. Si-la-formule, ) estétablieestétablie alors D vaut bfalse. FIN. Pas de transition

. Dans-ce-cas, les défauts de preuve ne sont plus mis enévidenceenévidence et les transitions conditionnées sont potentiellement des défauts de preuve. Les systèmes générés ainsi sont donc potentiellement nonminimaux si le franchissement de l'une des transitions au moins est conditionné. C'estàestà l

S. L. Enfin, alors GénéSyst ne vérifie qu'une partie de ces formules En effet, chacune d'entre elles est une conjonction de deux formules quantifiées existentiellement Comme il est difficile d'en vérifier une, il est d'autant plus dur de réussirréussirà vérifier les deux. Ces formules sont composées des deux parties suivantes : (( il existe une valuation vérifiant la condition )), mais (( toutes ne la vérifient pas )). Lapremì ere moitié est la plus intéressante, car ellé etablit la validité de la transition. C'est pourquoi nous proposons de n

L. Dans-le-système-javacard and . Applications, ce qui permet de gérer plusieurs applications sur une même carte et de désinstaller des programmes Ces applettes sontécritessontécrites en JavaCard, sous-ensemble 7 du langage Java, puis compilées en un bytecode allégé, qui est interprété par une machine virtuelle embarquée dans l'OS : le JCRE 8 . Pour des raisons d'espace mémoire limité, certainsélémentscertainséléments de cette machine virtuelle sont supprimés par rapportàrapportà Java, comme le Security Manager, le ramasse miettes et le vérificateur de bytecode, JavaCard fournitégalementfournitégalement un certain nombre d'API 9 permettant de diminuer les connaissances techniques qui sont nécessaires aux développeurs. Par exemple, l'API Open Platform [BWT02] (maintenant renommée GlobalPlatform 10 ) est généralement livrée avec JavaCard

. Certaines, authentification, nécessitent d'? etre atomiques, afin de garantir l'intégrité des données stockées ou la correction du protocole d'authentification . En effet, l'´ ecriture en mémoire est un processus assez lent, qui peut permettre de pervertir les données stockées si, par exemple, la carte est arrachée [SL00, SL99] ou l'opération annulée par l'utilisateur. PouréviterPouréviter cela, la méthode classique consistè a décomposer les opérations critiques en deux opérations qui sont appelés en séquence [Oes99] : lapremì ere définit l'actionàactionà effectuer, s'en-quì ere de sa faisabilité et sauvegarde les anciennes données, tandis que la seconde exécute l'action précédemment décrite et signale si l'opération s'est correctement déroulée

L. Cartesàcartesà-pucé-etant-un-système-client-serveur, les pré-conditions sont gérées demanì ere défensives, car toutes les opérations peuvent toujoursêtretoujoursêtre appelées. Ainsi, un appel ne respectant pas la pré-condition d'une opération doitêtredoitêtre traité et aboutiràaboutirà l'envoi d'une exception décrivant l'erreur. Celle-ci estémiseestémise sous la forme d'un APDU résultat contenant un code erreur

. Si-compteur-d-'essais and . Du, Compteur PIN remisàremisà zéro si et seulement si code correct et PIN non bloqué. (9) Les transactions nécessitent une sécurisation adéquate du canal

=. Solde, . A. Ss, and S. B. Modèle-de-demoney-incluant, Ensemble des comportements de DEMONEY Fig. 7.7 ? Comportements de Demoney construitsàconstruitsà partir de l'espace d'´ etats de la propriété (2) Enfin, si certaines conditions de franchissement n'ont pas pû etré etablies (cas de défaut de preuve), alors la méthode de vérification peut quand mêmê etre utilisée. Si l'une des transitions associéesassociéesà ces conditions n'est pas prévue dans la propriété, alors le modèle peut quand mêmê etre correct

C. , L. , and E. ?. Bfalse, ne permettent d'exprimer des propriétés qu'en termes d'encha??nementsencha??nements d'´ etats. Cependant, nous voudrions pouvoir caractériser des formules basées en même temps sur lesétatslesétats et lesévénementslesévénements d, Les langages classiques de logique temporelle

. Pour-faire-le-lien-entre-l-'espace-d-'´-etats-de-la-propriété-et-celui-du-modèle, nous utilisons une fonction Sup Afin de permettre la vérification d'une propriété dont lesétatslesétats ne sont pas strictement ceux du STES, et permettre ainsi d'utiliser un même STES pour vérifier différentes propriétés, nous n'imposons pas que la fonction Sup soit injective. Ainsi, de même que pour la technique de vérification de propriétés décrites par des automates, il suffit que lesétatslesétats du STES soient des sous-´ etats desétatsdesétats de la propriété. Si la fonction Sup associe chaqué etat du STESàSTESà son superétat superétat, alors la vérification peutêtrepeutêtre effectuée syntaxiquement en utilisant les r` egles suivantes : 8.2. Perspectives toutes les cinq soient tentées ou que le but soit prouvé : 1

. Bibliographie-[-abc-+-02-]-f, F. Ambert, S. Bouquet, S. Chemin, B. Guenaud et al., BZ-testing tools : A tool-set for test generation from Z and B using constraint logic programming, Formal Approaches to Testing of Software (FATES'02), pp.105-120, 2002.

[. Abrial, The Specification Language Z : Syntax and Semantics. Programming research group, 1980.

]. J. Abr96b, The B-Book, 1996.

[. Abrial and D. Cansell, Click???n Prove: Interactive Proofs within Set Theory, Theorem Proving in Higher Order Logics, 16th International Conference, pp.1-24, 2003.
DOI : 10.1007/10930755_1

URL : https://hal.archives-ouvertes.fr/inria-00099836

L. [. Abrial and . Mussat, Introducing dynamic constraints in B, Lecture Notes in Computer Science, vol.1393, pp.83-128, 1998.
DOI : 10.1007/BFb0053357

F. [. Alpern and . Schneider, Defining liveness, Cité en section C [Ave05] Y. Avenel. Les OS pour cartesàcartesà puce entre ouverture et diversification. Electronique, pp.181-18534, 2005.
DOI : 10.1016/0020-0190(85)90056-0

A. [. Badeau and . Amelot, Using B as a High Level Programming Language in an Industrial Project: Roissy VAL, ZB 2005 : Formal Specification and Development in Z and B, 4th International Conference of B and Z Users, pp.334-354, 2005.
DOI : 10.1007/11415787_20

]. R. Bac78 and . Back, On the Correctness of Refinement in Program Development, 1978.

[. Barradas and D. Bert, Specification and Proof of Liveness Properties under Fairness Assumptions in B Event Systems, Integrated Formal Methods : Third International Conference, p.360, 2002.
DOI : 10.1007/3-540-47884-1_20

R. Héctor, D. Barradas, and . Bert, Propriétés dynamiques avec hypothèses d'´ equité en B ´ evénementiel, pp.73-102, 2006.

F. Badeau, D. Bert, S. Boulmé, C. Métayer, M. Potet et al., Traduction de B vers des langages de programmation, Approches formelles pour le développement de logiciels, pp.879-903, 2004.
URL : https://hal.archives-ouvertes.fr/inria-00392235

P. Behm, P. Benoit, A. Faivre, and J. Meynadier, M??t??or: A Successful Application of B in a Large Project, FM'99, pp.369-387, 1999.
DOI : 10.1007/3-540-48119-2_22

L. [. Bauer, H. J. Bolliet, and . Helms, Software engineering, Report on a conference sponsored by the NATO Science Committee (Garmisch, Germany), 1968.
DOI : 10.1007/3-540-07168-7

D. Bert, F. Bouquet, Y. Ledru, and S. Vignes, Validation of Regulation Documents by Automated Analysis of Formal Models, International Workshop on Regulations Modelling and their Validation and Verification (REMO2V'06), in conjunction with CAiSE'06. Presses Universitaires de Namur, 2006.

D. Bert, S. Boulmé, M. L. Potet, A. Requet, and L. Voisin, Adaptable Translator of B Specifications to Embedded C Programs, FME 2003 : Formal Methods, International Symposium of Formal Methods Europe, volume 2805 of Lecture Notes in Computer Science, pp.94-113, 2003.
DOI : 10.1007/978-3-540-45236-2_7

[. Bert and F. Cave, Construction of Finite Labelled Transition Systems from B Abstract Systems, Lecture Notes in Computer Science, 1945.
DOI : 10.1007/3-540-40911-4_14

P. [. Bertot and . Casteran, Interactive Theorem Proving and Program Development. Coq'Art : the Calculus of Inductive Constructions. Texts in Theoretical Computer Science, 2004.
DOI : 10.1007/978-3-662-07964-5

URL : https://hal.archives-ouvertes.fr/hal-00344237

L. [. Burdy, A. Casset, and . Requet, Développement formel d'un vérificateur embarqué de byte-code Java, Développement rigoureux de logiciel avec la méthode B, 2003.
DOI : 10.3166/tsi.22.33-60

. Bdj-+-01-]-g, G. Barthe, L. Dufay, B. Jakubiec, S. Serpette et al., A Formal Executable Semantics of the JavaCard Platform, Lecture Notes in Computer Science, p.302, 2001.

R. Barnett, B. Deline, M. Jacobs, K. Fähndrich, M. Rustan et al., The Spec# Programming System: Challenges and Directions, International Conference on Verified Software : Theories, Tools, Experiments, 2005.
DOI : 10.1007/978-3-540-31984-9_15

URL : http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.68.5180

[. Bouquet, F. Dadeau, and B. Legeard, How Symbolic Animation Can Help Designing an Efficient Formal Model, Formal Methods and Software Engineering, 7th International Conference on Formal Engineering Methods, ICFEM 2005, pp.96-110, 2005.
DOI : 10.1007/11576280_8

URL : https://hal.archives-ouvertes.fr/inria-00329938

[. Bouquet, F. Dadeau, B. Legeard, and M. Utting, JML-Testing-Tools: A Symbolic Animator for JML Specifications Using CLP, 11th International Conference, TACAS 2005, Held as Part of the Joint European Conferences on Theory and Practice of Software, ETAPS 2005, pp.551-556, 2005.
DOI : 10.1007/978-3-540-31980-1_37

URL : https://hal.archives-ouvertes.fr/inria-00329995

[. Bouquet, F. Dadeau, B. Legeard, and M. Utting, Symbolic Animation of JML Specifications, FM 2005 : Formal Methods, International Symposium of Formal Methods Europe Proceedings, pp.75-90, 2005.
DOI : 10.1007/11526841_7

URL : https://hal.archives-ouvertes.fr/inria-00329983

P. [. Behm, F. Desforges, and . Mejia, Application de la méthode B dans l'industrie du ferroviaire, Application des techniques formelles au logiciel. Observatoire Français des Techniques Avancées, 1997.

P. [. Behm, J. Desfroges, and . Meynadier, M??T??OR: An industrial success in formal development, Second Conference on the B Method, volume 1393 of Lecture Notes in Computer Science, page Invited Lecture, 1998.
DOI : 10.1007/BFb0053352

H. El, D. Choukri, M. Naccache, C. Tunstall, and . Whelan, The Sorcerer's Apprentice Guide to Fault Attacks, Workshop on Fault Detection and Tolerance in Cryptography, 2004.

P. Behm, Développement formel des logiciels sécuritaires de Météor, Proceedings of the 1st Conference on the B method, pp.3-10, 1996.

D. Bert, Modèle formel B de l'aéroport : Amdt11 Projet ACI Sécurité Informatique : EDEMOI. Rapport interne, 2006.

[. Bodeveix and M. Filali, Machines virtuelles pour le B ´ evénementiel, Approches Formelles dans l'Assistance au Développement de Logiciels (AFADL'03), pp.227-242, 2003.

P. [. Bidan and . Girard, La securite des cartes a microprocesseur Revue de l'Electricité et de l, Electronique (REE), vol.5, issue.5, pp.60-65, 2001.

J. P. Bowen and M. G. Hinchey, Ten Commandments of Formal Methods ...Ten Years Later, Computer, vol.39, issue.1, pp.40-48, 2006.
DOI : 10.1109/MC.2006.35

[. Bellegarde, J. Julliand, and O. Kouchnarenko, Ready-Simulation Is Not Ready to Express a Modular Refinement Relation, Fundamental Approaches to Software Engineering (FASE'2000), Held as Part of the European Joint Conferences on the Theory and Practice of Software, pp.266-283, 2000.
DOI : 10.1007/3-540-46428-X_19

J. Michael, M. Butler, and . Leuschel, Combining CSP and B for Specification and Property Verification, FM 2005 : Formal Methods, International Symposium of Formal Methods Europe Proceedings, pp.221-236, 2005.

J. Bendisposto and M. Leuschel, A Generic Flash-Based Animation Engine for ProB, Formal Specification and Development in B, 7th International Conference of B Users, pp.266-269, 2007.
DOI : 10.1007/11955757_26

URL : http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.87.4153

[. Bouquet, B. Legeard, F. Peureux, and B. Clps-b-a-constraint-solver-for, CLPS-B???A Constraint Solver for B, 8th International Conference, TACAS 2002, Held as Part of the Joint European Conference on Theory and Practice of Software, pp.188-204, 2002.
DOI : 10.1007/3-540-46002-0_14

M. [. Butler, C. Leuschel, and . Snook, Tools for system validation with b abstract machines, ASM 2005 : 12th International Workshop on Abstract State Machines, 2005.

[. Boulanger, ABTOOLS: another B tool, Third International Conference on Application of Concurrency to System Design, 2003. Proceedings., pp.231-232, 2003.
DOI : 10.1109/CSD.2003.1207718

M. [. Bontron and . Potet, Automatic Construction of Validated B Components from Structured Developments, ZB 2000 : Formal Specification and Development in Z and B, pp.127-147, 2000.
DOI : 10.1007/3-540-44525-0_9

[. Bert and M. Potet, Spécification en B, 2003.

[. Bert, M. Potet, and N. Stouls, GeneSyst: A Tool to Reason About Behavioral Aspects of B Event Specifications. Application to Security Properties, ZB 2005 : Formal Specification and Development in Z and B, 4th International Conference of B and Z Users, pp.299-318, 2005.
DOI : 10.1007/11415787_18

URL : https://hal.archives-ouvertes.fr/inria-00384189

A. [. Burdy and . Requet, Extending B with Control Flow Breaks, DJSM03], pp.513-527
DOI : 10.1007/3-540-44880-2_30

URL : http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.2.1650

]. M. But00 and . Butler, csp2B : A Practical Approach to Combining CSP and B. Formal Aspects of Computing, pp.182-198, 2000.

C. [. Brewer, P. Wang, and . Tsai, Proving Protection Profile Compliance for the CCL/ITRI Visa Open Platform Smart Card, 3rd InternationalN Common Criteria Conference, 2002.

D. Cansell and J. Abrial, A set of tools for B development, Cité en sections 7.2.2 et C [CA + 04, 2004.

]. L. Cas02 and . Casset, Construction Correcte de Logiciels pour Cartè a Puce Développement formel d'un vérifieur embarqué de byte code Java CardàCard`Cardà l'aide de la méthode B, 2002.

L. [. Casset, A. Burdy, and . Requet, Formal Development of an Embedded Bytecode Verifyier, International Conference on Dependable Systems & Networks (DSN'02), pp.51-58, 2002.

R. [. Cousot and . Cousot, Abstract interpretation, Proceedings of the 4th ACM SIGACT-SIGPLAN symposium on Principles of programming languages , POPL '77, pp.238-252, 1977.
DOI : 10.1145/512950.512973

URL : https://hal.archives-ouvertes.fr/inria-00528590

E. Sylvain-conchon, J. Contejean, and . Kanig, CC(X) : Efficiently Combining Equality and Solvable Theories without Canonizers, 5th International Workshop on Satisfiability Modulo, 2007.

[. Couchot and F. Dadeau, Guiding the Correction of Parameterized Specifications, Springer, editor, Integrated Formal Methods, Lecture Notes in Computer Sciences, 2007.
DOI : 10.1007/978-3-540-73210-5_10

URL : https://hal.archives-ouvertes.fr/inria-00329977

J. Couchot, F. Dadeau, D. Déharbe, A. Giorgetti, and S. Ranise, Proving and Debugging Set-Based Specifications, WMF'03, Sixth Brazilian Workshop on Formal Methods, pp.189-208, 2004.
DOI : 10.1016/j.entcs.2004.04.012

URL : https://hal.archives-ouvertes.fr/inria-00329994

J. Couchot, D. Déharbe, A. Giorgetti, and S. Ranise, Barvey : Vérification automatique de consistance de machines abstraites B, Approches Formelles dans l'Assistance au Développement de Logiciels, pp.369-372, 2004.

[. Couchot, A. Giorgetti, and N. Kosmatov, A uniform deductive approach for parameterized protocol safety, Proceedings of the 20th IEEE/ACM international Conference on Automated software engineering , ASE '05, pp.364-367, 2005.
DOI : 10.1145/1101908.1101971

]. K. Cha88 and . Chandy, Parallel program design : a foundation, 1988.

. Clearsy, System Engineering Atelier B, Version 3, 2001.

J. [. Chandy and . Misra, Parallel Program Design, 1988.
DOI : 10.1007/978-1-4613-9668-0_6

D. Cansell, D. Méry, and S. Merz, Predicate Diagrams for the Verification of Reactive Systems, Lecture Notes in Computer Science, 1945.
DOI : 10.1007/3-540-40911-4_22

URL : https://hal.archives-ouvertes.fr/inria-00099125

D. Cansell, D. Méry, and S. Merz, Verifying Reactive Systems Using Predicate Diagrams Integrated Formal Methods -Tools session, volume 1945 of Lecture Notes in Computer Science, 2000.

D. Cansell, D. Méry, and S. Merz, Diagram Refinements for the Design of Reactive Systems, Journal of Universal Computer Science, vol.7, issue.2, pp.159-174, 2001.

P. Cousot, Interprétation abstraite, Technique et Science Informatique, Hermès, vol.19, issue.1-2-3, pp.155-164, 2000.

B. [. Clarke and . Schlingloff, Model Checking, Handbook of Automated Reasoning, pp.1635-1790, 2001.

J. [. Chen and . Udding, Towards a calculus of data refinement
DOI : 10.1007/3-540-51305-1_11

M. [. Demoulin and . Van-droogenbroeck, Principes de base du fonctionnement du réseau GSM. Bulletin scientifique -Association des ingénieursingénieursélectriciens sortis de l'InstitutéletrotechniqueInstitutéletrotechnique Montefiore, pp.3-18, 2004.

. Dfg-+-05-]-v, J. Darmaillacq, R. Fernandez, L. Groz, J. Mounier et al., Eléments de modélisation pour le test de politiques de sécurité, Colloque sur les RIsques et la Sécurité d'Internet et des Systèmes, 2005.

]. E. Dij76 and . Dijkstra, A Discipline of Programming, 1976.

]. A. Dil94 and . Diller, Z : an introduction to formal methods, 1994.

D. Bert, J. P. Bowen, S. King, and M. Waldén, Formal Specification and Development in Z and B, Third International Conference of B and Z Users, volume 2651 of Lecture Notes in Computer Science, Cité en section C [DM94] B. Dehbonei and F. Meijia. Formal Methods in the Railways Signalling Industry, 2003.

[. Detlefs, G. Nelson, and J. B. Saxe, Simplify: a theorem prover for program checking, Journal of the ACM, vol.52, issue.3, pp.365-473, 2005.
DOI : 10.1145/1066100.1066102

URL : http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.70.1745

]. S. Dun03 and . Dunne, Introducing Backward Refinement into B, DJSM03], pp.178-196

J. Ellson, E. R. Gansner, E. Koutsofios, S. C. North, and G. Woodhull, Graphviz??? Open Source Graph Drawing Tools, Graph Drawing, 9th International Symposium, pp.483-484, 2001.
DOI : 10.1007/3-540-45848-4_57

URL : http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.87.9389

]. Fil03 and . Filliâtre, Why : a multi-language multi-prover verification tool, Research Report, vol.1366, 2003.

]. M. Fla05 and . Flamenbaum, La carte nationale d'identitéidentitéélectronique

[. Gall, H. Marchand, and B. Jeannet, Contr??le de syst??mes symboliques, discrets ou hybrides, Technique et Science Informatiques, RSTI, série TSI, pp.293-319, 2006.
DOI : 10.3166/tsi.25.289-315

[. Geccoo, Génération de code certifié pour des applications orientées objet. spécification, raffinement, preuve et détection d'erreurs. Rapport final -http, 2007.

[. Gervais, M. Frappier, and R. Laleau, Refinement of eb 3 Process Patterns into B Specifications, Formal Specification and Development in B, 7th International Conference of B Users, pp.201-215, 2007.
DOI : 10.1007/11955757_17

URL : https://hal.archives-ouvertes.fr/hal-01125252

[. Girard, Y. Lafont, and P. Taylor, Proofs and Types, 1989.

C. [. Garnier and . Morgan, A Single Complete Rule for Data Refinement, Formal Aspects of Computing, pp.367-392, 1993.

S. [. Gannsner and . North, An open graph visualization system and its applications to software engineering, Software: Practice and Experience, vol.30, issue.11, 1999.
DOI : 10.1002/1097-024X(200009)30:11<1203::AID-SPE338>3.3.CO;2-E

J. [. Gries and . Prins, A new Notion of Encapsulation, In Symposium on Languages Issues in Programming Environments, 1985.

J. Groslambert, Verification of LTL on B Event Systems, 7th International Conference of B Users, pp.109-124, 2007.
DOI : 10.1007/11955757_11

H. [. Graf and . Sa¨?disa¨?di, Construction of abstract state graphs with PVS, Computer- Aided Verification (CAV'97, 1997.
DOI : 10.1007/3-540-63166-6_10

]. Y. Gur85 and . Gurevich, A new thesis, pp.68-203, 1985.

H. Habrias, Préface de Fernando Méjia, Spécification formelle avec B, 2001.

S. Hamdane, Génération de systèmes de transitionétiquetésàtransitionétiquetéstransitionétiquetésà partir de la description d'un système d'´ evènements décrits avec le langage B. Rapport de licence, 2002.

S. Hamdane, Système de transitions d'un système abstrait : méthode de calcul desétatsdesétats, 2003.

D. Harel, Statecharts: a visual formalism for complex systems, Science of Computer Programming, vol.8, issue.3, pp.231-274, 1987.
DOI : 10.1016/0167-6423(87)90035-9

]. W. Hes92 and . Hesselink, Programs, Recursion and Unbounded Choice, Cambridge Tracts in Theoretical Computer Science, vol.27, 1992.

]. C. Hoa69 and . Hoare, An Axiomatic Basis for Computer Programming, Communications of the ACM, vol.12, issue.10, pp.576-580, 1969.

]. C. Hoa78 and . Hoare, Communicating Sequential Processing, Communication of ACM, vol.21, issue.8, pp.666-677, 1978.

]. D. Hus01 and . Husemann, Standards in the Smart Card World, Computer Networks, vol.36, issue.4, pp.476-487, 2001.

R. C. Holt, A. Winter, and A. Schürr, GXL: toward a standard exchange format, Proceedings Seventh Working Conference on Reverse Engineering, pp.23-25, 2000.
DOI : 10.1109/WCRE.2000.891463

URL : http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.32.5584

A. B. Idani and . Uml, Mise en relation de spécifications B et de descriptions UML pour l'aidè a la validation externe de développements formels en B, 2006.

A. Idani, Couplage de spécifications B et de descriptions UML pour l'aide aux développements formels des Systèmes d'Information, Actes du XXIVème Congrès INFORSID, pp.577-593, 2006.

Y. [. Idani and . Ledru, Dynamic graphical UML views from formal B specifications, Information and Software Technology, vol.48, issue.3, pp.154-169, 2006.
DOI : 10.1016/j.infsof.2005.03.008

C. J. Coleman, I. Jones, A. Oliver, E. Romanovsky, and . Troubitsyna, Rodin (rigorous open development environment for complex systems). project number ist 2004-511599, Fifth European Dependable Computing Conference : EDCC-5 supplementary volume, pp.23-26, 2005.

]. C. Jon86 and . Jones, Systematic Software Developpement using VDM, 1986.

M. Leuschel, L. Adhianto, M. Butler, C. Ferreira, and L. Mikhailov, Animation and Model Checking of CSP and B using Prolog Technology, Second International Workshop on Verification and Computational Logic (VCL'2001), pp.97-109, 2001.

]. L. Lam94a and . Lamport, A Temporal Logic of Actions, ACM Transactions on Programming Languages and Systems, vol.16, issue.3, pp.872-923, 1994.

L. Lamport, The temporal logic of actions, ACM Transactions on Programming Languages and Systems, vol.16, issue.3, pp.872-923, 1994.
DOI : 10.1145/177492.177726

L. Lamport, TLA in pictures, IEEE Transactions on Software Engineering, vol.21, issue.9, pp.768-775, 1995.
DOI : 10.1109/32.464544

A. Lanoix and . Systèmessystèmes, Systèmesà composants synchronisés : contributionàcontribution`contributionà la vérification compositionnelle du raffinement et des propriétés, UFR des sciences et techniques de l'université de Franche-Comté, 2005.

M. [. Leuschel and . Butler, ProB: A Model Checker for B, FME 2003 : Formal Methods, International Symposium of Formal Methods Europe, pp.855-874, 2003.
DOI : 10.1007/978-3-540-45236-2_46

A. [. Leavens, C. Baker, and . Ruby, JML, Proceedings of the Principles and Practices of Programming on The Java Platform, PPPJ '15, 1998.
DOI : 10.1145/2807426.2817926

A. [. Leavens, C. Baker, and . Ruby, JML, Proceedings of the Principles and Practices of Programming on The Java Platform, PPPJ '15, pp.175-188, 1999.
DOI : 10.1145/2807426.2817926

]. J. Leb00 and . Lebray, Modélisation de Systèmes en B : Proposition de guides méthodologiques pour la décomposition d'´ evénements Cité en section 4, 2000.

]. C. Liv78 and . Livercy, Théorie des programmes, 1978.

[. Lanet and P. Lartigue, The Use of Formal Methods for SmartCards, a Comparison between B ans SDL to Model the T=1 Protocol, Proceedings of International Workshop on Comparing Systems Specification Techniques, 1998.

R. Laleau and F. Polack, A Rigorous Metamodel for UML Static Conceptual Modelling of Information Systems, Advanced Information Systems Engineering, 13th International Conference, pp.402-416, 2001.
DOI : 10.1007/3-540-45341-5_27

URL : https://hal.archives-ouvertes.fr/hal-01124659

[. Legeard, F. Peureux, and M. Utting, Automated Boundary Testing from Z and B, FME 2002 : Formal Methods -Getting IT Right, International Symposium of Formal Methods Europe, pp.21-40, 2002.
DOI : 10.1007/3-540-45614-7_2

[. Lanet and A. Requet, Formal Proof of Smart Card Applets Correctness, Smart Card Research and Applications This International Conference (CARDIS '98), pp.85-97, 1998.
DOI : 10.1007/10721064_7

E. Turner, Visualising Larger State Spaces in Pro B, ZB 2005 : Formal Specification and Development in Z and B, 4th International Conference of B and Z Users, pp.6-23, 2005.

]. F. Mar91 and . Maraninchi, The Argos language : Graphical Representation of Automata and Description of Reactive Systems, IEEE Workshop on Visual Languages, 1991.

]. F. Mar92 and . Maraninchi, Operational and Compositional Semantics of Synchronous Automaton Compositions, CONCUR'92, Third International Conference on Concurrency Theory, pp.550-564, 1992.

]. R. Mar02 and . Marlet, DEMONEY : Java Card Implementation. Public technical report, SEC- SAFE project, 2002.

]. R. Mil80 and . Milner, A Calculus of Communicating Systems, 1980.

]. R. Mil89 and . Milner, Communication and concurrency, 1989.

R. In, K. Shyamasundar, and . Ueda, Advances in Computing Science -ASIAN '97, Third Asian Computing Science Conference, Lecture Notes in Computer Science, vol.1345, pp.181-196, 1997.

D. [. Marlet and . Metayer, Security Properties and Java Card Specificities To Be Studied in the SecSafe Project. Public technical report, SECSAFE project, 2001.

C. [. Marlet and . Mesnil, DEMONEY : A demonstrative Electronic Purse -Card Specification Public technical report, SECSAFE project, 2002.

H. [. Masson, J. Mountassir, and . Julliand, Modular Verification for a Class of PLTL Properties, 2nd international conference on Integrated Formal Methods (IFM), pp.398-419, 1945.
DOI : 10.1007/3-540-40911-4_23

URL : https://hal.archives-ouvertes.fr/hal-00069802

[. Mocenigo, Grappa : A Java Graph Package, 2006.

X. Morselli, Vérification et optimisation de l'outil GénéSyst Rapport de t.e.r, Encadrants : Nicolas Stouls et Didier Bert, 2004.

]. S. Mot00 and . Motré, A B automaton for Authentification Process, WITS : Workshop on Issues in the Theory of Security, 2000.

C. Marché, C. Paulin-mohring, and X. Urbain, The KRAKATOA tool for certificationof JAVA/JAVACARD programs annotated in JML, The Journal of Logic and Algebraic Programming, vol.58, issue.1-2, pp.89-106, 2004.
DOI : 10.1016/j.jlap.2003.07.006

[. Morselli, M. Potet, and N. Stouls, GénéSyst : Génération d'un système de transitionsétiquetéesàtransitionsétiquetéestransitionsétiquetéesà partir d'une spécification B ´ evénementiel, Approches Formelles dans l'Assistance au Développement de Logiciels (AFADL'04) -Session outils, pp.317-320, 2004.

F. Maraninchi and Y. Remond, Argos: an automaton-based synchronous language, Computer Languages, vol.27, issue.1-3, pp.61-92, 2001.
DOI : 10.1016/S0096-0551(01)00016-9

URL : https://hal.archives-ouvertes.fr/hal-00273055

E. Meyer and J. Eres, A Systematic Approach to Transform OMT Diagrams to a B Specification, Formal Methods, World Congress on Formal Methods in the Development of Computing Systems, FM'99, pp.875-895, 1999.
DOI : 10.1007/3-540-48119-2_48

URL : https://hal.archives-ouvertes.fr/inria-00098957

C. [. Motré and . Téri, Using Formal and Semi-Formal Methods for a Common Criteria Evaluation, EUROSMART, 2000.

]. J. Nah01 and . Nahoum, Outils d'assistancè a la construction de systèmes dans la méthode B Cité en section 4, 2001.

]. M. Oes99 and . Oestreicher, Transactions in Java Card, Computer Security Applications Conference (ACSAC '99), pp.291-298, 1999.

[. Ossami, J. Jacquot, and J. Eres, Consistency in UML and B Multi-view Specifications, Integrated Formal Methods, 5th International Conference, IFM 2005, pp.386-405, 2005.
DOI : 10.1007/11589976_22

URL : https://hal.archives-ouvertes.fr/hal-00009478

[. Omg, Unified Modeling Language Specification, septembre 2001

]. D. Par74 and . Park, Finiteness is Mu-ineffable, 1974.

]. B. Par00 and . Parreaux, Vérification de systèmes d'´ evénements B par model-checking PLTL

D. [. Poerschke, J. L. Lightfoot, and . Nealon, A Formal Specification in B of a Medical Decision Support System, D. Bert et al. [DJSM03], pp.497-512
DOI : 10.1007/3-540-44880-2_29

. [. Paulin-mohring, Inductive definitions in the system Coq rules and properties, TLCA'93 : Proceedings of the International Conference on Typed Lambda Calculi and Applications, pp.328-345, 1993.
DOI : 10.1007/BFb0037116

J. [. Pouzancre and . Pitzalis, Mod??lisation en B ??v??nementiel des fonctions m??caniques, ??lectriques et informatiques d'un v??hicule, Techniques et sciences informatiques, vol.22, issue.1, pp.119-128, 2003.
DOI : 10.3166/tsi.22.119-128

P. Florent, G. Pouzancre, and T. Servat, Approche formelle pour la réalisation d'un système sécuritaire de contrôle commande de façades de quais, 4` eme Conférence Annuelle d'Ingénierie Système, Efficacité des entreprises et satisfaction des clients (AFIS'06), 2006.

M. Potet and N. Stouls, Explicitation du contrôle de développement B ´ evénementiel, Approches Formelles dans l'Assistance au Développement de Logiciels (AFADL'04), pp.13-27, 2004.

G. [. Requet and . Bossu, Embedding formally proved code in a smart card: converting B to C, ICFEM 2000. Third IEEE International Conference on Formal Engineering Methods, pp.15-22, 2000.
DOI : 10.1109/ICFEM.2000.873801

D. [. Ranise and . Deharbe, Light-Weight Theorem Proving for Debugging and Verifying Units of Code, 1st International Conference on Software Engineering and Formal Methods (SEFM' 20'03), pp.220-228, 2003.

[. Requet, A B Model for Ensuring Soundness of the Java Card Virtual Machine, 2000.

]. Y. Rou99 and . Rouzaud, Interpreting the B-Method in the Refinement Calculus, Formal Methods (FM'99), pp.411-430, 1999.

V. [. Stouls and . Darmaillacq, Développement formel d'un moniteur, Majecstic : 3` eme manifestation des jeunes chercheurs en Sciences et Technologies de l'Information et de la Communication, pp.397-401, 2005.

N. Stouls and V. Darmaillacq, Développement formel d'un moniteur détectant les violations de politiques de sécurité de réseaux, Approches Formelles dans l'Assistance au Développement de Logiciels (AFADL'06), pp.179-193, 2006.

. Sec99 and . Secsafe, SecSafe Project Home Page, 1999.

T. Servat and . Brama, BRAMA: A New Graphic Animation Tool for B Models, Formal Specification and Development in B, 7th International Conference of B Users, pp.274-276, 2006.
DOI : 10.1007/11955757_28

C. [. Soulier and . Grenier, A Political Model for the Co-operative Production of Knowledge in the Design process : the Shared Medical File (SMF), ECAI'02 Workshop on Knowledge Management and Organizational Memories, 2002.

]. A. Sha93 and . Shankar, An introduction to assertional reasoning for concurrent systems, ACM Computer Survey, vol.25, issue.3, pp.225-262, 1993.

P. [. Sabatier and . Lartigue, The Use of the B Formal Method for the Design and the Validation of the Transaction Mechanism for Smart Card Applications, FM'99, pp.348-387, 1999.
DOI : 10.1007/3-540-48119-2_21

P. [. Sabatier and . Lartigue, The Use of the B Formal Method for the Design and the Validation of the Transaction Mechanism for Smart Card Applications. Formal Methods in System Design, pp.245-272, 2000.

N. Stouls and M. Potet, Security Policy Enforcement Through Refinement Process, Lecture Notes in Computer Science, vol.4355, pp.216-231, 2007.
DOI : 10.1007/11955757_18

URL : https://hal.archives-ouvertes.fr/inria-00384182

]. J. Spi93 and . Spivey, The Z notation : A Reference Manual, 1993.

H. [. Schneider and . Treharne, CSP theorems for communicating B machines, Formal Aspects of Computing, vol.17, issue.4, pp.390-422, 2005.
DOI : 10.1007/s00165-005-0076-7

[. Stouls, Compte rendu de stage de ma??trisema??trise, Chapitre 4 : La Bo??tèBo??tè a outils B. Master's thesis, 2002.

[. Stouls, Aidè a la spécification et au développement formel de systèmes. 16ème rencontres régionales de la recherche en rhône-alpes, 2006.

[. Stouls, Introduction aux cartesàcartesà puce Rapport technique, LSR-IMAG, Stouls/Productions/CartesAPuce/CartesAPuce.ps.gz. Cité en sections 7.2 et 8, 2006.

M. [. Trentelman and . Huisman, Extending JML Specifications with Temporal Logic, Algebraic Methodology And Software Technology (AMAST '02), pp.334-348, 2002.
DOI : 10.1007/3-540-45719-4_23

J. Voisinet, Contribution au processus de développement d'applications spécifiéesspécifiées`spécifiéesà l'aide de la méthode B par validation utilisant des vues UML et traduction vers des langagesàlangages`langagesà objets, 2004.

[. Voisinet and B. Tatibouet, Generating Statecharts from B Specifications, 16th Int Conf. on Software and System Engineering and their applications, 2003.

[. Voisinet, B. Tatibouet, and A. Hammad, jBTools : An Experimental Platform for the Formal B Method, PPPJ'02, pp.137-140, 2002.

W. H. Feijen, A. J. Van-gasteren, D. Gries, and J. Misra, Morgan : Of wp and CSP, Beauty is our Business : A Birthday Salute to Edsger W. Dijkstra, chapter, 1990.