réalisation d'une transaction en ligne par exemple); B015 B002 FR/TQD
- le serveur distant 20 recherche le numéro de téléphone associé à l'identité déclarée par l'utilisateur 10, ces informations lui étant communiquées lors d'une phase préalable (une phase d'inscription au service en ligne par exemple) ; - le serveur distant 20 génère un OTP ; - le serveur distant 20 transmet le numéro de téléphone de l'utilisateur 20 et l'OTP généré au PABX 30 ; - le serveur distant 20 demande à l'utilisateur de lui soumettre l'identifiant de l'appelant (Caller_ID) de l'appel qu'il va recevoir dans un instant ; - le PABX 30 déclenche un appel au numéro de téléphone qui lui est transmis en présentant l'OTP dans l'identifiant de l'appelant (Caller_ID) ; - l'utilisateur 10 saisie l'identifiant de l'appelant (Caller_ID) de l'appel qu'il vient de recevoir et le soumet au serveur distant 20 (l'utilisateur saisie l'identifiant de l'appelant (Caller_ID) dans un formulaire qu'il soumet au serveur distant par exemple) ; - le serveur distant 20 vérifie la concordance entre le message soumis par l'utilisateur et l'OTP généré, et informe l'utilisateur du résultat 20 (c'est-à-dire, le succès ou l'échec de son authentification). Dans un mode préféré de réalisation, lorsque le terminal informatique 11 et le téléphonique 12 sont compris dans un seul équipement utilisateur (notamment un ordinateur ou un Smartphone), une application logicielle est agencée pour récupérer l'identifiant de l'appelant du dernier appel entrant afin de le soumettre au serveur distant. Dans une mise en oeuvre particulière, cette application logicielle est lancée par l'utilisateur depuis le formulaire électronique donnant accès au service en ligne. En variante, cette application est lancée automatiquement dès que l'utilisateur a requis l'accès au service en ligne.
Dans un mode de réalisation, l'application logicielle est jointe au formulaire électronique d'accès au service en ligne. Avantageusement, cette application logicielle permet de réduire les interventions de l'utilisateur dans le procédé d'authentification. B015 B002 FR/TQD
Dans un autre mode de réalisation, lorsque le terminal téléphonique 12 et le terminal informatique 11 ne sont pas compris dans un seul équipement utilisateur (c'est-à-dire deux terminaux utilisateurs indépendants), l'application logicielle, répartie entre les deux terminaux 11 et 12, permet de faire parvenir au terminal informatique 11 l'identifiant de l'appelant du dernier appel entrant au terminal téléphonique 11. Pour cela, l'application logicielle peut utiliser, par exemple, une interface de communication radio de courte portée (BluetoothTM par exemple) partagée par le terminal informatique 11 et le terminal téléphonique 12.
Il est à noter qu'un OTP, selon la présente invention, peut être généré suivant toute méthode connue dans l'état de l'art (logicielle, matérielle, aléatoire/pseudo-aléatoire, dépendant/indépendant des facteurs d'authentification par exemple). Dans un mode de réalisation, l'identifiant de l'appelant (Caller_ID) affiché à l'utilisateur 10 permet d'en extraire ou d'en déduire l'OTP (à l'aide d'une fonction de sélection ou de décryptage par exemple) généré par le système d'information 20. Cette fonction est apportée à l'utilisateur 10 sur son terminal informatique 11 et/ou son terminal téléphonique 12. Notamment, le procédé d'authentification par mot de passe à usage unique décrit ci-dessus peut être déployé en combinaison avec d'autres méthodes de sécurisation (protocoles d'échange sécurisé tels que SSH, ou SSL par exemple). Le procédé qui vient d'être décrit présente un certain nombre d'avantages. Il permet en effet - d'assurer une authentification mutuelle entre l'utilisateur 10 et le système d'information 20 ; - de réduire le coût d'une authentification par OTP : à l'encontre d'un SMS/MMS, un appel est généralement gratuit ; - d'assurer la sécurité du procédé d'authentification : l'identité de l'utilisateur (login/mot de passe par exemple) et l'OTP sont transmis sur deux canaux de communication différents. B015 B002 FR/TQD

Claims (12)

  1. REVENDICATIONS1. Procédé d'authentification par mot de passe à usage unique d'un utilisateur (10) pourvu d'un terminal informatique (Il) et d'un terminal téléphonique (12) et souhaitant accéder à une ressource en ligne auprès d'un système d'information (20), ce procédé incluant une étape de déclenchement d'un appel vers ledit terminal téléphonique avec un identifiant de l'appelant comprenant le mot de passe à usage unique.
  2. 2. Procédé selon la revendication 1, caractérisé en ce qu'il comprend, en outre, une étape de déclaration de l'identité de l'utilisateur auprès du système d'information (20), et une étape de demande d'accès auprès du système d'information.
  3. 3. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il comprend, en outre, une étape de génération d'un mot de passe à usage unique.
  4. 4. Procédé selon la revendication précédente, caractérisé en ce qu'il comprend, en outre, une étape de communication d'un numéro de téléphone associé à l'identité déclarée et le mot de passe à usage unique généré à un autocommutateur téléphonique privé (30), ledit numéro de téléphone étant préalablement renseigné auprès dudit système d'information (20).
  5. 5. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il comprend, en outre, une étape de soumission, auprès du système d'information (20), de l'identifiant de l'appelant d'un appel reçu sur le terminal téléphonique (12).
  6. 6. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il comprend, en outre, une étape de vérification de la concordance entre un message soumis auprès du système d'information (20) et un mot de passe à usage unique généré par le système d'information (20).
  7. 7. Procédé selon l'une quelconque des revendications 2 à 6, caractérisé en ce que l'identité de l'utilisateur comprend au moins un identifiant de l'utilisateur. B015 B002 FR/TQD
  8. 8. Système d'authentification par mot de passe à usage unique d'un utilisateur (10) pourvu d'un terminal informatique (11) et d'un terminal téléphonique (12) et souhaitant accéder à une ressource en ligne auprès d'un système d'information (20), ce système incluant un autocommutateur téléphonique privé (30) agencé pour déclencher un appel vers ledit terminal téléphonique avec un identifiant de l'appelant comprenant le mot de passe à usage unique.
  9. 9. Système selon la revendication précédente, caractérisé en ce que le système d'information (20) comprend - un moyen de génération de mots de passe à usage unique ; - un moyen de communication, à un autocommutateur téléphonique privé (30), d'un mot de passe à usage unique et d'un numéro de téléphone ; - un moyen de vérification de la concordance entre un mot de passe à usage unique généré et un message soumis auprès du système d'information (20).
  10. 10. Système selon l'une quelconque des revendications 8 ou 9, caractérisé en ce que le terminal informatique (11) et le terminal téléphonique (12) sont compris dans un seul équipement utilisateur.
  11. 11. Produit programme d'ordinateur implémenté sur un support mémoire, susceptible d'être mis en oeuvre au sein d'une unité de traitement informatique et comprenant des instructions pour la mise en oeuvre d'un procédé selon l'une des revendications 1 à 7.
  12. 12. Produit programme d'ordinateur selon la revendication précédente caractérisé en ce qu'il comprend une application logicielle agencée pour faire parvenir, à un terminal informatique (1 1 ), l'identifiant de l'appelant du dernier appel entrant à un terminal téléphonique (12). B015 B002 FR/TQD
FR1152664A 2011-03-30 2011-03-30 Authentification forte par presentation du numero Active FR2973618B1 (fr)

Priority Applications (7)

Application Number Priority Date Filing Date Title
FR1152664A FR2973618B1 (fr) 2011-03-30 2011-03-30 Authentification forte par presentation du numero
PCT/FR2012/050672 WO2012131268A1 (fr) 2011-03-30 2012-03-29 Authentification forte par presentation du numero
EP12717417.5A EP2692122A1 (fr) 2011-03-30 2012-03-29 Authentification forte par presentation du numero
CN201710912811.2A CN107423975A (zh) 2011-03-30 2012-03-29 通过提交号码进行强认证
RU2013148028/07A RU2570838C2 (ru) 2011-03-30 2012-03-29 Строгая аутентификация посредством предоставления номера
CN201280016508.XA CN103597806A (zh) 2011-03-30 2012-03-29 通过提交号码进行强认证
US14/006,257 US9602504B2 (en) 2011-03-30 2012-03-29 Strong Authentication by presentation of a number

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1152664A FR2973618B1 (fr) 2011-03-30 2011-03-30 Authentification forte par presentation du numero

Publications (2)

Publication Number Publication Date
FR2973618A1 true FR2973618A1 (fr) 2012-10-05
FR2973618B1 FR2973618B1 (fr) 2013-04-26

Family

ID=46017976

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1152664A Active FR2973618B1 (fr) 2011-03-30 2011-03-30 Authentification forte par presentation du numero

Country Status (6)

Country Link
US (1) US9602504B2 (fr)
EP (1) EP2692122A1 (fr)
CN (2) CN103597806A (fr)
FR (1) FR2973618B1 (fr)
RU (1) RU2570838C2 (fr)
WO (1) WO2012131268A1 (fr)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015014189A1 (fr) * 2013-08-02 2015-02-05 优视科技有限公司 Procédé et dispositif d'accès à un site web
US9485169B2 (en) 2014-07-23 2016-11-01 Nexmo Inc. Systems and methods for adaptive routing
US9516480B2 (en) 2014-11-24 2016-12-06 Nexmo Inc. Identity and phone number verification
US10716003B2 (en) 2014-11-24 2020-07-14 Nexmo, Inc. Identity and phone number verification
US10356567B2 (en) 2014-11-24 2019-07-16 Nexmo, Inc. Multi-channel communication system
US9742780B2 (en) * 2015-02-06 2017-08-22 Microsoft Technology Licensing, Llc Audio based discovery and connection to a service controller
US9660999B2 (en) 2015-02-06 2017-05-23 Microsoft Technology Licensing, Llc Discovery and connection to a service controller
CA2977115A1 (fr) 2015-03-24 2016-09-29 Nexmo, Inc. Systeme de communication multicanal
US10476782B2 (en) 2015-08-03 2019-11-12 Nexmo, Inc. Systems and methods for adaptive routing
JP6690918B2 (ja) * 2015-10-16 2020-04-28 日本特殊陶業株式会社 加熱部材、静電チャック、及びセラミックヒータ
US10817593B1 (en) * 2015-12-29 2020-10-27 Wells Fargo Bank, N.A. User information gathering and distribution system
WO2017143304A1 (fr) * 2016-02-19 2017-08-24 Tata Communications (America) Inc. Système et procédé d'authentification avec des appels manqués
US10601814B2 (en) * 2017-07-26 2020-03-24 Secret Double Octopus Ltd. System and method for temporary password management
CN107682316B (zh) * 2017-09-05 2020-02-14 平安科技(深圳)有限公司 动态密码发送策略的生成方法和动态密码发送方法
GB2580635A (en) * 2019-01-18 2020-07-29 Stratec Se System for authentification

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19718103A1 (de) * 1997-04-29 1998-06-04 Kim Schmitz Verfahren zur Autorisierung in Datenübertragungssystemen
WO2000048413A1 (fr) * 1999-02-09 2000-08-17 Eci Telecom Ltd. Autocommutateur prive dote d'un service de messages courts sur afficheur telephonique
US20030219109A1 (en) * 2002-05-21 2003-11-27 Malik Dale W. Automated delivery of instant message to a telephone line device
EP1445917A2 (fr) * 2003-02-04 2004-08-11 RenderSpace - Pristop Interactive d.o.o. Système d'identification pour l'admission à une zone protégée au moyen d'un mot de passe supplementaire

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7287270B2 (en) * 2000-10-31 2007-10-23 Arkray, Inc. User authentication method in network
CN1481109A (zh) * 2002-09-03 2004-03-10 网泰金安信息技术有限公司 基于无线传输平台的动态密码身份认证系统
GB2401745B (en) * 2003-05-15 2006-02-15 Desktop Guardian Ltd Method of controlling computer access
RU2354066C2 (ru) * 2003-11-07 2009-04-27 Телеком Италия С.П.А. Способ и система для аутентификации пользователя системы обработки данных
US20080282331A1 (en) * 2004-10-08 2008-11-13 Advanced Network Technology Laboratories Pte Ltd User Provisioning With Multi-Factor Authentication
CN100492966C (zh) * 2004-11-26 2009-05-27 王小矿 基于智能卡和动态密码的身份认证系统
GB2410113A (en) * 2004-11-29 2005-07-20 Morse Group Ltd A system and method of accessing banking services via a mobile telephone
US20060153346A1 (en) * 2005-01-11 2006-07-13 Metro Enterprises, Inc. On-line authentication registration system
SE532098C2 (sv) * 2005-08-23 2009-10-20 Smarttrust Ab Autenticeringssystem och -förfarande
ES2517865T3 (es) * 2006-03-08 2014-11-04 Monitise Limited Métodos, aparatos y software para usar un testigo para calcular contraseña limitada en tiempo en teléfono celular
CN101496344B (zh) * 2006-07-20 2014-08-20 黄金富 网上银钱支付和身份确认的带自设认证算式的方法和系统
CN101060556A (zh) * 2006-12-30 2007-10-24 陈鹏 电话用户身份认证的方法
CN101145905A (zh) * 2007-10-25 2008-03-19 中国工商银行股份有限公司 一种实现电话银行在线支付的认证方法、装置及系统
US8082448B2 (en) * 2008-10-28 2011-12-20 Xerox Corporation System and method for user authentication using non-language words
CN102301642B (zh) * 2008-12-03 2015-12-02 因特塞克特国际有限公司 安全交易认证
US8635454B2 (en) * 2009-07-27 2014-01-21 Vonage Network Llc Authentication systems and methods using a packet telephony device
US8904489B2 (en) * 2009-09-08 2014-12-02 Thomas Varghese Client identification system using video conferencing technology
US8667280B2 (en) * 2010-02-24 2014-03-04 Ca, Inc. Method and apparatus for applying a partial password in a multi-factor authentication scheme
CN101808094A (zh) * 2010-03-15 2010-08-18 张锋 身份认证系统和方法
US8495720B2 (en) * 2010-05-06 2013-07-23 Verizon Patent And Licensing Inc. Method and system for providing multifactor authentication
US9665868B2 (en) * 2010-05-10 2017-05-30 Ca, Inc. One-time use password systems and methods

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19718103A1 (de) * 1997-04-29 1998-06-04 Kim Schmitz Verfahren zur Autorisierung in Datenübertragungssystemen
WO2000048413A1 (fr) * 1999-02-09 2000-08-17 Eci Telecom Ltd. Autocommutateur prive dote d'un service de messages courts sur afficheur telephonique
US20030219109A1 (en) * 2002-05-21 2003-11-27 Malik Dale W. Automated delivery of instant message to a telephone line device
EP1445917A2 (fr) * 2003-02-04 2004-08-11 RenderSpace - Pristop Interactive d.o.o. Système d'identification pour l'admission à une zone protégée au moyen d'un mot de passe supplementaire

Also Published As

Publication number Publication date
EP2692122A1 (fr) 2014-02-05
FR2973618B1 (fr) 2013-04-26
RU2013148028A (ru) 2015-05-10
CN107423975A (zh) 2017-12-01
WO2012131268A1 (fr) 2012-10-04
US9602504B2 (en) 2017-03-21
US20140075525A1 (en) 2014-03-13
RU2570838C2 (ru) 2015-12-10
CN103597806A (zh) 2014-02-19

Similar Documents

Publication Publication Date Title
FR2973618A1 (fr) Authentification forte par presentation du numero
US8220030B2 (en) System and method for security in global computer transactions that enable reverse-authentication of a server by a client
EP2619941B1 (fr) Procede, serveur et systeme d'authentification d'une personne
JP5719871B2 (ja) フィッシング攻撃を防ぐ方法および装置
EP2859489B1 (fr) Sécurité d'authentification 2chk améliorée comportant des transactions d'interrogation
EP3391614B1 (fr) Procédé de transmission d'une information numérique
US8954745B2 (en) Method and apparatus for generating one-time passwords
US20170279788A1 (en) Secure remote password retrieval
EP2614458B1 (fr) Procede d'authentification pour l'acces a un site web
US11978032B2 (en) System and method for performing peer to peer transfers
FR2973909A1 (fr) Procede d'acces a une ressource protegee d'un dispositif personnel securise
EP3350973B1 (fr) Procédé d'authentification de site de la toile et de sécurisation d'accès à un site de la toile
EP2056565A1 (fr) Procédé d'authentification d'un utilisateur accédant à un serveur distant à partir d'un ordinateur
EP3732852B1 (fr) Procédé d'authentification à l'aide d'un terminal mobile utilisant une clé et un certificat stockés sur un support externe
EP2529330B1 (fr) Procédé de fourniture d'un code dynamique par l'intermédiaire d'un téléphone
FR3104760A1 (fr) Procede, serveur et systeme d’authentification de transaction utilisant deux canaux de communication
FR2903544A1 (fr) Procede de securisation d'une authentification par utilisation de plusieurs canaux
US20240340311A1 (en) System and Method for Validating Source and Authenticity of Incoming Communications Received by a User Device
GB2464615A (en) Authentication of mobile terminals
WO2021028639A1 (fr) Procede de transmission d'une information numerique
WO2012022856A1 (fr) Procédé d'authentification d' un utilisateur du réseau internet
FR3007929A1 (fr) Procede d'authentification d'un utilisateur d'un terminal mobile
KR20210006119A (ko) 인증 처리를 위한 서버, 시스템 및 그 제어방법
FR2971350A1 (fr) Procede et dispositif de connexion a un service distant depuis un dispositif hote

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 6

CD Change of name or company name

Owner name: ONEY BANK, FR

Effective date: 20170110

PLFP Fee payment

Year of fee payment: 7