FR3034599A1 - Procede de commande securisee d’un telephone mobile par un dispositif electronique porte et dispositif electronique adapte a etre porte associe - Google Patents

Abstract

L'invention concerne un procédé de commande sécurisée d'un téléphone mobile (T) par un dispositif électronique porté (100) par un porteur (P). Le procédé selon l'invention comprend les étapes suivantes : - détermination d'une information relative à un porteur (P) du dispositif électronique porté (100) au moyen d'un capteur d'état du dispositif électronique porté (100), et - transmission de données, du dispositif électronique porté (100) au téléphone mobile (T), en fonction de l'état dudit porteur (P), par l'intermédiaire d'un canal d'échanges sécurisés par chiffrement. Un dispositif électronique adapté à être porté (100) associé à ce procédé est également décrit.

Description

1 DOMAINE TECHNIQUE AUQUEL SE RAPPORTE L'INVENTION La présente invention concerne de manière générale le domaine des procédés d'échanges de données entre dispositifs électroniques. Elle concerne en particulier un procédé de commande sécurisée d'un téléphone mobile, tel par exemple qu'un téléphone cellulaire, par un dispositif électronique porté, tel par exemple qu'une montre connectée. L'invention concerne également un dispositif et un téléphone mobile 10 dans lesquels peuvent être mis en oeuvre un tel procédé. Elle s'applique particulièrement avantageusement à la commande, depuis un dispositif électronique porté, d'opérations de paiement en ligne, de signature électronique ou d'authentification exécutées par le téléphone mobile commandé.

15 ARRIÈRE-PLAN TECHNOLOGIQUE De nombreux dispositifs électroniques sont munis de moyens de communication, notamment de moyens de communication par liaison sans fil, leur permettant de se connecter à d'autres appareils électroniques de manière à interagir et à échanger des informations avec ces derniers, par exemple au moyen 20 de protocoles de type Bluetooth ou WiFi. Par exemple, de nombreux types de montres, dites montres connectées, permettent d'échanger des informations entre la montre connectée et un appareil électronique tel qu'un téléphone mobile, par exemple un téléphone cellulaire. Une telle montre connectée peut ainsi recevoir d'un téléphone mobile 25 des informations, telles par exemple que des messages électroniques en provenance d'un service externe de télécommunication avec lequel le téléphone mobile communique, destinées à être affichées sur un écran de la montre. Il est également connu qu'une telle montre connectée accède à des informations mises à disposition sur le réseau internet, par l'intermédiaire d'un 30 téléphone mobile avec lequel elle communique, suite à une requête du porteur de la montre. Une telle requête est par exemple une requête de recherche pour un moteur de recherche du réseau internet, saisie par le porteur de la montre connectée sur cette dernière, et transmise au moteur de recherche par l'intermédiaire du téléphone mobile et d'un service externe de télécommunication.

3034599 2 Le téléphone mobile joue dans ce cas le rôle d'une passerelle entre la montre et le réseau internet, commandée par la montre. Plus généralement, une montre connectée peut commander l'exécution d'opérations réalisées par un téléphone mobile auquel elle est connectée.

5 OBJET DE L'INVENTION Dans ce contexte, la présente invention concerne un procédé de commande sécurisée d'un téléphone mobile par un dispositif électronique porté par un porteur, caractérisé en ce qu'il comprend les étapes suivantes : - détermination d'une information relative au porteur du dispositif électronique porté au moyen d'un capteur d'état du dispositif électronique porté, et - transmission de données, du dispositif électronique porté au téléphone mobile, en fonction de ladite information relative au porteur, par l'intermédiaire d'un canal d'échanges sécurisés par chiffrement. Le capteur d'état susmentionné peut notamment être adapté à déterminer si un individu portant le dispositif électronique (le porteur du dispositif) présente une activité biologique (température de son épiderme voisine de 37°C, présence d'une activité cardiovasculaire et/ou électrodermale), est dans un état statique ou dans un état de mouvement, ou tout autre information relative à ce porteur ou à l'état de ce porteur. Il peut également être adapté à déterminer des caractéristiques de l'activité biologique de ce dernier (rythme cardiaque par exemple), renseignant par exemple sur l'état normal, de repos, ou de tension nerveuse de ce dernier. Dans un procédé selon l'invention, le fait de conditionner la transmission de données, notamment de données de commande, du dispositif électronique au téléphone mobile, à ladite information relative au porteur permet avantageusement de sécuriser fortement ladite transmission de données. Cette information relative au porteur permet en effet, par exemple, de vérifier que le dispositif est porté par un individu (le porteur du dispositif), de vérifier que cet individu est en vie, qu'il n'est pas dans un état de tension nerveuse inhabituelle, ou même de vérifier son identité sur la base de ladite information relative à son activité biologique. Par ailleurs, la sécurité de la transmission de données, du dispositif électronique porté au téléphone mobile, est encore renforcée par l'utilisation d'un canal d'échanges sécurisés par chiffrement.

3034599 3 Grâce à l'ensemble de ces dispositions, un lien très fortement sécurisé est donc établi entre le dispositif électronique porté et le téléphone mobile. Un tel lien est particulièrement avantageux car il peut permettre notamment au porteur de commander à distance, depuis un dispositif électronique 5 porté, l'exécution d'opérations sécurisées réalisées par un téléphone mobile, et ce avec un niveau de sécurité adapté, depuis le début d'une telle chaîne de commande, jusqu'à l'exécution de cette opération sécurisée. Il est à noter en outre que l'utilisation pour cela d'une information relative au porteur favorise une utilisation commode du dispositif électronique par son 10 porteur, puisqu'une telle information peut être déterminée sans nécessiter une intervention directe du porteur du dispositif. Cela permet également un contrôle fréquent de l'état du porteur ou des conditions d'utilisation du dispositif électronique, ce qui améliore encore la sécurité de ce lien. On peut prévoir également, afin de tirer pleinement profit du lien fort ainsi 15 établi entre le dispositif électronique porté et le téléphone mobile, - que ladite information relative au porteur comprend des données biométriques du porteur, - que lesdites données transmises comprennent une requête d'exécution d'une opération à destination du téléphone mobile, et/ou 20 - que ladite transmission de données est réalisée à condition que lesdites données biométriques correspondent au moins partiellement à des données biométriques de référence dudit porteur. Il est aussi prévu que les données transmises comprennent des données obtenues sur la base desdites données biométriques, et que le procédé décrit ci- 25 dessus comprenne de plus une étape d'exécution, par le téléphone mobile, de ladite opération requise, à condition que lesdites données biométriques correspondent à des données biométriques de référence dudit porteur. Il est également prévu que le téléphone mobile est conçu pour fonctionner alternativement dans un environnement d'exécution sécurisé et dans 30 un environnement d'exécution standard, et que le procédé décrit ci-dessus comprend de plus des étapes préalables de : - transmission d'une requête de démarrage, du dispositif électronique porté vers le téléphone mobile, et - à réception de la requête de démarrage par le téléphone mobile, 3034599 4 basculement du fonctionnement du téléphone mobile de l'environnement d'exécution standard à l'environnement d'exécution sécurisé. Un fonctionnement du téléphone mobile assuré par un environnement d'exécution sécurisé contribue à la sécurité du lien établi entre le dispositif 5 électronique et le téléphone mobile. Mais un fonctionnement du téléphone mobile assuré en toutes circonstances par un environnement d'exécution sécurisé peut être contraignant. Un tel téléphone mobile peut en effet être amené à exécuter des opérations courantes, comme par exemple transmettre des dépêches 10 journalistiques publiques, pour lesquelles un environnement d'exécution standard peut être plus adapté qu'un environnement d'exécution sécurisé. Il est donc avantageux que le téléphone mobile soit conçu pour fonctionner sélectivement dans un environnement d'exécution sécurisé et dans un environnement d'exécution standard, et qu'un basculement du fonctionnement du 15 téléphone mobile de l'environnement d'exécution standard à l'environnement d'exécution sécurisé soit par ailleurs prévu, selon les modalités décrites ci-dessus. D'autres caractéristiques non limitatives et avantageuses d'un procédé selon l'invention sont les suivantes : - les données obtenues sur la base des données biométriques sont des 20 données représentatives desdites données biométriques, - le procédé comprend une étape de comparaison des données représentatives et des données biométriques de référence dans l'environnement d'exécution sécurisé, et - le procédé comprend une étape de mémorisation des données 25 représentatives dans l'environnement d'exécution sécurisé. Selon une autre possibilité, il est prévu que les données obtenues sur la base des données biométriques sont obtenues, au sein du dispositif électronique porté, par comparaison desdites données biométriques et de données biométriques de référence du porteur.

30 Il est aussi prévu que le procédé décrit ci-dessus comprend une étape de mémorisation desdites biométriques dans un espace de stockage sécurisé du dispositif électronique porté. L'invention propose également : - que lesdites données biométriques sont des données représentatives 3034599 5 de l'activité biologique dudit porteur, - que lesdites données représentatives de l'activité biologique dudit porteur sont des données représentatives de son activité cardiovasculaire et/ou de son activité électrodermale, 5 - que l'environnement d'exécution sécurisé est réalisé au moins en partie du fait de l'exécution d'un système d'exploitation de confiance au sein du téléphone mobile, - que l'environnement d'exécution sécurisé est réalisé au moins en partie au moyen d'un module électronique sécurisé, tel qu'une puce électronique 10 sécurisée. Il est aussi prévu : - un basculement du fonctionnement du téléphone mobile de l'environnement d'exécution sécurisé vers l'environnement d'exécution standard et une interruption d'une opération mise en oeuvre par le téléphone mobile si des 15 conditions prédéterminées sont remplies, et - que lesdites conditions prédéterminées se rapportent à un signal délivré par ledit capteur d'état. De telles conditions prédéterminées peuvent par exemple correspondre à des situations n'offrant pas une sécurité considérée comme suffisante. Par 20 exemple, lorsque le dispositif électronique porté est une montre connectée, le fait que le bracelet de la montre soit ouvert peut être considéré comme correspondant à une situation ne permettant pas une sécurité d'utilisation suffisante (puisqu'une telle situation peut par exemple correspondre à une tentative de vol de la montre connectée). Le fait que le porteur du dispositif électronique porté présente une 25 activité cardiovasculaire anormale peut aussi correspondre, par exemple, à une situation de stress causée par une tentative de vol de la montre connectée. Il est particulièrement intéressant, dans une telle situation, de prévoir ainsi un basculement du fonctionnement du téléphone mobile, de l'environnement d'exécution sécurisé vers l'environnement d'exécution standard, et une 30 interruption d'une opération mise en oeuvre par le téléphone mobile, en particulier si l'opération a été commandée par le dispositif électronique porté. L'invention propose aussi : - que le dispositif électronique porté est au contact d'une partie de corps du porteur, 3034599 6 - que le dispositif électronique porté est muni de moyens d'attache sur une partie de corps du porteur, ce qui rend le dispositif électronique porté particulièrement accessible et commode d'utilisation pour son porteur, et - que le dispositif électronique porté est une montre connectée, 5 Selon une variante envisageable, le procédé décrit ci-dessus peut comprendre de plus les étapes successives suivantes : - incrémentation d'un compteur, - comparaison desdites données biométriques avec des données biométriques de référence dudit porteur si ledit compteur est supérieur à un 10 nombre prédéterminé, - remise à zéro dudit compteur si lesdites données correspondent audites données biométriques de référence, et - exécution, par le téléphone mobile, de ladite opération requise, si ledit compteur est inférieur audit nombre prédéterminé.

15 Cette disposition permet l'exécution, par le téléphone mobile, de plusieurs opérations requises par le dispositif électronique, avant qu'il ne soit à nouveau nécessaire de vérifier les données biométriques du porteur. Il est également prévu que ladite détermination d'une information relative au porteur est réalisée lorsque : 20 - le porteur saisit une commande sur le dispositif électronique porté, ou lorsque - une horloge du dispositif électronique porté ou du téléphone mobile atteint une valeur temporelle prédéterminée, ou lorsque - un compteur du dispositif électronique porté ou du téléphone mobile 25 atteint une valeur prédéterminée, ou lorsque - le dispositif électronique porté ou le téléphone mobile détecte un appareil électronique distinct du dispositif électronique porté et du téléphone mobile, l'appareil électronique détecté comprenant par exemple un terminal apte à communiquer par une émission électromagnétique en champ proche avec le 30 dispositif électronique porté ou avec le téléphone mobile, ou encore lorsque - le téléphone mobile reçoit des données provenant d'un service externe de télécommunication. L'invention propose aussi un dispositif électronique adapté à être porté comportant un module de communication, un module de commande, et un capteur 3034599 7 d'état, dans lequel il est prévu que : - le module de commande est adapté à produire une information relative à un porteur du dispositif électronique adapté à être porté sur la base d'un signal produit par le capteur d'état, et 5 - le module de commande est de plus adapté à commander au module de communication de transmettre ladite information produite via un canal d'échanges sécurisés. L'invention prévoit en outre un téléphone mobile conçu pour participer au procédé décrit ci-dessus.

10 DESCRIPTION DÉTAILLÉE D'UN EXEMPLE DE RÉALISATION La description qui va suivre en regard des dessins annexés, donnés à titre d'exemples non limitatifs, fera bien comprendre en quoi consiste l'invention et comment elle peut être réalisée. Sur les dessins annexés : 15 - la figure 1 représente schématiquement un dispositif électronique selon l'invention, - la figure 2 représente schématiquement le dispositif de la figure 1, sous un autre angle de vue, - la figure 3 représente schématiquement les principaux modules 20 électroniques d'un tel dispositif, - la figure 4 représente schématiquement des entités qui échangent des informations avec un tel dispositif, - la figure 5 représente schématiquement les principales étapes d'un procédé selon l'invention, au cours duquel des données biométriques de référence 25 d'un porteur sont déterminées et enregistrées, - les figures 6, 7 et 8 représentent schématiquement trois exemples de procédés selon l'invention, sécurisés notamment pas l'utilisation de données biométriques de référence préenregistrées. Dans toutes les figures, les éléments communs portent les mêmes 30 références. Les figures 1 et 2 représentent schématiquement un dispositif électronique porté 100 selon l'invention, ici une montre connectée. En variante, il pourrait s'agir d'un bracelet connecté destiné à identifier son porteur, d'une paire de lunettes connectée comprenant un dispositif d'affichage, ou d'une pièce 3034599 8 d'habillement connectée. Dans la suite, le dispositif électronique porté 100 est désigné aussi bien par cette dernière expression que comme le dispositif 100. Ce dernier comprend notamment : - des moyens d'affichage 101, comprenant ici un écran tactile ; 5 - un organe 102 d'attache à un porteur, tel qu'un bracelet, un bandeau ou une ceinture, pouvant être muni de moyens de fermeture 103, tels qu'une boucle, un fermoir, ou un système aimanté, lesdits moyens de fermeture comprenant un capteur délivrant un signal représentatif du caractère ouvert ou fermé moyens de fermeture 103; 10 - un ou plusieurs capteurs de contact 104, 105 détectant le contact du dispositif 100 avec l'épiderme d'un porteur de ce dernier, par exemple un capteur à effet capacitif, un capteur de température, un capteur de pression, ou tout capteur adapté à détecter un tel contact ; - un ou plusieurs boutons ou capteurs de présence 106, 107 permettant 15 à un porteur du dispositif 100 de transmettre des instructions à ce dernier, par pression ou contact de l'un de ses doigts ; un tel bouton ou capteur de présence 106; 107 peut en particulier comprendre un capteur de luminosité permettant à la fois à un porteur du dispositif 100 de transmettre des instructions à ce dernier en occultant le capteur de luminosité avec l'un de ses doigts, et permettant de 20 déterminer un niveau de luminosité ambiant ; - un dispositif d'émission de sons 108, ici un haut-parleur ; - un capteur 116 de signaux acoustiques, ici un microphone, permettant de recevoir des commandes vocales données par un porteur du dispositif 100; - un capteur d'activité cardiovasculaire 109 (visible figure 2), comprenant 25 par exemple un capteur de pression apte à déterminer une fréquence cardiaque d'un porteur et une pression artérielle de ce dernier ; le capteur d'activité cardiovasculaire 109 peut aussi comprendre, par exemple, au moins deux électrodes permettant de détecter électriquement l'activité cardiaque d'un porteur du dispositif 100 (par exemple par le relevé d'un électrocardiogramme) ; le capteur 30 d'activité cardiovasculaire 109 peut aussi comprendre un oxymètre colorimétrique de pouls comprenant un capteur optique permettant de mesurer l'absorption ou la réflexion de radiations émises par deux diodes électroluminescentes de longueurs d'onde moyennes d'émission différentes, ce qui permet de déterminer la fréquence d'oxygénation, et donc la fréquence cardiaque d'un porteur du dispositif 3034599 9 100, ainsi que le taux de saturation en oxygène dans son sang ; - des moyens 115 d'émission de signaux lumineux, par exemple un dispositif comprenant une diode électroluminescente, et - un capteur d'activité électrodermale {117,118} comprenant deux 5 électrodes 117 et 118 destinées à venir en contact avec l'épiderme d'un porteur du dispositif 100 pour mesurer une impédance électrique de son épiderme et/ou un signal électrique représentatif de son activité électrodermale. Une telle mesure d'impédance électrique renseigne sur la composition du derme et de l'épiderme d'un porteur du dispositif 100, en particulier sur la 10 fraction de masse qui y est présente sous forme de graisse. Une mesure de différence de potentiel électrodermale permet par ailleurs de déterminer la fréquence respiratoire du porteur du dispositif 100 et de détecter s'il transpire, grâce à quoi un état de stress de ce dernier peut être détecté. Le dispositif 100 comprend donc une interface d'interaction avec son 15 porteur, comportant les boutons ou capteurs de présence 106, 107, un microphone 116, et, ici, l'écran tactile compris dans les moyens d'affichage 101. Cette interface d'interaction permet notamment au porteur du dispositif 100 de transmettre à ce dernier des requêtes d'opérations à exécuter, ou d'indiquer un élément de son choix dans une liste d'éléments proposés par dispositif 100, via 20 les moyens d'affichage 101 par exemple, ou via le haut-parleur 108. La figure 3 représente les principaux modules électroniques du dispositif 100. Celui-ci comprend un module de communication 110 qui reçoit, par l'intermédiaire d'une antenne (par exemple une antenne électromagnétique), des données en provenance d'un téléphone mobile T, tel qu'un téléphone cellulaire 25 (visible figure 4). Par « téléphone mobile », on désigne ici de manière générale un appareil électronique mobile adapté à communiquer avec un réseau de télécommunication, tel que le service extérieur de télécommunication E représenté figure 4. Un tel « téléphone mobile » est par exemple un ordiphone, un téléphone intelligent (ou « smartphone », selon la dénomination anglo-saxonne), ou encore 30 une tablette électronique à écran tactile ou phablette (selon la dénomination anglo-saxonne « phablet »). Le dispositif 100 et le téléphone mobile peuvent ainsi échanger des informations via une liaison sans fil. Le module de communication 110 peut aussi émettre des données par l'intermédiaire de cette même antenne. Le protocole utilisé par le module de communication 110 lors de ces échanges 3034599 10 sans fil peut être un protocole de type Bluetooth, WiFi, Zigbee, NFC, ou tout autre protocole de communication adapté au dispositif. Les données ainsi reçues sont transmises par le module de communication 110 à un module de commande 111, par exemple un 5 microprocesseur, où elles peuvent être traitées. Les données ainsi reçues, traitées ou non par module de commande 111, peuvent ensuite être enregistrées dans un module de mémorisation 112, avec lequel le module de commande 111 communique. Le module de commande 111 comprend par ailleurs une horloge permettant par exemple de déclencher des évènements à des instants 10 prédéterminés. Les données enregistrées dans le module de mémorisation 112 peuvent comprendre des données de personnalisation du dispositif 100, des données reçues ou des données produites par le dispositif 100, et des données d'application (par exemple un système d'exploitation et des programmes 15 informatiques, dont un programme comprenant des instructions qui, lorsqu'elles sont exécutées par le module de commande 111, permettent de mettre en oeuvre un procédé tels que ceux décrits ci-dessous) et, de manière optionnelle, des données cryptographiques additionnelles utilisées par le module de commande 111 pour chiffrer/déchiffrer, signer/vérifier la signature des informations échangées 20 par le dispositif 100 par l'intermédiaire du module de communication 110. Le module de mémorisation 112 peut par exemple comprendre une mémoire vive (de type RAM), ou une mémoire non volatile, par exemple une mémoire non volatile réinscriptible de type mémoire Flash, cette dernière ayant l'avantage de nécessiter peu d'énergie électrique. Le module de mémorisation 112 25 peut comprendre un espace sécurisé dans lequel sont stockées des données accessibles seulement lorsque le fonctionnement du dispositif 100 est assuré par l'exécution d'un système d'exploitation de confiance. Le dispositif 100 peut aussi comprendre un module électronique sécurisé 119, tel qu'un circuit intégré sécurisé, qui peut être utilisé pour le stockage d'une 30 clef cryptographique, d'un certificat électronique, ou encore d'une donnée d'identification biométrique. Les capteurs d'état mentionnés ci-dessus, à savoir : - le capteur délivrant un signal représentatif du caractère ouvert ou fermé des moyens de fermeture 103, 3034599 11 - les capteurs de contact 104 et 105, - le capteur d'activité cardiovasculaire 109, et - le capteur d'activité électrodermale {117,118}, ainsi que les capteurs suivant : 5 - les boutons 106 et 107 (ou, en variante des capteurs capacitifs ou des capteurs de luminosité ayant la même fonction que les boutons 106 et 107), - le microphone 116, transmettent des données représentatives des signaux qu'ils mesurent au module de commande 111, lesdites données étant traitées et utilisées par ce 10 dernier selon des procédés décrits ci-dessous. De même, les données représentatives de signaux mesurés par un module de détection de mouvement et d'orientation 113, comportant un capteur tel qu'un gyromètre et/ou un accéléromètre et considéré également comme un capteur d'état sont transmises au module de commande 111.

15 Ce dernier pilote par ailleurs les moyens d'affichage 101, et peut recevoir des informations de ces derniers, par exemple lorsqu'ils comprennent un écran tactile. Selon des procédés décrits plus loin, suite à la réception de données par le module de communication 110, le dispositif 100 peut émettre des signaux à 20 l'aide de moyens d'émission de signaux, par exemple un vibreur 114, le haut- parleur 108, ou les moyens 115 d'émission de signaux lumineux. Les modules électroniques présentés ci-dessus collaborent entre eux pour mettre en oeuvre des procédés de commande sécurisés d'un téléphone mobile, tel qu'un terminal de communication, décrits ci-dessous.

25 Ces modules électroniques peuvent aussi remplir des fonctions supplémentaires comme par exemple afficher l'heure, ou afficher des informations relatives à une activité sportive pratiquée par utilisateur, lorsque le dispositif 100 est par exemple une montre connectée ou un bracelet pour entrainement sportif. La figure 4 représente schématiquement des entités qui échangent des 30 informations avec un dispositif selon l'invention, en particulier selon des procédés décrits ci-dessous. Il s'agit tout d'abord d'un porteur P du dispositif 100, pouvant recevoir des informations émises par ce dernier et interagir avec lui par l'intermédiaire des interfaces présentées ci-dessus (écran tactile compris dans les moyens 3034599 12 d'affichage 101, boutons 106, 107, vibreur 114, haut-parleur 108, moyens d'émission de signaux lumineux 115, microphone 116). Le dispositif 100 est fixé au porteur P par les moyens d'attache 102, par exemple un bracelet, comme cela a été mentionné précédemment, permettant ici 5 de fixer le dispositif 100 à l'un des poignets de l'utilisateur. Le dispositif 100 est en contact avec l'épiderme du porteur P de ce dernier. Le ou les capteurs de contact 104, 105 détectent si le dispositif 100 est effectivement en contact avec l'épiderme d'un porteur, par exemple en combinant une détection capacitive indiquant la proximité d'un élément au moins partiellement conducteur, en l'occurrence le 10 corps du porteur, et une mesure de température indiquant si le dispositif 100 est en contact avec un élément de température voisine de 37°C, comme c'est le cas pour l'épiderme d'un porteur P du dispositif 100. Ces informations peuvent être complétées par celles fournies par le capteur indiquant l'état ouvert ou fermé des moyens de fermeture 103, et pouvant donc notamment détecter l'ouverture des 15 moyens de fermeture 103. Le capteur d'activité cardiovasculaire 109 et le capteur d'activité électrodermale {117,118} fournissent des informations relatives à l'activité biologique du porteur P : fréquence cardiaque, pression artérielle, fréquence respiratoire, taux de saturation en oxygène dans son sang, présence de 20 transpiration. Ces informations peuvent servir de données biométriques identifiant le porteur P, et permettent de déterminer son état : état normal, état au repos, état de stress, ou encore situation de pratique d'une activité sportive, par exemple. Une partie des données biométriques du porteur P et des informations relatives à son activité peuvent être transmises par le dispositif 100 à un téléphone 25 mobile T (qu'il peut être amené à commander, selon des procédés décrits ci-dessous). Ce dernier échange des informations avec le dispositif 100, et peut également communiquer avec un service extérieur de télécommunication E, par exemple pour accéder à des certificats électroniques mis à disposition par des 30 autorités de certification, pour réaliser des opérations bancaires, par exemple de paiement en ligne, ou encore pour permettre une authentification, par exemple du porteur P, auprès d'une entité extérieure. La figure 5 représente schématiquement les principales étapes d'un procédé selon l'invention au cours duquel un appairage, désigné ici aussi par le 3034599 13 terme appariement, du dispositif électronique porté 100 et du téléphone mobile T est réalisé. Ce procédé comprend notamment une détermination et un enregistrement de données biométriques de référence d'un porteur. Sur cette figure, les actions se suivent dans le temps, du haut vers le bas.

5 Un tel procédé comprend deux phases : - une première phase CO d'établissement d'une connexion sécurisée entre un dispositif électronique porté, en l'occurrence le dispositif 100 décrit ci-dessus, et le téléphone mobile T; et - une deuxième phase ENR de détermination et d'enregistrement de 10 données biométriques de référence d'un porteur. Le dispositif 100, son porteur P et le téléphone mobile T sont impliqués dans la réalisation de cette étape, ainsi que le service extérieur de télécommunication E, de manière optionnelle. Les opérations informatiques réalisées par le téléphone mobile T 15 peuvent être mises en oeuvre dans l'un ou l'autre de deux systèmes informatiques distincts, correspondant à des niveaux de sécurité différents : - un système d'exploitation informatique polyvalent OS (selon l'acronyme anglo-saxon de « Operating System »), du type « Rich OS » par exemple, fournissant au téléphone mobile T un environnement d'exécution standard, et 20 - un environnement d'exécution sécurisé TEE/SE, assurant le fonctionnement du téléphone mobile T dans un mode sécurisé, adapté notamment à l'exécution d'opérations informatiques sécurisées. L'environnement d'exécution sécurisé TEE/SE a par exemple un niveau de sécurité conforme aux critères communs EAL (pour "Evaluation Assurance Level"), correspondant à la norme 25 ISO 15408, avec un niveau compris entre 2 et 7, ou à la norme FIPS (pour "Federal Information Processing Standard") 140-2. Par opération informatique sécurisée, on désigne ici par exemple : - l'émission par le téléphone mobile T d'un ordre d'opération bancaire en ligne (par exemple un ordre de paiement, de virement bancaire, de vente ou 30 d'achat de valeurs boursières), transmis par exemple à un serveur bancaire par l'intermédiaire du service extérieur de télécommunication E, en général sous forme cryptée, - la signature électronique d'un document informatique par le téléphone mobile T, ou le fait que le téléphone mobile T autorise une entité extérieure à 3034599 14 accéder à une application de signature électronique qu'il contient, - l'émission par le téléphone mobile T de données à caractère privé, telles que des données biométriques ou des données d'identité d'un individu, et, plus généralement, 5 - une opération portant sur des données d'identité ou d'identification d'un individu, sur des données bancaires, ou sur tout type de données à caractère confidentiel, ou encore - une opération permettant un accès physique individualisé à une entité telle qu'un bâtiment, une salle, une zone géographique fermé ou encore un 10 véhicule. L'environnement d'exécution sécurisé TEE/SE permet notamment d'exécuter de telles d'opérations informatiques sécurisées séparément d'opérations informatiques courantes (l'exécution des d'opérations informatiques courantes étant confiée au système d'exploitation OS, du type « Rich OS » par 15 exemple). L'environnement d'exécution sécurisée TEE/SE peut être réalisé au moyen de l'exécution d'un système d'exploitation de confiance par le processeur principal du téléphone mobile T (auquel cas l'environnement d'exécution sécurisé est un environnement d'exécution de confiance, ou TEE pour « Trusted Execution 20 Environment »), ou dans un module électronique sécurisé dédié spécifiquement à cette fonction (SE pour « Secure Element » en anglais, ou élément sécurisé). L'environnement d'exécution sécurisée TEE/SE peut aussi être réalisé au moyen de l'exécution d'un système d'exploitation de confiance TEE par ledit processeur principal du téléphone mobile T, en coopération avec un module 25 électronique sécurisé dédié notamment à un stockage sécurisé d'informations, par exemple des données biométriques, lesdites informations étant accessibles seulement lorsque le fonctionnement du téléphone mobile T est assuré par l'exécution du système d'exploitation de confiance TEE. Ce module électronique sécurisé peut aussi contenir une ressource informatique, par exemple une clef de 30 chiffrement, un certificat électronique, un programme informatique, ou toute autre donnée sensible permettant d'effectuer des opérations cryptographiques. On notera que le système d'exploitation de confiance TEE fait référence à un outil logiciel permettant un mode de fonctionnement sécurisé du téléphone mobile T, tandis que le module électronique sécurisé est un composant 3034599 15 électronique physique (sécurisé). Ce module électronique sécurisé pouvant équiper le téléphone mobile T peut comprendre lui-même un processeur. Ce module électronique sécurisé est par exemple un circuit intégré sécurisé (ou SE, acronyme anglo-saxon de "Secure 5 Element"), éventuellement soudé dans le téléphone mobile T (alors dénommé eSE, acronyme anglo-saxon de "embedded Secure Element"), ou une carte à microcircuit (ou UICC, acronyme anglo-saxon de "Universal Integrated Circuit Card"). Un module de gestion de sécurité, dénommé aussi gestionnaire de 10 sécurité SM (selon l'acronyme anglo-saxon de « Secure Monitor »), assure le basculement du téléphone mobile T d'un mode de fonctionnement standard vers un mode de fonctionnement sécurisé, et vice-versa. Sur la figure 5, les flèches reliant deux entités représentent schématiquement une transmission d'informations entre les deux entités. Une 15 flèche comportant un double trait horizontal (étape 520 par exemple) représente schématiquement une transmission nécessairement chiffrée. La phase CO d'établissement d'une connexion sécurisée, par laquelle débute le procédé représenté schématiquement figure 5, commence lorsque le porteur P allume le dispositif 100 et déclenche l'exécution par ce dernier d'une 20 fonction d'identification d'appareils électroniques (étape 501), situés dans le voisinage du dispositif 100, pouvant communiquer avec ce dernier et s'apparier avec lui, comme cela est expliqué ci-dessous. Après avoir identifié de tels appareils, notamment grâce à son module de communication 110, le dispositif 100 affiche une liste de ces derniers sur ses 25 moyens d'affichage 101 (étape 502), ou communique cette liste au porteur P sous forme d'un message sonore émis par le haut-parleur 108. Le porteur P sélectionne l'un des appareils de cette liste, ici le téléphone mobile T, au moyen par exemple de l'écran tactile que comprennent les moyens d'affichage 101, au moyen des boutons 106, 107 (étape 503), ou encore en 30 donnant une instruction au dispositif 100 sous forme vocale, par l'intermédiaire du microphone 116. Dans un mode de réalisation, on peut prévoir, lorsque le porteur du dispositif 100 a sélectionné de manière manuelle, comme décrit ci-dessus, un téléphone mobile T donné lors d'une utilisation antérieure du dispositif 100, que le 3034599 16 dispositif 100 sélectionne par défaut ledit terminal (sélectionné lors d'une utilisation antérieure), et propose alors directement à son porteur P de valider le choix de ce téléphone mobile T, voire même sélectionne ledit téléphone mobile T sans intervention du porteur P.

5 Une requête d'appariement 504 est alors transmise par le dispositif 100 au téléphone mobile T. Elle comprend un identifiant du dispositif 100, et peut également comprendre une clef cryptographique publique CP associée au dispositif 100, pouvant être utilisée dans un processus ultérieur d'authentification par défi-réponse, comme décrit plus bas. Cette requête peut aussi comprendre, de 10 manière optionnelle, une donnée identifiant l'application sécurisée du téléphone mobile T correspondant au processus d'appariement décrit ci-dessous. A ce stade, le téléphone mobile T fonctionne dans le cadre de l'environnement d'exécution standard (cette requête est donc traitée par le système d'exploitation OS). Par ailleurs, à ce stade, le dispositif 100 et le téléphone mobile T échangent 15 des informations à travers un canal non sécurisé, en ce sens que les informations échangées ne sont pas nécessairement chiffrées. De manière optionnelle, le téléphone mobile T peut contacter un serveur ou une autorité de certification, par l'intermédiaire du service externe de télécommunication E (étape 505), afin par exemple d'obtenir un certificat 20 électronique de la clef publique CP reçue lors de l'étape précédente (étape 504), ou afin d'obtenir des caractéristiques techniques du dispositif 100 avec lequel il communique. Après avoir identifié le dispositif 100 (au moyen de l'identifiant reçu de ce dernier lors de l'étape 504), le système d'exploitation OS du téléphone mobile T 25 transmet au gestionnaire de sécurité SM une requête de basculement en mode de fonctionnement sécurisé (étape 506). Le gestionnaire de sécurité SM déclenche alors le démarrage de l'environnement d'exécution sécurisé TEE/SE (étape 507). Dans le cadre de l'environnement d'exécution sécurisé TEE/SE, un 30 processus d'authentification du dispositif 100 par le téléphone mobile T est lancé. Au cours de celui-ci, le téléphone mobile T génère un défi (par exemple un nombre aléatoire) et émet ce défi à destination du dispositif 100 (étape 508) afin que celui-ci produise une signature en utilisant notamment ce défi et une clé privée d'authentification propre au dispositif 100 (associée à la clé publique CP 3034599 17 susmentionnée dans une infrastructure à clé publique). Le dispositif 100 envoie alors en réponse la signature produite au téléphone mobile T (étape 510) afin que celui-ci vérifie cette signature (au cours de l'étape 511) au moyen de la clé publique CP du dispositif 100 (contenue par exemple dans la requête 5 d'appariement 504 susmentionnée), ce qui permet d'authentifier le dispositif 100. Au cours de ce processus d'authentification, la réception du défi par le dispositif 100 (étape 508) est suivie de l'émission d'un signal par ce dernier, indiquant à son porteur P le début du processus d'appariement du dispositif 100 avec le téléphone mobile T (étape 509). Un tel signal peut par exemple 10 correspondre à une vibration du dispositif 100 (produite par le vibreur 114), à l'émission d'un signal sonore par le haut-parleur 108, à l'émission d'un signal lumineux (par les moyens 115 d'émission d'un signal lumineux), ou encore à l'affichage d'un message particulier par les moyens d'affichage 101 (sous la forme d'un texte, d'un symbole, ou d'une image).

15 En outre, préalablement à l'étape 510 de réponse au défi, le dispositif 100 vérifie qu'il est porté par un individu en vie, sur la base notamment de données représentatives de l'état ouvert ou fermé des moyens de fermeture 103, de données indiquant un contact du dispositif 100 avec l'épiderme d'un porteur, et indiquant que ce dernier est en vie. Ces données sont déterminées par les 20 capteurs équipant le dispositif 100, comme expliqué plus en détail ci-dessous lors de la description de l'étape 521. Par ailleurs, lors de ce processus d'authentification, le dispositif 100 peut, en plus de ladite signature, transmettre au téléphone mobile T des données permettant ultérieurement d'établir un canal d'échanges sécurisé entre le dispositif 25 100 et le téléphone mobile T. Lorsque l'authentification du dispositif 100 échoue lors de l'étape 511, une requête de basculement du téléphone mobile T en mode de fonctionnement standard est émise depuis l'environnement d'exécution sécurisé TEE/SE à destination du gestionnaire de sécurité SM (étape 512). Le gestionnaire de 30 sécurité SM déclenche ensuite ce basculement (étape 513). Le système d'exploitation OS génère alors un signal d'erreur, transmis au dispositif 100 (étape 514), signalant à ce dernier l'échec du processus d'appariement du dispositif 100 avec le téléphone mobile T. Dans ce cas le processus représenté schématiquement figure 5 s'achève alors par une étape terminale 515, sans 3034599 18 détermination ni enregistrement de données biométriques de référence du porteur P. Au terme de l'étape 515, le dispositif 100 poursuit son fonctionnement, par exemple dans l'attente de recevoir une autre commande, au niveau d'un écran tactile ou d'un des boutons 106 et 107.

5 Lorsqu'au contraire le dispositif 100 est authentifié avec succès au terme de l'étape 511, le processus représenté schématiquement figure 5 se poursuit par la phase ENR de détermination et d'enregistrement de données biométriques de référence du porteur P. La phase ENR débute par une étape 520 au cours de laquelle un canal 10 d'échanges sécurisés est établi entre le dispositif 100 et le téléphone mobile T, c'est-à-dire qu'un mode de transmission chiffré des données échangées entre ces deux entités est mis en place. Ce chiffrement peut par exemple être un chiffrement symétrique réalisé au moyen d'une clef de session privée. Cette clef de session privée peut par exemple être générée par le téléphone mobile T, être ensuite 15 cryptée au moyen de la clef publique CP du dispositif 100, être transmise à ce dernier pour y être enfin décryptée grâce à la clef privée du dispositif 100. Ledit canal sécurisé peut aussi, dans un autre mode de réalisation, être créé à partir de données transmises par le dispositif 100 au téléphone mobile T lors de la réponse 510 au défi 508, comme mentionné ci-dessus.

20 Des données représentatives de l'état ouvert ou fermé des moyens de fermeture 103, sont ensuite déterminées, lors de l'étape suivante 521, au moyen du capteur indiquant l'état ouvert ou fermé des moyens de fermeture 103. Des données indiquant un contact du dispositif 100 avec l'épiderme d'un porteur, et indiquant que ce dernier est en vie (température cutanée proche de 37°C, 25 présence d'une activité cardiovasculaire ou respiratoire), sont aussi déterminées, au moyen des capteurs de contact 104, 105, du capteur d'activité cardiovasculaire 109 et du capteur d'activité électrodermale {117,118} décrits ci-dessus, lors de l'étape 521. Les capteurs 104, 105, 109 et {117,118} permettent, lors de l'étape 521, non seulement de détecter que le porteur P est en vie, mais permettent 30 également de déterminer des données biométriques de ce dernier. Ces données biométriques sont destinées à servir de signature du porteur P lors de l'utilisation ultérieure du dispositif 100. Il s'agit ainsi de données biométriques de référence du porteur P. En vue de cette utilisation ultérieure, elles sont enregistrées, soit dans le dispositif 100, soit dans le téléphone mobile T, après toutefois que le dispositif 3034599 19 100 ait vérifié qu'il est effectivement fixé à un porteur P, en contact avec son épiderme, et que ce dernier est en vie. Au cours de l'étape suivante 522, le dispositif 100 vérifie ainsi qu'il est effectivement fixé à un porteur P, en contact avec son épiderme, et que ce dernier 5 est en vie. Lorsque ce n'est pas le cas, le dispositif 100 transmet au téléphone mobile T une requête 523 de basculement en mode de fonctionnement standard et d'arrêt du processus d'enregistrement de données biométriques de référence. L'environnement d'exécution sécurisé TEE/SE déclenche alors ce 10 basculement et cet arrêt, réalisés au cours de la succession d'étapes 524 à 527, similaire à la succession d'étapes 512 à 515 décrite ci-dessus. Lorsqu'au contraire le dispositif 100 contrôle avec succès (au cours de l'étape 522) qu'il est effectivement fixé à un porteur P, en contact avec l'épiderme de ce dernier, et que le porteur P est en vie, les données biométriques de 15 référence mentionnées ci-dessus sont transmises par le dispositif 100 au téléphone mobile T, par l'intermédiaire du canal sécurisé décrit ci-dessus, lors de l'étape 528. L'utilisation d'un canal sécurisé pour la transmission de telles données contribue efficacement à la sécurité du processus. Les données biométriques de référence sont en effet utilisées ultérieurement comme une forme de signature du 20 porteur P, afin de vérifier l'identité de ce dernier lorsqu'il requiert l'exécution d'une opération informatique sécurisée. Il est donc important d'assurer la sécurité, l'intégrité et l'authenticité des données biométriques de référence, comme c'est le cas ici par l'utilisation dudit canal sécurisé. Les données biométriques de référence sont ensuite enregistrées dans 25 une zone de mémoire sécurisée du téléphone mobile T, lors de l'étape 529. Lorsqu'un élément sécurisé SE, distinct du processeur principal du téléphone mobile T, est utilisé pour réaliser l'environnement d'exécution sécurisé, cette zone de mémoire sécurisée peut par exemple être localisée dans l'élément sécurisé SE lui-même.

30 Lorsque l'environnement d'exécution sécurisé est réalisé au moyen d'un environnement d'exécution de confiance TEE, la zone de mémoire sécurisée peut être incluse dans une mémoire distincte des moyens de mémorisation principaux du module de communication T. Elle peut aussi, en variante, être incluse dans les moyens de mémorisation principaux du téléphone mobile T (par exemple dans un 3034599 20 module de mémoire non volatile réinscriptible), mais alors dans une zone séparée et sécurisée de ces derniers, accessible uniquement lors d'un fonctionnement du téléphone mobile T en mode sécurisé, c'est-à-dire accessible seulement dans le cadre du fonctionnement dans l'environnement d'exécution de confiance TEE.

5 Enfin, lorsque l'environnement d'exécution sécurisé est réalisé au moyen d'un environnement d'exécution de confiance TEE coopérant avec un module électronique sécurisé, les données biométriques de référence peuvent par exemple être enregistrées dans ledit module électronique sécurisé, lors de l'étape 529.

10 Dans un autre mode de réalisation, les données biométriques de référence ne sont pas transmises au téléphone mobile T (pour y être enregistrées), mais sont directement enregistrées dans un module de mémorisation sécurisé du dispositif 100, par exemple dans l'élément sécurisé 119 qui équipe le dispositif 100.

15 Après l'enregistrement des données biométriques de référence, une requête de basculement du téléphone mobile T en mode de fonctionnement standard est émise depuis l'environnement d'exécution sécurisé TEE/SE à destination du gestionnaire de sécurité SM (étape 530). Le gestionnaire de sécurité SM déclenche ensuite ce basculement (étape 531). Le système 20 d'exploitation OS génère alors un signal, transmis au dispositif 100 (étape 532), indiquant à ce dernier le succès du processus d'appariement du dispositif 100 avec le téléphone mobile T. Un signal est finalement émis par le dispositif 100, indiquant à son porteur P le succès du processus d'appariement du dispositif 100 avec le 25 téléphone mobile T (étape 533). Celui-ci peut correspondre, à une vibration du dispositif 100 (produite par le vibreur 114), à l'émission d'un signal sonore par le haut-parleur 108, à l'émission d'un signal lumineux, ou encore à l'affichage d'un message particulier par les moyens d'affichage 101 (sous la forme d'un texte, d'un symbole, ou d'une image), de même que pour le signal émis lors de l'étape 509 30 pour indiquer au porteur P le début du processus d'appariement décrit ci-dessus. Le processus d'appariement décrit ci-dessus est nécessaire, préalablement à la mise en oeuvre des procédés de commande décrits ci-dessous. Ces derniers sont des procédés de commande d'un téléphone mobile, ici le téléphone mobile T, par un dispositif électronique porté, ici le dispositif 100. Ces 3034599 21 procédés sont fortement sécurisés par : - la création d'un canal d'échanges sécurisés par chiffrement, entre le dispositif 100 et un environnement d'exécution sécurisé du téléphone mobile T, et par 5 - la vérification, avant l'exécution par le téléphone mobile T d'une opération requise par le dispositif 100, de la correspondance de données biométriques du porteur du dispositif 100 avec des données biométriques de référence telles qu'enregistrées au cours du processus d'appariement décrit ci-dessus.

10 Les données biométriques de référence sont ainsi utilisées dans une opération de vérification comparable à une authentification du porteur P du dispositif 100. Les modalités d'effacement ou de réinitialisation des données biométriques de référence, telles qu'enregistrées au cours du procédé décrit ci-15 dessus, jouent donc un rôle important dans la sécurisation des procédés de commande décrits ci-dessous. Ces modalités d'effacement ou de réinitialisation des données biométriques de référence sont décrites plus bas, notamment après la description du procédé de commande selon l'invention représenté schématiquement figure 6.

20 Par ailleurs, au cours du processus d'appariement décrit ci-dessus, il est également prévu, après l'étape 520 de création d'un canal d'échanges sécurisés, que le téléphone mobile T transmette au dispositif 100 une liste d'applications informatiques sécurisées de l'environnement d'exécution sécurisé, dont le dispositif 100 est susceptible de requérir le démarrage au cours d'un procédé de 25 commande s'articulant avec le processus de d'appariement décrit ci-dessus, comme par exemple l'un des procédés de commande décrits ci-dessous. Enfin, lors d'un processus d'appariement tel que décrit ci-dessus, il est aussi prévu, de manière optionnelle, que le porteur P indique la nature des données biométriques de référence à déterminer et enregistrer (et donc aussi la 30 nature des données biométriques à déterminer à titre de vérification, au cours de procédés de commande tels que décrits ci-dessous). Par exemple, si le porteur P prévoit d'utiliser le dispositif 100 dans des conditions usuelles n'impliquant pas pour lui une activité physique importante, il peut indiquer à ce dernier que les données biométriques à utiliser comprennent la 3034599 22 totalité de données biométriques pouvant être déterminées par le dispositif 100, en particulier des données relatives à son activité cardiovasculaire (notamment sa fréquence cardiaque et sa tension artérielle). Au contraire, si le porteur P prévoit d'utiliser le dispositif 100 dans des 5 conditions impliquant pour lui une activité physique importante, il peut indiquer à ce dernier d'utiliser une partie seulement des données biométriques pouvant être déterminées par le dispositif 100, par exemple en substituant à la fréquence cardiaque et à la pression artérielle du porteur P une donnée représentative simplement de la présence ou de l'absence d'une activité cardiovasculaire de ce 10 porteur et/ou représentative du fait que le dispositif 100 est en contact avec un épiderme de température proche de 37°C, par exemple de température comprise entre 36°C et 38°C. Cette disposition permet ainsi au porteur P de continuer à bénéficier en partie du caractère sécurisé des procédés de commande décrits ci-dessous, 15 même lorsqu'il pratique une activité sportive, par exemple. Le porteur P peut également indiquer la nature des données biométriques de référence à déterminer et à enregistrer, afin qu'elle corresponde à la nature des données biométriques requises pour l'exécution de certaines applications sécurisées mises en oeuvre au cours de procédés de commande tels 20 que décrits ci-dessous. De telles applications sécurisées peuvent en effet imposer l'utilisation de données biométriques minimales (par exemple représentatives de la présence d'une activité cardiaque), ou au contraire nécessiter des données biométriques complètes, combinant à la fois des données cardiovasculaires détaillées et des données représentatives d'une impédance électrique de 25 l'épiderme d'un porteur. La nature des données biométriques de référence à déterminer et à enregistrer peut également être indiquée par le porteur P, ou choisie de manière automatique par le dispositif électronique porté 100, de manière à correspondre à la nature des données biométriques requise pour l'affichage ou la communication 30 au porteur P de notifications d'application reçues par le dispositif électronique porté 100 en provenance du téléphone mobile T, par exemple des notifications relatives à des opérations bancaires. Enfin, dans les modes de réalisation d'un procédé d'appariement décrits ci-dessus, les données biométriques du porteur, déterminées lors de l'étape 521 3034599 23 sont enregistrées pour être utilisées ultérieurement en tant que données biométriques de référence, sans tenir compte du fait que des données biométriques de référence peuvent être déjà présentes dans le téléphone mobile T, ou dans un module de mémorisation sécurisée du dispositif 100, avant 5 l'exécution de ce procédé d'appariement. Dans un autre mode de réalisation, il est prévu de prendre en compte la présence éventuelle de telles données biométriques de référence déjà présentes. Pour cela un test supplémentaire est réalisé lors de l'étape 522 : - si des données biométriques de référence ne sont pas déjà présentes, 10 ou si des données biométriques de référence sont déjà présentes et coïncident avec les données biométriques du porteur P déterminées lors de l'étape 521, alors le procédé d'appariement se poursuit à partir de l'étape 522 comme cela a été décrit ci-dessus ; - en revanche, si des données biométriques de référence sont déjà 15 présentes et ne coïncident pas avec les données biométriques du porteur P déterminées lors de l'étape 521, alors le procédé d'appariement est suspendu. Suite à cette suspension, le dispositif électronique 100 demande au porteur P de saisir un code d'identification (par exemple un code PIN ou une empreinte biométrique). Après vérification de ce code d'identification, le procédé 20 d'appariement reprend. En particulier, après la vérification de ce code d'identification, les données biométriques du porteur P, déterminées lors de l'étape 521, peuvent remplacer des données biométriques déjà présentes. La figure 6 représente schématiquement un procédé de commande sécurisé d'un téléphone mobile par un dispositif électronique porté, selon 25 l'invention. Le téléphone mobile est ici le téléphone mobile T, et le dispositif électronique porté est ici le dispositif 100. Sur la figure 6, ainsi que sur les figures 7 et 8 suivantes, les actions se suivent dans le temps, du haut vers le bas. Sur les figures 6 à 8, les flèches reliant deux entités représentent encore schématiquement une transmission d'informations entre les deux entités, et une 30 flèche comportant un double trait horizontal (comme pour l'étape 616 par exemple) représente schématiquement une transmission nécessairement chiffrée. Au cours de ce procédé, le porteur P du dispositif 100 requiert l'exécution d'une opération informatique sécurisée, qui est exécutée par le téléphone mobile T à condition notamment que des données biométriques de contrôle du porteur P 3034599 24 correspondent à des données biométriques de référence, telles que celles déterminées et enregistrées lors du procédé d'appariement décrit ci-dessus. Un tel procédé comporte une phase 006 d'établissement d'une connexion sécurisée entre le dispositif 100 et le téléphone mobile T, suivie d'une 5 phase d'exécution (EXEC6) de ladite opération informatique sécurisée, sous certaines conditions détaillées ci-dessous. L'établissement d'une connexion sécurisée entre le dispositif 100 et le téléphone mobile T débute lorsque le porteur P du dispositif 100 requiert, par l'intermédiaire d'une des interfaces d'interaction de ce dernier (écran tactile des 10 moyens d'affichage 101, boutons 106, 107), le démarrage d'une application informatique sécurisée (étape 601) sur le téléphone mobile T. Par application informatique sécurisée, on désigne une application informatique susceptible d'exécuter une opération informatique sécurisée telle que définie précédemment.

15 Une telle application peut être sélectionnée par le porteur P du dispositif 100 dans une liste des applications sécurisées pouvant être exécutées par le téléphone mobile T, dans l'environnement d'exécution sécurisé. Une telle liste est disponible sur le dispositif 100, par exemple parce qu'elle a été transmise antérieurement à ce dernier par le téléphone mobile T, lors d'un procédé 20 d'appariement tel que décrit ci-dessus. Le fait que le porteur P requière le démarrage d'une telle application informatique sécurisée peut par exemple être consécutif à la réception et à l'affichage par le dispositif 100 d'une notification électronique (par exemple une notification requérant un paiement en ligne pour valider une commande en ligne 25 d'un produit). En variante, le dispositif 100 peut transmettre au téléphone mobile T une requête de démarrage d'une telle application informatique sécurisée, sans intervention du porteur P, lorsque : - l'horloge du dispositif 100 atteint une valeur temporelle prédéterminée, 30 ou lorsque - un compteur du dispositif 100, par exemple un compteur du nombre de fois qu'une opération est réalisée, atteint une valeur seuil prédéterminée, ou encore lorsque - le dispositif 100 détecte un appareil électronique, distinct du téléphone 3034599 25 mobile T. La transmission d'une telle requête de démarrage, du dispositif 100 au téléphone mobile T, du fait qu'une horloge du dispositif 100 atteint une valeur temporelle prédéterminée, permet par exemple de lancer un processus rappelant 5 au porteur (P) une action (présélectionnée) à effectuer, et permet aussi de lui proposer, à l'occasion de ce rappel, de réaliser directement ladite action, par exemple depuis le dispositif électronique porté (100), en bénéficiant pour la réalisation de cette action du lien fortement sécurisé entre le dispositif électronique porté 100 et le téléphone mobile T.

10 La transmission d'une telle requête de démarrage, du dispositif 100 au téléphone mobile T, suite à détection d'un appareil électronique distinct du téléphone mobile T est aussi particulièrement intéressante, notamment lorsque cet appareil électronique est un terminal, adapté à communiquer avec le dispositif 100 par une liaison sans fil de proximité du type NFC par exemple (selon l'acronyme 15 anglo-saxon de « Near Field Communication », ou communication en champ proche). De nombreux terminaux communicant par une liaison de type NFC sont utilisés comme borne de paiement, ou pour donner accès à un véhicule ou à un lieu, après une vérification de l'identité du porteur. Pour réaliser de telles opérations sécurisées, il est commode, pour un porteur du dispositif 100, que le 20 dispositif 100 requière de manière autonome le démarrage d'une application informatique sécurisée du téléphone mobile T, comme cela est prévu ici, suite à la détection d'un appareil électronique distinct du téléphone mobile T. Une requête de démarrage de ladite application informatique sécurisée est ensuite transmise au téléphone mobile T (lors de l'étape 602). Elle comprend 25 un identifiant utilisé par le système d'exploitation OS du téléphone mobile T pour vérifier l'identité de l'application sécurisée. Lorsque la vérification de l'identité de cette application sécurisée se déroule avec succès, le système d'exploitation OS transmet au gestionnaire de sécurité SM une requête de basculement en mode de fonctionnement sécurisé (étape 603). Le gestionnaire de sécurité SM déclenche 30 alors le démarrage de l'environnement d'exécution sécurisé TEE/SE (étape 604). Un canal d'échanges sécurisés (par chiffrement des données échangées) est ensuite établi entre le téléphone mobile T et le dispositif 100, lors de l'étape 605, similaire à l'étape 520 de création d'un canal d'échanges sécurisés décrite ci-dessus.

3034599 26 Le dispositif 100 étant alors connecté de manière sécurisé au téléphone mobile T, la phase d'exécution EXEC6 de ladite opération informatique sécurisée débute. La phase EXEC6 débute par l'émission par le dispositif 100, lors de 5 l'étape 606, d'un signal à destination de son porteur P, par exemple une vibration, un signal sonore ou lumineux, ou encore l'affichage d'un message particulier, comme lors de l'étape 509 décrite ci-dessus. Ce signal est émis de manière à informer le porteur P de la possibilité, pour le téléphone mobile T, d'exécuter des opérations informatiques sécurisées qui seraient requises par le dispositif 10 électronique 100 (le téléphone mobile T ayant basculé dans un mode de fonctionnement sécurisé, et communiquant avec le dispositif 100 via un canal d'échanges sécurisés). Des données représentatives de l'état ouvert ou fermé des moyens de fermeture 103, des données indiquant le contact du dispositif 100 avec l'épiderme 15 d'un porteur P et indiquant que ce dernier est en vie sont ensuite déterminées, lors de l'étape suivante 607, de même que lors de l'étape 521 décrite ci-dessus. Ces données permettent au dispositif 100 de vérifier, lors de l'étape 608, et avant de déclencher l'exécution d'une opération informatique sécurisée, qu'il est effectivement fixé à un porteur P, en contact avec l'épiderme de ce dernier, et que 20 ce dernier est en vie, ou encore qu'il est dans un état normal (et non dans un état de stress). Cette disposition contribue à sécuriser le procédé de commande décrit ici, comme expliqué ci-dessous, après la description de la figure 6. Si le dispositif 100 détermine, au cours de l'étape 608, qu'il n'est pas en contact avec l'épiderme d'un porteur P, que les moyens de fermeture 103 sont 25 ouverts, ou que le porteur P ne présente pas d'activité cardiovasculaire, il transmet alors au téléphone mobile T une requête 609 de basculement en mode de fonctionnement standard et d'arrêt du processus de commande sécurisé du téléphone mobile T. L'environnement d'exécution sécurisé TEE/SE déclenche alors ce 30 basculement et cet arrêt, réalisés au cours de la succession d'étapes 610 à 613, similaire à la succession de étapes 512 à 515 décrite ci-dessus. Une requête de basculement du téléphone mobile T en mode de fonctionnement standard est tout d'abord émise depuis l'environnement d'exécution sécurisé TEE/SE à destination du gestionnaire de sécurité SM (étape 610). Le gestionnaire de sécurité SM 3034599 27 déclenche ensuite ce basculement (étape 611). Le système d'exploitation OS génère alors un signal d'erreur, transmis au dispositif 100 (étape 612), signalant à ce dernier l'échec du procédé de commande sécurisé du téléphone mobile T par le dispositif 100. Le processus représenté schématiquement figure 6 s'achève 5 ensuite par une étape terminale 613, sans que le téléphone mobile T n'ait exécuté une opération informatique sécurisée requise par le porteur P, par l'intermédiaire du dispositif 100. Au terme de l'étape 613, le dispositif 100 poursuit son fonctionnement, par exemple dans l'attente de recevoir une autre commande, au niveau d'un écran tactile ou d'un des boutons 106 ou 107.

10 Lorsqu'au contraire le dispositif 100 vérifie avec succès (au cours de l'étape 608) qu'il est effectivement fixé à un porteur P, en contact avec l'épiderme de ce dernier, et que ce dernier est en vie, ce procédé de commande sécurisé du téléphone mobile T se poursuit. Lors de l'étape 614, le dispositif 100 détermine des données 15 biométriques de contrôle de son porteur P, par exemple au moyen de son capteur d'activité cardiovasculaire 109 et/ou de son capteur d'activité électrodermale {117,118}. Ces dernières sont du même type que les données biométriques de référence déterminées et enregistrées lors du procédé d'appariement décrit ci-dessus.

20 Le porteur P interagit ensuite avec le dispositif, au niveau des interfaces d'interaction susmentionnées (écran tactile pouvant équiper les moyens d'affichage 101, par exemple, ou encore microphone 116), de manière à lui indiquer une opération informatique sécurisée à réaliser (étape 615) dans le cadre de l'exécution de l'application informatique sécurisée sélectionnée à l'étape 601.

25 Le dispositif 100 transmet alors au téléphone mobile T, par l'intermédiaire du canal sécurisé créé à l'étape 605, une requête d'exécution de cette opération informatique sécurisée, lors de l'étape 616. Dans le mode de réalisation correspondant à la figure 6, cette requête d'exécution est transmise au téléphone mobile T accompagnée des données 30 biométriques de contrôle déterminées à l'étape 614. Ces données biométriques de contrôle étant destinées à une forme d'authentification du porteur P du dispositif 100, il est souhaitable de les transmettre par un canal d'échanges sécurisés, comme c'est le cas ici. Cette précaution évite en effet qu'une entité malveillante ne s'empare de telles données (par exemple pour tenter ultérieurement de se faire 3034599 28 passer frauduleusement pour le porteur P), ou ne tente de se faire passer frauduleusement pour le porteur P. Lors de l'étape 617, les données biométriques de contrôle sont comparées par le téléphone mobile T aux données biométriques de référence, 5 enregistrées dans une zone de mémoire sécurisée de ce dernier lors du processus d'appariement décrit ci-dessus. Cette comparaison est réalisée dans le cadre de l'environnement d'exécution sécurisé TEE/SE. Si le téléphone mobile T détermine, au cours de cette étape 617, que les données biométriques de contrôle sont différentes des données biométriques de 10 référence, le procédé s'achève sans réaliser l'opération informatique sécurisée requise précédemment par le porteur P (lors de l'étape 615). L'environnement d'exécution sécurisé TEE/SE transmet dans ce cas au gestionnaire de sécurité SM une requête de basculement du téléphone mobile T en mode de fonctionnement standard, et déclenche l'arrêt du procédé de commande sécurisé 15 décrit ici. Ce basculement et cet arrêt sont réalisés au cours de la succession d'étape 618 à 621, similaire à la succession d'étapes 610 à 613 décrite ci-dessus. Lorsque le téléphone mobile T détermine au contraire, au cours de l'étape 617, que les données biométriques de contrôle correspondent aux données biométriques de référence, le porteur P est considéré par le téléphone 20 mobile T comme authentifié. La réalisation de l'opération informatique sécurisée qu'il a requise est alors autorisée, et cette dernière est réalisée lors de l'étape 622. Cette opération est réalisée par l'application informatique sécurisée dont le porteur P a requis le démarrage à l'étape 601, et dans le cadre de l'environnement d'exécution sécurisé TEE/SE.

25 La vérification de la concordance des données biométriques de contrôle (déterminées lors de l'étape 614) avec les données biométriques de référence peut être réalisée au moyen du calcul d'un écart global entre ces deux ensembles de données, suivi d'une comparaison de cet écart global avec un seuil limite prédéterminé.

30 Le calcul de l'écart global entre ces deux ensembles de données peut comprendre le calcul d'au moins un écart individuel entre une donnée des données biométriques de contrôle et la donnée correspondante des données biométriques de référence. Un tel écart individuel peut par exemple correspondre à la valeur absolue de la différence entre une valeur de fréquence cardiaque 3034599 29 contenue dans les données biométriques de contrôle, et la valeur d'une fréquence cardiaque de référence. Plusieurs tels écarts individuels peuvent ensuite être combinés pour obtenir l'écart global dont la valeur est représentative du degré de similitude des 5 données biométriques de contrôle et des données biométriques de référence. Les données biométriques mentionnées ci-dessus peuvent comprendre en particulier des données relatives à l'activité cardiovasculaire et respiratoire du porteur P du dispositif 100 (dont sa fréquence cardiaque, sa pression artérielle, ou 10 le taux de saturation en oxygène dans son sang). De telles données relatives à l'activité cardiovasculaire et respiratoire du porteur P contribuent à l'identification du porteur P lorsque ce dernier est au repos. Elles permettent également de détecter si le porteur P est dans un état anormal, par exemple dans un état de forte tension nerveuse. Une fréquence 15 cardiaque et une tension artérielle plus élevées qu'à l'accoutumée peuvent par exemple correspondre à une situation dans laquelle le porteur du dispositif 100 subit une agression, une tentative d'appropriation du dispositif 100, ou de moyens de paiement par un individu malintentionné. De même, une transpiration du porteur P plus abondante que dans un état normal ou de repos, détectée au 20 moyen du capteur d'activité électrodermale {117,118}, peut correspondre à une situation d'agression du porteur P. Inclure de telles données relatives à l'activité cardiovasculaire, respiratoire ou de transpiration du porteur P, parmi les données biométriques (de contrôle et de référence) utilisées dans un procédé selon l'invention, est donc 25 avantageux. Cela permet en effet de bloquer préventivement l'exécution d'une opération informatique sécurisée, qui aurait été requise par interaction au niveau d'une des interfaces du dispositif 100, dans une situation pouvant correspondre par exemple à une agression du porteur P. Dans un autre mode de réalisation, il est prévu, lorsque l'application 30 sécurisée requise à l'étape 601 nécessite un niveau de sécurité particulièrement élevé, que le dispositif électronique 100 vérifie dès l'étape 608 que le porteur P est dans un état normal ou de repos, avant d'autoriser un passage aux étapes suivantes du procédé. Cette vérification est alors basée sur les données biométriques du porteur déterminées lors de l'étape 607 (ces données 3034599 30 biométriques déterminées lors de l'étape 607 pouvant être des données biométriques simplifiées correspondant par exemple simplement à la fréquence cardiaque du porteur). De manière optionnelle, lesdites données biométriques peuvent être 5 accompagnées de données relatives aux conditions d'utilisation du dispositif 100, comme par exemple des données relatives à l'orientation du dispositif 100 par rapport à la direction verticale. Ces dernières peuvent ici être déterminées par le module de détection de mouvement et d'orientation 113. Lorsque le dispositif 100 est une montre connectée, fixée à l'un des 10 poignets de l'utilisateur, un angle repérant l'orientation du dispositif 100 par rapport à la direction verticale prend une valeur comprise dans un intervalle donné de valeurs lorsque les moyens d'affichage 101 sont orientés en direction du visage du porteur P, et lorsque le porteur P est en posture verticale. Vérifier, lors de l'étape 617, que la valeur d'un tel angle est comprise 15 dans une plage de valeurs données, permet ainsi de vérifier que les moyens d'affichage 101 sont orientés en direction du visage du porteur P lors de l'étape d'interaction 615 entre le porteur P et le dispositif 100. Lorsqu'un signal de commande est reçu par une interface d'interaction du dispositif 100, alors que les moyens d'affichage de ce dernier ne sont pas face 20 au visage de son porteur P, cela correspond le plus souvent à une réception fortuite d'un signal de commande, par exemple suite à une pression involontaire sur l'un des boutons 106, 107. En vérifiant, comme cela est décrit ci-dessus, que les moyens d'affichage 101 sont orientés en direction du visage du porteur P, lors de l'étape d'interaction 25 615 entre le porteur P et le dispositif 100, on limite ainsi l'exécution de commandes qui auraient été reçues par le dispositif 100 de manière fortuite. Une fois l'étape 622 réalisée, l'environnement d'exécution sécurisé TEE/SE transmet au gestionnaire de sécurité SM une requête de basculement du téléphone mobile T en mode de fonctionnement standard et le procédé de 30 commande sécurisé du terminal T par le dispositif 100 est clôturé lors de la succession d'étapes 623 à 626. Lors de l'étape 623, l'environnement d'exécution sécurisé TEE/SE transmet au gestionnaire de sécurité SM une requête de basculement du fonctionnement du téléphone mobile T vers l'environnement d'exécution standard 3034599 31 OS. Ce basculement est déclenché par le gestionnaire de sécurité SM lors de l'étape 624. L'environnement d'exécution standard OS du téléphone mobile T transmet alors au dispositif 100 un signal indiquant la fin du procédé de commande et le basculement en mode de fonctionnement standard (étape 625).

5 Suite à la réception de ce signal, le dispositif 100 émet, grâce à ses moyens d'émission de signaux (vibreur 114, moyens d'émission de signaux lumineux 115, moyens d'affichage 101), un signal indiquant à son porteur P la fin du procédé de commande, et, de manière optionnelle, le succès de ce dernier (étape 626). Dans un autre mode de réalisation, il est prévu que le porteur P du 10 dispositif 100 requière l'exécution de plusieurs opérations sécurisées, au cours d'une même réalisation d'un tel procédé. De telles opérations peuvent par exemple être requises l'une après l'autre, lors d'étapes similaires à l'étape 615. Préalablement à l'exécution de chacune de ces opérations, des données biométriques de contrôle du porteur sont déterminées, des données biométriques 15 de contrôle sont déterminées et vérifiées (c'est-à-dire qu'il est vérifié qu'elles concordent avec les données biométriques de référence), comme au cours des étapes 614, 616 et 617 décrites ci-dessus. Selon une variante de cet autre mode de réalisation, la détermination et la vérification de données biométriques de contrôle sont réalisées lorsqu'une 20 nouvelle opération sécurisée est requise, mais seulement après qu'un nombre déterminé d'opérations sécurisées aient déjà été exécutées depuis la précédente vérification de données biométriques de contrôle. Ainsi, la détermination et la vérification de données biométriques de contrôle sont réalisées à intervalles réguliers, au lieu d'être réalisées avant chaque nouvelle opération sécurisée.

25 Cette disposition permet d'accélérer la mise en oeuvre de telles opérations sécurisées, tout en maintenant un niveau de sécurité élevé. L'intervalle (c'est-à-dire le nombre d'opérations sécurisées) séparant deux telles vérifications peut être défini par l'application réalisant lesdites opérations sécurisées, ou être défini en fonction de spécifications propres au système d'exploitation de confiance TEE.

30 Dans ce dernier mode de réalisation, l'arrêt du procédé de commande, et le basculement du téléphone mobile T en mode de fonctionnement standard (correspondant à la séquence d'étapes 623 à 625), peut être déclenché, par exemple, par une requête de fermeture de l'application sécurisée exécutant lesdites opérations sécurisées, cette requête étant transmise par le porteur P au 3034599 32 niveau d'une des interfaces du dispositif 100. Lors d'une telle séquence d'opérations sécurisées, le porteur P peut transmettre au téléphone mobile T, par l'intermédiaire du dispositif 100, des données d'identification et d'authentification, comme par exemple un nom 5 d'utilisateur et un code PIN, ou un numéro de compte bancaire et un code PIN, requises par une application de messagerie, une application de paiement en ligne, ou une application de signature électronique, par exemple. Il est donc particulièrement important que les données transmises du dispositif 100 au terminal de communication lors d'une telle séquence soient échangées par 10 l'intermédiaire d'un canal sécurisé, comme c'est le cas dans le procédé décrit ci- dessus. La sécurité des échanges entre le dispositif 100 et le téléphone mobile T est encore renforcée, ici, par la vérification du fait que les données biométriques de contrôle correspondent aux données biométriques de référence. Il est également prévu, dans un autre mode de réalisation, que le 15 dispositif 100 vérifie de manière continue que les moyens de fermeture 103 sont dans un état de fermeture et que le dispositif 100 est au contact d'un épiderme (au moyen des capteurs de contact 104, 105). Lorsque ce n'est pas le cas, il est prévu de suspendre le procédé, et de basculer le fonctionnement du téléphone mobile T de l'environnement d'exécution sécurisé vers l'environnement d'exécution 20 standard, en mettant fin par exemple à l'application informatique sécurisée sélectionnée à l'étape 601. Il est aussi prévu, de manière optionnelle, que le dispositif 100 vérifie de manière continue, au cours du procédé décrit ci-dessus, qu'il détecte une activité cardiovasculaire ou respiratoire de son porteur (c'est-à-dire par exemple qu'une 25 fréquence cardiaque ou respiratoire de son porteur peut être déterminée), ou encore vérifie que l'épiderme de son porteur présente une température proche de 37°C. Lorsque ce n'est pas le cas, il est prévu, de manière optionnelle, de suspendre le procédé, et de basculer le fonctionnement du téléphone mobile T de l'environnement d'exécution sécurisé vers l'environnement d'exécution standard, 30 en mettant fin par exemple à l'application informatique sécurisée sélectionnée à l'étape 601. Une telle vérification en continu de l'état de fermeture des moyens de fermeture 103, ou du fait que le porteur P est en vie, peut être réalisée directement dans le dispositif 100, en comparant des données déterminées par les 3034599 33 capteurs 103, 104, 105, 109, 117 et 118 qui l'équipe à des valeurs préenregistrées dans le dispositif 100, par exemple dans un espace sécurisé du module de mémorisation 112, ou dans le module électronique sécurisé 119. Les informations échangées entre le dispositif 100 et le téléphone mobile T sont ici transmises par 5 des signaux électromagnétiques, par exemple en mettant en oeuvre un protocole de type WiFi ou Bluetooth. La puissance de tels signaux, reçus par le téléphone mobile T en provenance du dispositif 100, s'affaiblit notamment au fur et à mesure que la distance qui les sépare augmente. La baisse de cette puissance réduit la qualité et le débit des échanges d'information entre le dispositif 100 et le 10 téléphone mobile T. Afin d'assurer une bonne qualité de transmission des informations entre le dispositif 100 et le téléphone mobile T, il est donc prévu de suspendre de tels échanges lorsque la puissance des signaux électromagnétiques correspondant, reçus par le téléphone mobile T en provenance du dispositif 100, devient inférieure à un seuil donné. Le procédé de commande du téléphone 15 mobile T par le dispositif 100 est alors suspendu, et le fonctionnement du téléphone mobile T est basculé de l'environnement d'exécution sécurisé vers l'environnement d'exécution standard. Après une telle suspension, il est prévu que l'exécution du procédé décrit ci-dessus reprenne, sans intervention du porteur P, lorsque : 20 - les moyens de fermeture 103 sont dans un état de fermeture, - le dispositif électronique est en contact avec un épiderme, - la puissance des signaux électromagnétiques reçus par le téléphone mobile en provenance du dispositif électronique porté est supérieure à un seuil donné, et lorsque 25 - des données biométriques d'un porteur du dispositif électronique porté, déterminées postérieurement à ladite suspension, correspondent aux données biométriques de référence. Les tests décrits ci-dessus peuvent être réalisés directement par le dispositif 100, sans nécessiter d'échange d'information entre le dispositif 100 et le 30 téléphone mobile T. La reprise d'un tel procédé s'accompagne alors : - du basculement du fonctionnement du téléphone mobile de l'environnement d'exécution standard vers l'environnement d'exécution sécurisé, - de la création d'un canal d'échanges sécurisés par chiffrement entre le 3034599 34 dispositif électronique porté et l'environnement d'exécution sécurisé, et enfin - de la reprise de l'exécution dudit procédé au stade où il a été précédemment suspendu. L'ensemble des dispositions de suspension et de reprise du procédé de 5 commande décrit ci-dessus permet avantageusement d'assurer la sécurité de ce procédé (en suspendant son exécution lorsque nécessaire), tout en facilitant, pour le porteur P, l'utilisation du dispositif 100, par une reconnexion automatique entre le dispositif 100 et le terminal T (telle que décrite ci-dessus) lorsque les conditions de sécurités appropriées sont à nouveau réunies.

10 Pour un canal de communication à distance par l'intermédiaire de signaux électromagnétiques, une suspension des échanges, consécutive à un affaiblissement de la puissance des signaux reçus par l'une des entités impliquées dans l'échange, pourrait être fréquente en pratique. Ici par exemple, le porteur P du dispositif 100 peut laisser le terminal de 15 télécommunication T (un téléphone portable par exemple) dans une pièce (par exemple dans le bureau où il travaille), et sortir de la pièce brièvement, le dispositif 100 étant attaché à son poignet, cet éloignement entrainant un affaiblissement du signal reçu par le téléphone mobile T en provenance du dispositif 100, et une suspension du procédé de commande du téléphone mobile T par ce dernier. Dans 20 cet exemple, lorsque le porteur P retourne au voisinage du téléphone mobile T, le dispositif 100 se reconnecte automatiquement à ce dernier, comme décrit ci-dessus, et le procédé de commande du téléphone mobile T reprend, ce qui est particulièrement commode pour l'utilisateur. De même, lors de l'utilisation du dispositif 100, l'ouverture des moyens 25 de fermeture 103, peut correspondre à un retrait du dispositif 100 par son porteur P pour une durée courte. Par exemple, lorsque le dispositif 100 est une montre connectée, son porteur peut la retirer pour se laver les mains, ou pour la changer de poignet. Il est souhaitable dans ce cas, comme cela est prévu ici, de permettre une reconnexion automatique du dispositif 100 avec le téléphone mobile T (telle 30 que celle décrite ci-dessus), lorsque le porteur P l'attache à nouveau à son poignet, afin de faciliter l'utilisation du dispositif 100. L'ouverture des moyens de fermeture 103 peut également être consécutive à un retrait du dispositif 100 par son porteur P pour une durée plus longue, ou encore être consécutive à une tentative d'appropriation du dispositif 3034599 100 par un individu malveillant, dans le but, par exemple, de commander le terminal de télécommunication T. Dans ce dernier cas, l'ouverture des moyens de fermeture 103 entraine une suspension du procédé de commande décrit ci-dessus. Mais, lorsqu'un tel individu malintentionné attache le dispositif 100, par 5 exemple à l'un de ses poignets, l'exécution du procédé ne reprend pas, car les données biométriques dudit individu sont différentes des données biométriques du porteur P, enregistrées précédemment lors de l'appariement du dispositif 100 avec le terminal T. Un procédé selon l'invention assure ainsi une commande sécurisée du téléphone mobile T par le dispositif 100 tout en assurant un usage commode 10 pour le porteur P de ce dernier. La sécurité de fonctionnement du dispositif 100 s'appuie fortement sur les données biométriques de référence du porteur P. Les modalités d'effacement ou de réinitialisation de ces dernières sont décrites ci-dessous. Un effacement des données biométriques de référence est tout d'abord 15 prévu au terme d'une durée donnée, écoulée depuis leur enregistrement. Une telle durée donnée peut par exemple être comprise entre une demi-journée et une semaine. Un effacement des données biométriques de référence est également prévu au bout d'un nombre donné de suspensions d'un procédé de commande 20 telles que décrites ci-dessus. Un tel nombre donné de suspensions peut par exemple être compris entre 1 et 50 suspensions. Il est aussi prévu d'effacer les données biométriques de références après qu'un nombre donné d'opérations sécurisées requises par le dispositif 100 aient été exécutées par le téléphone mobile T. Un tel nombre donné d'opérations peut 25 par exemple être compris entre 1 et 50 opérations. La validité des données biométriques de référence, qui sont utilisées à la manière de données d'authentification, est ainsi limitée termes de durée, et de nombre de fois qu'elles peuvent être utilisées pour authentifier le porteur du dispositif 100. Un procédé complet d'appariement du dispositif 100 avec un 30 téléphone mobile qu'il peut commander (tel que le procédé d'appariement représenté schématiquement figure 5) doit ainsi être régulièrement effectué, ce qui contribue à la sécurité d'un tel procédé de commande. L'effacement des données biométriques de référence peut être suivi d'un changement de porteur du dispositif 100, un nouveau porteur P' de ce dernier 3034599 36 enregistrant alors de nouvelles données biométriques de référence lui correspondant (lors d'une procédure d'appariement), avant d'utiliser le dispositif 100 pour commander un téléphone mobile T. Il est donc important, lors de l'effacement des données biométriques de référence, de fermer les applications 5 informatiques sécurisées de l'environnement d'exécution sécurisé TEE/SE, commandées depuis le dispositif 100. Ainsi, il est prévu, lors de l'effacement des données biométriques de référence, de fermer de manière conjointe les applications informatiques sécurisées lancées par l'environnement d'exécution sécurisé TEE/SE à la requête 10 du dispositif 100, et de basculer le fonctionnement du téléphone mobile T, de l'environnement d'exécution sécurisé TEE/SE vers l'environnement d'exécution standard OS. Pour les applications informatiques sécurisées requérant, comme mentionné précédemment, une identification et/ou une authentification de 15 l'utilisateur, la dite fermeture rend nécessaire, pour un nouveau porteur P', de fournir un code d'identification, comme par exemple un code PIN ou une empreinte biométrique. Ladite fermeture de ces applications informatiques sécurisées empêche ainsi une utilisation frauduleuse, par un nouveau porteur P', du code d'identification d'un porteur précédent P du dispositif 100. Il est par 20 ailleurs prévu que la mise hors tension du dispositif 100 entraine un effacement des données biométriques de référence. On prévoit également que le porteur P du dispositif 100 peut transmettre à ce dernier, au niveau de l'une de ses interfaces d'interaction (écran tactile compris dans les moyens d'affichage 101, boutons 106, 107), une instruction 25 d'interruption du procédé de commande du téléphone mobile T, à la suite de laquelle : - ledit procédé est arrêté et clôturé, c'est-à-dire que les opérations sécurisées en cours d'exécution sont arrêtées, que les applications sécurisées lancées à la requête du dispositif 100 sont fermées, et que le fonctionnement du 30 téléphone mobile T est basculé de l'environnement d'exécution sécurisé TEE/SE vers l'environnement d'exécution standard OS, et - les données biométriques de référence sont effacées. Dans les modes de réalisation d'un procédé de commande selon l'invention décrits ci-dessus, l'ouverture des moyens de fermeture 103 au cours du 3034599 37 procédé n'entraîne pas nécessairement un effacement des données biométriques de références. Cela permet de mettre en oeuvre une procédure avantageuse de reconnexion automatique du dispositif 100 avec le téléphone mobile T, telle que présentée ci-dessus.

5 Dans un autre mode de réalisation, on peut au contraire prévoir que l'ouverture des moyens de fermeture 103 entraine un effacement des données biométriques de référence. Cette disposition, bien que moins commode pour le porteur que la précédente, est bien adaptée lorsqu'un niveau de sécurité extrêmement élevé est requis pour un tel procédé de commande.

10 Enfin, dans les modes de réalisation décrits ci-dessus, correspondant à la figure 6, les données biométriques de contrôle sont transmises au téléphone mobile T, pour y être comparées aux données biométriques de référence contenues dans une zone de mémoire sécurisée de ce dernier, où elles ont été enregistrées préalablement, lors d'un procédé d'appariement tel que celui 15 représenté schématiquement figure 5. Lors d'un procédé d'appariement du dispositif 100 avec le téléphone mobile T, les données biométriques de référence peuvent aussi être enregistrées directement dans le dispositif 100 (et non dans le téléphone mobile T), comme mentionné précédemment.

20 Dans ce cas, un procédé de commande d'un téléphone mobile selon l'invention est mis en oeuvre selon un autre mode de réalisation, dans lequel la comparaison des données biométriques de contrôle avec les données biométriques de référence est réalisée par le dispositif 100. Le résultat de cette comparaison est transmis ensuite par le dispositif 100 au téléphone mobile T, par 25 exemple sous la forme d'une variable binaire indiquant la concordance ou la non concordance des données biométriques de contrôle avec les données biométriques de référence. Après réception par le téléphone mobile T du résultat de ladite comparaison, le procédé se poursuit par exemple par les étapes 617 à 626 décrites précédemment, l'étape 617 comprenant alors simplement la prise en 30 compte du résultat de ladite comparaison, et non la réalisation de ladite comparaison en elle-même. La figure 7 représente schématiquement un autre procédé de commande sécurisé d'un téléphone mobile, ici le téléphone mobile T, par le dispositif électronique porté, ici le dispositif 100, selon l'invention, très proche de celui 3034599 38 représenté schématiquement figure 6. La principale différence d'avec le procédé représenté schématiquement figure 6 est que le dispositif 100 interagit directement avec le gestionnaire de sécurité SM du téléphone mobile T, sans passer par l'intermédiaire de l'environnement d'exécution standard OS.

5 Les procédés représentés schématiquement sur les figures 6 et 7 comportent plusieurs étapes communes, portant, dans les figures 6 et 7, les mêmes numéros de référence. Ces étapes ont été décrites ci-dessus. Leur description n'est donc pas reprise en détail ci-dessous. Le procédé de commande sécurisé représenté schématiquement figure 7 10 débute lorsque le porteur P du dispositif 100 requiert, par l'intermédiaire d'une des interfaces d'interaction de ce dernier (écran tactile des moyens d'affichage 101, boutons 106, 107, microphone 116), le démarrage d'une application informatique sécurisée (étape 601) sur le téléphone mobile T, ou lorsque : - le dispositif 100 reçoit un signal provenant du téléphone mobile T et 15 contenant par exemple une notification comprenant un lien vers l'une des applications informatiques sécurisées de la liste des applications sécurisées pouvant être exécutées par le téléphone mobile T, ou lorsque - l'horloge du dispositif 100 atteint une valeur temporelle prédéterminée, ou lorsque 20 - un compteur du dispositif 100, par exemple un compteur du nombre de fois qu'une opération est réalisée, atteint une valeur seuil prédéterminée, ou encore lorsque - le dispositif 100 détecte un appareil électronique, distinct du téléphone mobile T.

25 Une requête de démarrage de ladite application informatique sécurisée est ensuite transmise directement du dispositif 100 au gestionnaire de sécurité SM du téléphone mobile T (étape 702). Cette requête comprend un identifiant utilisé par le gestionnaire de sécurité SM pour vérifier l'identité de cette dernière lors de l'étape 703. Lorsque la vérification de l'identité de cette application sécurisée se 30 déroule avec succès, le gestionnaire de sécurité SM déclenche le démarrage de l'environnement d'exécution sécurisé TEE/SE (étape 604). Le procédé se poursuit alors par les étapes 605 à 608, de manière identique au procédé représenté figure 6. Si le dispositif 100 détermine, au cours de l'étape 608, qu'il n'est pas en 3034599 39 contact avec l'épiderme d'un porteur P, que les moyens de fermeture 103 sont ouverts, ou que son porteur P n'est pas en vie, il transmet alors au téléphone mobile T une requête (609) de basculement en mode de fonctionnement standard et d'arrêt du processus de commande sécurisé du téléphone mobile T.

5 Lors de ce basculement et de cet arrêt, l'environnement d'exécution sécurisé TEE/SE émet tout d'abord une requête de basculement du téléphone mobile T en mode de fonctionnement standard, à destination du gestionnaire de sécurité SM (étape 710). Le gestionnaire de sécurité SM déclenche alors ce basculement puis génère un signal d'erreur, transmis au dispositif 100 (étape 10 711), signalant à ce dernier l'échec du procédé de commande sécurisé du téléphone mobile T par le dispositif 100. Le processus représenté schématiquement figure 7 s'achève ensuite par une étape terminale 613, sans que le téléphone mobile T n'ait exécuté une opération informatique sécurisée requise par le porteur P, par l'intermédiaire du dispositif 100. Au terme de l'étape 15 613, le dispositif 100 poursuit son fonctionnement, par exemple dans l'attente de recevoir une autre commande, au niveau d'un écran tactile ou d'un des boutons 106 ou 107. Lorsqu'au contraire le dispositif 100 vérifie avec succès (au cours de l'étape 608) qu'il est effectivement fixé à un porteur P en vie, en contact avec 20 l'épiderme de ce dernier, ce procédé de commande sécurisé du téléphone mobile T se poursuit par les étapes 614 à 617, de manière identique au procédé représenté figure 6. Si le téléphone mobile T détermine, au cours de l'étape 617, que les données biométriques de contrôle sont différentes des données biométriques de 25 référence, le procédé s'achève sans réaliser l'opération informatique sécurisée requise précédemment par le porteur P (lors de l'étape 615). L'environnement d'exécution sécurisé TEE/SE transmet dans ce cas au gestionnaire de sécurité SM une requête de basculement du téléphone mobile T en mode de fonctionnement standard, et déclenche l'arrêt du procédé de commande sécurisé 30 décrit ici. Ce basculement et cet arrêt sont réalisés au cours de la succession d'étape {718, 719, 621}, similaire à la succession d'étapes {710, 711, 613} décrite ci-dessus. Lorsque le téléphone mobile T détermine au contraire, au cours de l'étape 617, que les données biométriques de contrôle correspondent aux 3034599 données biométriques de référence, le porteur P est considéré par le téléphone mobile T comme authentifié. La réalisation de l'opération informatique sécurisée qu'il a requise lors de l'étape 615 est alors autorisée, et cette dernière est réalisée lors de l'étape 622.

5 Cette opération est réalisée par l'application informatique sécurisée dont le porteur P a requis le démarrage à l'étape 601, et dans le cadre de l'environnement d'exécution sécurisé TEE/SE. Une fois l'étape 622 réalisée, l'environnement d'exécution sécurisé TEE/SE transmet au gestionnaire de sécurité SM une requête de basculement du 10 téléphone mobile T en mode de fonctionnement standard (étape 723). Le gestionnaire de sécurité SM déclenche ce basculement et transmet ensuite au dispositif 100 un signal indiquant la fin du procédé de commande et son basculement en mode de fonctionnement standard (étape 724). Suite à la réception de ce signal, le dispositif 100 émet, grâce à ses moyens d'émission de 15 signaux (vibreur 114, moyens d'émission de signaux lumineux 115, moyens d'affichage 101, haut-parleur 108), un signal indiquant à son porteur P la fin du procédé de commande, et, de manière optionnelle, le succès de ce dernier (étape 626). Dans une variante, non représentée, du procédé de commande 20 représenté sur la figure 6, ou du procédé de commande représenté sur la figure 7, le démarrage initial d'une telle application informatique sécurisée sur le téléphone mobile T, et, de manière optionnelle, le basculement du téléphone mobile T depuis l'environnement d'exécution standard OS vers l'environnement d'exécution sécurisé TEE/SE, sont réalisés, non pas suite à la transmission d'une requête 25 (étape 601) du dispositif 100 vers le téléphone mobile, mais sont réalisés directement par le téléphone mobile T lorsque : - le téléphone mobile T détecte un appareil électronique distinct du dispositif électronique porté 100, par exemple un terminal adapté à communiquer avec le téléphone mobile T par une liaison sans fil de proximité du type NFC, 30 comme présenté ci-dessus, ou lorsque - le téléphone mobile T reçoit des données en provenance du service externe de télécommunication E, de telles données correspondant par exemple à des notifications d'applications, ou à des messages personnels comme des emails ou des SMS, ou lorsque 3034599 41 - le téléphone mobile T reçoit une commande de démarrage d'une application informatique sécurisée saisie par le porteur P sur une interface du téléphone mobile T, ou lorsque - une horloge du téléphone mobile T atteint une valeur temporelle 5 prédéterminée, ou encore lorsque - un compteur du téléphone mobile T atteint une valeur prédéterminée. Le procédé de commande selon l'invention permet alors avantageusement, lorsque le téléphone mobile T reçoit un message personnel à destination du porteur P, que le dispositif électronique porté 100 vérifie que le 10 porteur P présente une activité biologique et/ou est dans un état normal et/ou vérifie l'identité du porteur par la détermination de données biométriques de contrôle, avant d'afficher ou de communiquer le message personnel reçu par le téléphone mobile T. La confidentialité d'un tel message personnel est ainsi protégée très efficacement.

15 Plus généralement, lorsque le procédé selon l'invention est lancé ainsi à l'initiative du téléphone mobile T, au lieu d'être lancé à l'initiative du dispositif électronique porté 100, des opérations sécurisées peuvent être commandées directement à partir du téléphone mobile T, le rôle du dispositif électronique porté 100 étant alors principalement de permettre une vérification de l'état et/ou de 20 l'identité du porteur P. La figure 8 représente schématiquement un autre procédé de commande sécurisé d'un téléphone mobile, ici le téléphone mobile T, par un dispositif électronique porté, ici le dispositif 100, selon l'invention, proche des procédés représentés schématiquement sur les figures 6 et 7.

25 La principale différence relativement au procédé représenté schématiquement sur la figure 6 (ou sur la figure 7) est que le dispositif 100 peut, dans le procédé représenté schématiquement figure 8, commander directement le basculement du fonctionnement du téléphone mobile T, d'un environnement d'exécution standard vers un environnement d'exécution sécurisé (et vice-versa).

30 Un tel basculement est dans ce cas commandé par un module de gestion de sécurité à distance, dénommé aussi gestionnaire de sécurité à distance SM', compris dans le dispositif 100. Les procédés représentés schématiquement sur les figures 6 et 8 comportent plusieurs étapes communes, portant, dans les figures 6 et 8, les 3034599 42 mêmes numéros de référence. Ces étapes ont été décrites ci-dessus. Leur description n'est donc pas reprise en détail ci-dessous. Le procédé de commande sécurisé représenté schématiquement figure 8 débute lorsque le porteur P du dispositif 100 requiert, par l'intermédiaire d'une des 5 interfaces d'interaction de ce dernier (écran tactile des moyens d'affichage 101, microphone 116, boutons 106, 107), le démarrage d'une application informatique sécurisée sur le téléphone mobile T (étape 601), ou lorsque : - le dispositif 100 reçoit un signal provenant du téléphone mobile T et contenant par exemple une notification comprenant un lien vers l'une des 10 applications informatiques sécurisées de la liste des applications sécurisées pouvant être exécutées par le téléphone mobile T, ou lorsque - l'horloge du dispositif 100 atteint une valeur temporelle prédéterminée, ou lorsque - un compteur du dispositif 100, par exemple un compteur du nombre de 15 fois qu'une opération est réalisée, atteint une valeur seuil prédéterminée, ou encore lorsque - le dispositif 100 détecte un appareil électronique, distinct du téléphone mobile T. Le gestionnaire de sécurité à distance SM' vérifie l'identité de 20 l'application informatique sécurisée dont le démarrage a été requis par le porteur P à l'étape 601, lors de l'étape 802. Lorsque la vérification de l'identité de cette application sécurisée se déroule avec succès, le gestionnaire de sécurité à distance SM' déclenche le démarrage de l'environnement d'exécution sécurisé TEE/SE du téléphone mobile T, et transmet à ce dernier une requête de 25 démarrage de ladite application informatique sécurisée, accompagnée d'un identifiant de cette dernière, et d'un identifiant du gestionnaire de sécurité à distance SM' (étape 803). Le téléphone mobile T vérifie alors, dans le cadre de l'environnement sécurisé TEE/SE, l'identité de ladite application informatique sécurisée et l'identité 30 du gestionnaire de sécurité à distance SM' (étape 804). Lorsque ces deux vérifications d'identité se déroulent avec succès, le démarrage de ladite application sécurisée est déclenché, dans l'environnement sécurisé TEE/SE. Un canal d'échanges sécurisés est ensuite créé entre le dispositif 100 et l'environnement d'exécution sécurisé (étape 605).

3034599 43 Le procédé se poursuit par les étapes 606 à 608, de manière identique au procédé représenté figure 6. Si le dispositif 100 détermine, au cours de l'étape 608, qu'il n'est pas en contact avec l'épiderme d'un porteur P, que les moyens de fermeture 103 sont 5 ouverts, ou que son porteur n'est pas en vie, il déclenche alors, au moyen de son gestionnaire de sécurité à distance SM', le basculement du téléphone mobile T en mode de fonctionnement standard (étape 809). Le processus représenté schématiquement figure 8 s'achève ensuite par une étape terminale 810, sans que le téléphone mobile T n'ait exécuté une opération informatique sécurisée 10 requise par le porteur P, par l'intermédiaire du dispositif 100. Au terme de l'étape 810, le dispositif 100 poursuit son fonctionnement, par exemple dans l'attente de recevoir une autre commande, au niveau d'un écran tactile ou d'un des boutons 106 ou 107. Lorsqu'au contraire le dispositif 100 vérifie avec succès, au cours de 15 l'étape 608, qu'il est effectivement fixé à un porteur P en vie, et en contact avec l'épiderme de ce dernier, ce procédé de commande sécurisé du téléphone mobile T se poursuit par les étapes 614 à 617, de manière identique au procédé représenté figure 6. Si le téléphone mobile T détermine, au cours de l'étape 617, que les 20 données biométriques de contrôle sont différentes des données biométriques de référence, l'opération informatique sécurisée requise précédemment par le porteur P, lors de l'étape 615, n'est pas exécutée, et le procédé de poursuit directement par l'étape 824. Lorsque le téléphone mobile T détermine au contraire, au cours de 25 l'étape 617, que les données biométriques de contrôle correspondent aux données biométriques de référence, l'opération informatique sécurisée requise précédemment par le porteur P, lors de l'étape 615, est exécutée, lors de l'étape 622. Cette opération est réalisée par l'application informatique sécurisée dont le porteur P a requis le démarrage à l'étape 601, et dans le cadre de l'environnement 30 d'exécution sécurisé TEE/SE. Le procédé se poursuit ensuite par l'étape 824, au cours de laquelle l'environnement d'exécution sécurisé TEE/SE transmet au gestionnaire de sécurité à distance SM' une requête de basculement du fonctionnement du téléphone mobile T vers l'environnement d'exécution standard, ainsi qu'un signal 3034599 44 indiquant la fin du procédé de commande, et, de manière optionnelle, le succès de ce dernier. Le gestionnaire de sécurité à distance SM' déclenche ensuite le basculement du fonctionnement du téléphone mobile T vers l'environnement 5 d'exécution standard, lors de l'étape 825. Enfin, le dispositif 100 émet, grâce à ses moyens d'émission de signaux (vibreur 114, moyens d'émission de signaux lumineux 115, moyens d'affichage 101), un signal indiquant à son porteur P la fin du procédé de commande, et, de manière optionnelle, le succès de ce dernier (étape 626).

10 Au cours des procédés représentés schématiquement sur les figures 5 à 8, le dispositif 100 est amené à réaliser des opérations informatiques portant sur des données d'identité ou d'identification d'un individu, sur des données bancaires, ou sur d'autres types de données à caractère confidentiel. Pour assurer la sécurité de telles opérations, il est donc prévu, dans 15 d'autres modes de réalisation, un dispositif 100 comprenant, de même que le téléphone mobile T, un environnement d'exécution standard OS", un environnement d'exécution sécurisé TEE"/SE", et un gestionnaire de sécurité SM" du dispositif 100. Par exemple, dans le procédé représenté schématiquement figure 8, on 20 peut prévoir que le fonctionnement du dispositif 100 bascule, dès la fin de l'étape initiale 601, d'un environnement d'exécution standard OS" vers un environnement d'exécution sécurisé TEE"/SE", afin d'assurer encore plus fortement la sécurité d'un tel procédé de commande du téléphone mobile T.

Claims (26)

1. REVENDICATIONS1. Procédé de commande sécurisée d'un téléphone mobile (T) par un dispositif électronique porté (100) par un porteur (P), caractérisé en ce qu'il comprend les étapes suivantes : - détermination d'une information relative au porteur (P) du dispositif électronique porté (100) au moyen d'un capteur d'état (104,105,109,117,118) du dispositif électronique porté (100), et - transmission de données, du dispositif électronique porté (100) au téléphone mobile (T), en fonction de ladite information relative au porteur (P), par l'intermédiaire d'un canal d'échanges sécurisés par chiffrement.
2. 2. Procédé selon la revendication 1, dans lequel ladite information relative au porteur (P) comprend des données biométriques du porteur, dans lequel lesdites données transmises comprennent une requête d'exécution d'une opération à destination du téléphone mobile (T), et dans lequel ladite transmission de données est réalisée à condition que lesdites données biométriques correspondent au moins partiellement à des données biométriques de référence dudit porteur (P).
3. 3. Procédé selon la revendication 2, dans lequel lesdites données transmises comprennent des données obtenues sur la base desdites données biométriques, et comprenant de plus une étape d'exécution, par le téléphone mobile (T), de ladite opération requise, à condition que lesdites données biométriques correspondent à des données biométriques de référence dudit porteur (P).
4. 4. Procédé selon l'une des revendications 1 à 3, dans lequel le téléphone mobile (T) est conçu pour fonctionner alternativement dans un environnement d'exécution sécurisé (TEE/SE) et dans un environnement d'exécution standard (OS), et comprenant de plus des étapes préalables de : - transmission d'une requête de démarrage, du dispositif électronique porté (100) vers le téléphone mobile (T); - à réception de la requête de démarrage par le téléphone mobile (T), basculement du fonctionnement du téléphone mobile de l'environnement d'exécution standard (OS) à l'environnement d'exécution sécurisé (TEE/SE). 3034599 46
5. 5. Procédé selon l'une des revendications 3 à 4, la revendication 4 étant prise dans la dépendance de la revendication 3, dans lequel les données obtenues sur la base des données biométriques sont des données représentatives desdites données biométriques. 5
6. 6. Procédé selon la revendication 5 prise dans la dépendance de la revendication 4, comprenant une étape de comparaison desdites données représentatives et des données biométriques de référence dans l'environnement d'exécution sécurisé (TEE/SE).
7. 7. Procédé selon la revendication 5 prise dans la dépendance de la 10 revendication 4, comprenant une étape de mémorisation des données représentatives dans l'environnement d'exécution sécurisé (TEE/SE).
8. 8. Procédé selon l'une des revendications 3 ou 4, la revendication 4 étant prise dans la dépendance de la revendication 3, dans lequel les données obtenues sur la base des données biométriques sont obtenues par comparaison, 15 dans le dispositif électronique porté (100), desdites données biométriques et de données biométriques de référence du porteur (P).
9. 9. Procédé selon l'une des revendications 2 à 4, la revendication 4 étant prise dans la dépendance de la revendication 3, comprenant une étape de mémorisation desdites données biométriques dans un espace de stockage 20 sécurisé du dispositif électronique porté (100).
10. 10. Procédé selon l'une des revendications 2 à 9, dans lequel lesdites données biométriques sont des données représentatives de l'activité biologique dudit porteur (P).
11. 11. Procédé selon la revendication 10, dans lequel lesdites données 25 représentatives de l'activité biologique dudit porteur (P) sont des données représentatives de son activité cardiovasculaire et/ou de son activité électrodermale.
12. 12. Procédé selon l'une des revendications 4 à 11, les revendications 5 à 11 étant prises dans la dépendance de la revendication 4, dans lequel 30 l'environnement d'exécution sécurisé (TEE/SE) est réalisé au moins en partie du fait de l'exécution d'un système d'exploitation de confiance (TEE) au sein du téléphone mobile (T).
13. 13. Procédé selon l'une des revendications 4 à 11, les revendications 5 à 11 étant prises dans la dépendance de la revendication 4, dans lequel 3034599 47 l'environnement d'exécution sécurisé (TEE/SE) est réalisé au moins en partie au moyen d'un module électronique sécurisé (SE).
14. 14. Procédé selon l'une des revendications 4 à 13, les revendications 5 à 13 étant prises dans la dépendance de la revendication 4, au cours duquel un 5 basculement du fonctionnement du téléphone mobile (T) de l'environnement d'exécution sécurisé (TEE/SE) vers l'environnement d'exécution standard (OS) et une interruption d'une opération mise en oeuvre par le téléphone mobile (T) sont prévus si des conditions prédéterminées sont remplies.
15. 15. Procédé selon la revendication 14, dans lequel lesdites conditions 10 prédéterminées se rapportent à un signal délivré par ledit capteur d'état (104,105,109,117,118).
16. 16. Procédé selon l'une des revendications 1 à 15, dans lequel le dispositif électronique porté (100) est au contact d'une partie de corps du porteur (P). 15
17. 17. Procédé selon la revendication 16, dans lequel le dispositif électronique porté (100) est muni de moyens d'attache (102) sur une partie de corps du porteur (P).
18. 18. Procédé selon la revendication 17, dans lequel le dispositif électronique porté (100) est une montre connectée. 20
19. 19. Procédé selon la revendication 2, dans lequel lesdites données transmises comprennent des données obtenues sur la base desdites données biométriques, et comprenant de plus les étapes successives suivantes : - incrémentation d'un compteur, - comparaison desdites données biométriques avec des données 25 biométriques de référence dudit porteur (P) si ledit compteur est supérieur à un nombre prédéterminé, - remise à zéro dudit compteur si lesdites données correspondent audites données biométriques de référence, et - exécution, par le téléphone mobile (T), de ladite opération requise, si 30 ledit compteur est inférieur audit nombre prédéterminé.
20. 20. Procédé selon l'une des revendications 1 à 19, dans lequel ladite détermination d'une information relative au porteur (P) est réalisée suite à la saisie (601) d'une commande par le porteur (P), sur le dispositif électronique porté (100).
21. 21. Procédé selon l'une des revendications 1 à 19, dans lequel ladite 3034599 48 détermination d'une information relative au porteur (P) est réalisée lorsqu'une horloge du dispositif électronique porté (100) ou du téléphone mobile (T) atteint une valeur temporelle prédéterminée.
22. 22. Procédé selon l'une des revendications 1 à 19, dans lequel ladite 5 détermination d'une information relative au porteur (P) est réalisée lorsqu'un compteur du dispositif électronique porté (100) ou du téléphone mobile (T) atteint une valeur prédéterminée.
23. 23. Procédé selon l'une des revendications 1 à 19, dans lequel ladite détermination d'une information relative au porteur (P) est réalisée suite à la 10 détection par le dispositif électronique porté (100) ou par le téléphone mobile (T), d'un appareil électronique distinct du dispositif électronique porté (100) et du téléphone mobile (T).
24. 24. Procédé selon la revendication 23, dans lequel l'appareil électronique détecté comprend un terminal apte à communiquer par une émission 15 électromagnétique en champ proche avec le dispositif électronique porté (100) ou avec le téléphone mobile (T).
25. 25. Procédé selon l'une des revendications 1 à 19, dans lequel ladite détermination d'une information relative au porteur (P) est réalisée suite à la réception, par le téléphone mobile (T), de données provenant d'un service externe 20 de télécommunication (E).
26. 26. Dispositif électronique adapté à être porté (100) comportant un module de communication (110), un module de commande (111), et un capteur d'état (104,105,109,117,118), caractérisé en ce que : - le module de commande (111) est adapté à produire une information 25 relative à un porteur (P) du dispositif électronique adapté à être porté (100) sur la base d'un signal produit par le capteur d'état (104,105,109,117,118), et - le module de commande (111) est de plus adapté à commander au module de communication (110) de transmettre ladite information produite via un canal d'échanges sécurisés. 30