WO2016135418A1 - Procédé de sécurisation d'un service permettant la commande de véhicules automobiles au moyen de terminaux mobiles - Google Patents

Procédé de sécurisation d'un service permettant la commande de véhicules automobiles au moyen de terminaux mobiles Download PDF

Info

Publication number
WO2016135418A1
WO2016135418A1 PCT/FR2016/050420 FR2016050420W WO2016135418A1 WO 2016135418 A1 WO2016135418 A1 WO 2016135418A1 FR 2016050420 W FR2016050420 W FR 2016050420W WO 2016135418 A1 WO2016135418 A1 WO 2016135418A1
Authority
WO
WIPO (PCT)
Prior art keywords
owner
motor vehicle
server
mobile terminal
identifier
Prior art date
Application number
PCT/FR2016/050420
Other languages
English (en)
Inventor
Eric Menard
Fabienne Masson
Aymeric CHALOCHET
Original Assignee
Valeo Comfort And Driving Assistance
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Valeo Comfort And Driving Assistance filed Critical Valeo Comfort And Driving Assistance
Priority to EP16714977.2A priority Critical patent/EP3262619A1/fr
Publication of WO2016135418A1 publication Critical patent/WO2016135418A1/fr

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00571Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/20Means to switch the anti-theft system on or off
    • B60R25/24Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00857Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the data carrier can be programmed

Definitions

  • Step c) above will then ask the original owner if he has actually sold his vehicle. Then, if this is the case, the server can overwrite or block the old electronic certificate of ownership attached to the motor vehicle, before issuing another to the new owner of the vehicle.
  • the mobile terminal being adapted to communicate with the server, after each access of a user to the functionality of the motor vehicle through a mobile terminal, there is provided a step of transmission by said mobile terminal to the information server relating to the identity of the said user and at the time when the said access occurred.
  • the former owner may provide to incite, or to force the new owner to declare himself as such to the server.
  • each record storing (in addition to the identifier or as an identifier of the owner) a name or a pseudonym of said owner, it is expected to display frequently on the display screen located in the conveys a message mentioning the name or pseudonym of the said owner.
  • the information relating to the owner further comprising an identification number of said mobile terminal
  • the information to be modified comprises an identification number of a new mobile terminal
  • the identification number of said new mobile terminal is stored in the server
  • the owner information which also includes an owner identifier
  • the information to be modified includes an identifier of a new owner who purchased the motor vehicle from the original owner, as well as the contact details of the owner; new owner, and in step d), the identifier and the contact information of the new owner are stored in the server;
  • step d) the identifier of the initial owner is deactivated
  • the mobile terminal of the initial owner storing at least one virtual key to access the motor vehicle functionality, when the initial owner identifier is deactivated, said virtual key is blocked and / or the automatic update of said virtual key is suspended;
  • the server stores, in the record associated with said motor vehicle, a log in which are stored, since a given date, information relating to the identity of each user accessing the motor vehicle and at the time of each access to the functionality of the motor vehicle ;
  • a control unit of the motor vehicle After each access of a user to the functionality of the motor vehicle with a mobile terminal, a control unit of the motor vehicle stores information relating to the identity of the user and when said access has occurred.
  • FIG. 1 represents an exemplary context in which the invention may be implemented, notably comprising a vehicle and a mobile terminal;
  • FIG. 3 shows the main steps of a registration process, following the purchase of a used vehicle, to a vehicle function control service by means of the mobile terminal.
  • a motor vehicle 10 comprises an electronic control unit 1 1 (or ECU for "Electronic Control Unit") which can enter into communication via a wireless link with a mobile terminal 20, for example a mobile phone (or telephone cellular), possibly of the "smart phone” or “smartphone” type according to the commonly used English name, in order to exchange data with this mobile terminal 20, for example with a view to controlling the functionality of the motor vehicle 10 by means of mobile terminal 20 (such a feature can be for example the unlocking of the doors of the motor vehicle 10 or the starting of the engine of the vehicle).
  • ECU Electronic Control Unit
  • the wireless link used to communicate between the electronic control unit 1 1 and the mobile terminal 20 is for example of the Bluetooth type.
  • a server 50 is also connected to the public network 40 so that the mobile terminal 20 and the server 50 can communicate and exchanging data via the mobile telephone network 30 and the public network 40.
  • the server 50 is here managed by the manufacturer of the electronic control unit 1 1.
  • the motor vehicle 10 comprises in particular the electronic control unit 1 1 already mentioned, an actuator 15 (designed here to allow the unlocking of the doors of the motor vehicle 10), an actuator 17 (designed to allow the vehicle to start), a module wireless communication device 16 and a user interface 18.
  • the electronic control unit comprises a processor 12 and a storage unit 14, for example a rewritable non-volatile memory or a hard disk.
  • the storage unit 14 stores in particular computer programs comprising instructions whose execution by the processor 12 allows the implementation by the electronic control unit 11 of the processes described below.
  • the database D of the server 50 stores a plurality of records, each of these records being associated with one of the registered motor vehicles and storing a plurality of data, among which the identification number VID assigned to the motor vehicle 10.
  • the mobile terminal 20 comprises a processor 22, a memory 24 (for example a non-volatile memory rewritable), a wireless communication module 26, a communication module 28 on the mobile telephone network 30, and a screen display 27 (here a touch screen).
  • a processor 22 for example a non-volatile memory rewritable
  • a memory 24 for example a non-volatile memory rewritable
  • a wireless communication module 26 for example a non-volatile memory rewritable
  • a communication module 28 on the mobile telephone network 30 for example a touch screen.
  • the memory 24 allows the mobile terminal 20 to store a user application, intended to facilitate the control of the functionalities of the mobile terminal. vehicle via this mobile terminal 20. It is also adapted to store a virtual key VK, which will allow the electronic control unit 1 1 to authenticate the mobile terminal 20 to allow him access to the features of the motor vehicle 10 s he is authorized. Here, for greater security, it will be considered that this virtual key VK has a limited validity period, and that it will have to be regularly updated by the server 50.
  • contact details will preferably include the telephone number of the mobile terminal 20 to which the virtual key VK has been delivered (that is to say the number that has been assigned to the mobile terminal 20 at the time of subscription to the telephony service mobile, it is for example a number MSISDN).
  • the contact information may include the owner's email address or the owner's mailing address.
  • the contact details of the owner could act as an identifier for the owner.
  • the identifier of the mobile terminal 20 of the owner (generally called IMEI number) could act as an identifier for the owner.
  • IMEI number identifier for the owner.
  • the server 50 can also store, in each record associated with a motor vehicle 10:
  • the wireless communication module 26 of the mobile terminal 20 makes it possible to establish a wireless link (here Bluetooth type as already indicated) with the wireless communication module 16 of the motor vehicle 10 through which the processor 12 of the unit control electronics 1 1 and the processor 22 of the mobile terminal 20 can exchange data, especially as explained below.
  • a wireless link here Bluetooth type as already indicated
  • the communication module 28 enables the mobile terminal 20 (and more specifically the processor 22 equipping this mobile terminal 20) to exchange, as already indicated, data with other devices connected to the mobile telephone network 30 or to the public network 40, in particular with the server 50.
  • the communication module may include a smart card that stores connection data associated with a subscription to the mobile telephony service and making it possible to establish the connection on the mobile telephone network. .
  • the server 50 will allow to provide users with a service of access to one or more functionalities of the registered motor vehicles, by means of their mobile terminals.
  • the commanded functionality may be for example the unlocking of the doors of the vehicle or the starting of the vehicle.
  • the user may be the owner of the vehicle, or any other person authorized by the latter and registered in the server 50.
  • the subject of the present disclosure then relates more specifically to a method of securing this service when the owner of a motor vehicle 10 wishes to modify one of the information stored in the server 50.
  • the mobile terminal 20 of the new owner is not specifically prepared for the control of functionalities of the motor vehicle 10 and does not include any data associated with the motor vehicle 10. This may for example be the mobile phone commonly used by the new owner of the motor vehicle 10.
  • step E1 the new owner declares himself to the server 50 as the new owner of the motor vehicle 10.
  • step E1 the new owner communicates to the server 50 a request for a change of ownership of the motor vehicle 10 here comprising a user identifier UID1, the login VID of the motor vehicle 10, and the telephone number associated with the mobile terminal 20 used.
  • the VID identifier of the vehicle is for example of the "Vehicle Identification Number" type. It will have been provided by the previous owner to the new owner, along with the vehicle papers. However, it would be possible alternatively to use another identifier associated with the motor vehicle 10, in particular the serial number N of the electronic control unit 11 of the motor vehicle 10.
  • the user ID UID1 and the vehicle identifier VID considered in association form an electronic certificate of ownership of the vehicle for the proposed service.
  • the server 50 will check whether the motor vehicle 10 is already registered in the database D or if it is a new motor vehicle to be recorded in it.
  • the server 50 reads in step E5 the phone number of the old owner, which is stored in the D1 record of the database D.
  • the server sends on the mobile terminal 20 'of the former owner a message asking if he has actually sold his vehicle.
  • This message may be transmitted for example as a short message or SMS (for "Short Message System"). Alternatively, it could be an email or even a physical mail.
  • SMS Short Message System
  • the message then appears on the touch screen 27 of the mobile terminal 20
  • the former owner may then choose not to answer or reply that he is still the owner of the vehicle, in which case the process is interrupted (step E0).
  • the electronic control unit Upon receipt of this INS instruction, the electronic control unit
  • the new owner performs the action (or actions) requested
  • the electronic control unit 1 1 detects in step E10 whether the action performed by the new owner corresponds to the requested action ACT (leaving for example a predetermined duration to the new owner to perform the action).
  • the electronic control unit 1 1 proceeds to the step E1 1 which ends to the registration process.
  • An error message may be displayed on the user interface 18 of the motor vehicle 10.
  • the electronic control unit 1 1 of the motor vehicle transmits to the server 50 an authentication message of the new owner.
  • the server 50 On receipt of this message, the server 50 disables the UID0 identifier of the previous owner, as well as all the rights attached (step E13).
  • the UID0 identifier of the old owner is erased from the record D1 of the database D. It can then be archived in another database.
  • the entire record D1 could be deleted or archived.
  • the server 50 then ceases the updates of the virtual keys VK (which is recalled that they have a limited validity period) attached to the electronic certificate of ownership of the former owner of the motor vehicle 10.
  • the server 50 can transmit to all the mobile terminals 20 stored in the record D1 associated with the motor vehicle 10 a request to delete the virtual keys that these mobile terminals 20 store.
  • the server 50 erases all the virtual keys VK that were recorded in the record D1. Simultaneously, it may be provided that the server 50 controls the sending to the mobile terminals that used these virtual keys VK a message warning them that they can no longer benefit from access to the motor vehicle 10 using their terminals mobile 20.
  • This step of transmission of the virtual key VK is not the subject of the present invention, it will not be described here in detail. It can simply be explained that it is initiated by sending a short message to the mobile terminal 20, using the telephone number stored in the record D1 of the database D.
  • the mobile terminal 20 has a virtual key
  • VK (step E16) which allows the new owner to have access to the functionalities of his vehicle by means of his mobile terminal 20.
  • the former owner remains free to fraudulently use the motor vehicle 10 by using the virtual keys VK which he still has in his mobile terminal 20 '.
  • a peer log is maintained by the electronic control unit 1 1 of the motor vehicle 10.
  • the mobile terminal 20 does not have access to the server 50, the vehicle log is still updated.
  • the mobile terminal serves as a gateway to allow the information contained in the vehicle log to to be transmitted to the server 50.
  • An advantage is that even if the server log is not up to date and the motor vehicle has been stolen and found, it is possible to analyze the vehicle log to control all access to the vehicle.
  • the motor vehicle 10 may be provided to incite, or to force the new owner to declare himself as such to the server 50.
  • This incentive may take the form of messages displayed on the user interface 18 of the motor vehicle 10.
  • the electronic control unit 1 1 may be provided to control the display, at regular intervals, name and surname of the owner of the vehicle registered in the server 50 (for example at each start of the motor vehicle 10).
  • This update may for example be performed by asking the owner to use his physical key, to enter his last name and first name on the user interface 18 of the motor vehicle 10 and connect his mobile terminal 20 to the electronic control unit 1 1 in Bluetooth.
  • the server 50 reads the telephone number stored in the D1 record of the database D, then sends on this phone number a message asking the owner if he has indeed changed mobile terminal.
  • This message may be transmitted for example in the form of a short message or SMS (for "Short Message System").
  • the message may be transmitted in the form of an electronic mail or a paper mail.
  • the IMEI number of the mobile terminal 20 is registered in the server 50, as a new identifier of the mobile terminal of the owner of the motor vehicle 10.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Bioethics (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Lock And Its Accessories (AREA)

Abstract

L'invention concerne un service de commande permettant à un propriétaire de véhicule automobile équipé d'un terminal mobile (20) d'accéder à au moins une fonctionnalité du véhicule automobile (10) au moyen du terminal mobile, ledit service étant opéré à l'aide d'un serveur (50) dans lequel sont mémorisés des enregistrements qui associent, à chaque identifiant de véhicule automobile, des informations relatives au propriétaire du véhicule, dont les coordonnées du propriétaire. Selon l'invention, le procédé comporte des étapes de : - réception par le serveur d'une requête de modifications des informations enregistrées dans un enregistrement, - recherche d'un enregistrement dans le serveur associé à cette requête, - lecture des coordonnées de contact du propriétaire enregistré dans cet enregistrement, et envoi au propriétaire d'un message de demande de validation de ladite requête, - en cas de réception d'un message du propriétaire validant cette requête, modification dudit enregistrement.

Description

PROCEDE DE SECURISATION D'UN SERVICE PERMETTANT LA COMMANDE DE VEHICULES AUTOMOBILES AU MOYEN DE TERMINAUX MOBILES
DOMAINE TECHNIQUE AUQUEL SE RAPPORTE L'INVENTION La présente invention concerne de manière générale la commande de fonctionnalités d'un véhicule automobile au moyen d'un terminal mobile.
Elle concerne plus particulièrement un procédé de sécurisation d'un service de commande permettant à un propriétaire de véhicule automobile équipé d'un terminal mobile d'accéder à au moins une fonctionnalité du véhicule automobile au moyen de son terminal mobile, ledit service de commande étant opéré à l'aide d'un serveur dans lequel sont mémorisés des enregistrements qui associent chacun, à un identifiant, des informations relatives au propriétaire dudit véhicule automobile, lesdites informations comprenant au moins des coordonnées de contact dudit propriétaire.
L'invention s'applique particulièrement avantageusement dans le cas où la fonctionnalité commandée est le déverrouillage des portières du véhicule ou le démarrage du véhicule.
ARRIERE-PLAN TECHNOLOGIQUE
On a proposé de commander certaines fonctionnalités d'un véhicule automobile, telles que le déverrouillage des portières du véhicule, au moyen d'un terminal mobile, par exemple un téléphone portable couramment utilisé par le propriétaire du véhicule.
Afin de ne permettre cette commande qu'aux personnes effectivement autorisées, on utilise des clés virtuelles qui sont mémorisées dans les téléphones portables des personnes autorisées et dont une unité électronique de commande du véhicule vérifie la présence avant de commander le déverrouillage des portières.
L'utilisation de telle clés virtuelles n'empêche nullement l'utilisation de clefs physiques (ou de cartes de commandes électroniques dédiées au déverrouillage des portières et au démarrage du véhicule automobile).
Ainsi, en pratique, lorsqu'il achète un véhicule automobile, un propriétaire se voit remettre par le constructeur du véhicule des clés physiques et des informations lui permettant de s'enregistrer sur un serveur afin de se voir délivrer un certificat électronique de propriété ainsi qu'une ou plusieurs clés virtuelles d'accès au véhicule (comme cela est mentionné dans la demande de brevet FR1463430 non publiée au moment du dépôt de la présente demande de brevet).
Un inconvénient d'une telle solution est que, lorsque le propriétaire du véhicule automobile vend ce véhicule à une autre personne (le « nouveau propriétaire »), il peut lui fournir les clefs physiques mais il ne peut pas lui transmettre le certificat électronique de propriété ainsi que les clés virtuelles associées.
Le risque est alors que le propriétaire initial utilise le véhicule de manière frauduleuse, après l'avoir vendu, en se servant des clés virtuelles restées stockées dans son téléphone portable.
Un autre inconvénient est que lorsque le propriétaire change de terminal mobile, son nouveau terminal mobile n'est pas enregistré dans le serveur, si bien qu'il ne peut plus accéder au véhicule automobile autrement qu'avec ses clefs physiques.
OBJET DE L'INVENTION
Afin de remédier aux inconvénients précités de l'état de la technique, la présente invention propose de faciliter et de sécuriser le changement d'informations mémorisées dans le serveur.
Plus particulièrement, on propose selon l'invention un procédé de sécurisation tel que défini dans l'introduction, qui comprend les étapes suivantes :
- étape a) : réception par le serveur d'une requête de modifications des informations relatives à un propriétaire de véhicule automobile, comprenant un identifiant et au moins une information à modifier,
- étape b) : recherche d'un enregistrement dans le serveur associé à l'identifiant,
- étape c) : en cas d'enregistrement trouvé, lecture des coordonnées de contact du propriétaire enregistré dans l'enregistrement, et envoi audit propriétaire d'un message de demande de validation de ladite requête,
- étape d) : en cas de réception d'un message dudit propriétaire validant ladite requête, modification dudit enregistrement ou création d'un nouvel enregistrement dans le serveur, mémorisant chaque information à modifier.
On notera ici que le « propriétaire » pourra être une personne physique ou une personne morale, et qu'elle pourra éventuellement être représentée par une personne tierce pour mettre en œuvre le procédé selon l'invention. Pour illustrer l'invention, on peut tout d'abord considérer le cas où le propriétaire a changé de terminal mobile. Alors, le propriétaire émet une requête à destination du serveur, de manière que ce dernier prenne en compte ce nouveau terminal mobile. L'étape c) précitée consistera alors à demander au propriétaire s'il est bien à l'origine de cette requête. Ainsi, le nouveau terminal mobile sera pris en compte par le serveur uniquement après que le propriétaire aura validé qu'il était bien à l'origine de cette requête.
Pour illustrer l'invention, on peut également considérer le cas où le propriétaire du véhicule vend son véhicule à un nouveau propriétaire. Alors, l'un ou l'autre de l'ancien et du nouveau propriétaire émet une requête à destination du serveur, de manière que ce dernier enregistre ce changement de propriétaire. Cette requête sera généralement émise par le nouveau propriétaire. L'étape c) précitée consistera alors à demander au propriétaire initial s'il a effectivement vendu son véhicule. Alors, si tel est le cas, le serveur peut écraser ou bloquer l'ancien certificat électronique de propriété attaché au véhicule automobile, avant d'en délivrer un autre au nouveau propriétaire du véhicule.
Le risque qui demeure est que le nouveau propriétaire, pas informé ou pas intéressé par la possibilité de se voir délivrer un certificat électronique de propriété ainsi que des clés virtuelles, ne se fasse pas connaître auprès du serveur. Dans ce cas, l'ancien propriétaire reste libre d'utiliser frauduleusement le véhicule.
Alors, préférentiellement, le terminal mobile étant adapté à communiquer avec le serveur, après chaque accès d'un utilisateur à la fonctionnalité du véhicule automobile grâce à un terminal mobile, il est prévu une étape de transmission par ledit terminal mobile au serveur d'informations relatives à l'identité dudit utilisateur et au moment où ledit accès a eu lieu.
Les informations stockées dans le serveur pourront ainsi permettre de prouver l'utilisation frauduleuse du véhicule par son ancien propriétaire.
Pour réduire encore le risque d'utilisation frauduleuse du véhicule automobile par l'ancien propriétaire, on pourra prévoir d'inciter, voir de forcer le nouveau propriétaire à se déclarer comme tel auprès du serveur.
Ainsi, avantageusement, lorsque l'identifiant d'un quelconque propriétaire est inchangé dans le serveur depuis une durée supérieure à un seuil prédéterminé, il est prévu une étape de vérification de l'identité du propriétaire du véhicule automobile dont l'identifiant est associé audit identifiant.
En complément ou en variante, chaque enregistrement stockant (en sus de l'identifiant ou en guise d'identifiant du propriétaire) un nom ou un pseudonyme dudit propriétaire, il est prévu d'afficher fréquemment sur l'écran d'affichage situé dans le véhicule un message mentionnant le nom ou le pseudonyme dudit propriétaire.
Ainsi, si le nouveau propriétaire voit à plusieurs reprises s'afficher le nom de l'ancien propriétaire, il sera incité à se déclarer comme propriétaire auprès du serveur.
D'autres caractéristiques avantageuses et non limitatives du procédé conforme à l'invention sont les suivantes :
- les informations relatives au propriétaire comportant en outre un numéro d'identification dudit terminal mobile, à l'étape a), l'information à modifier comporte un numéro d'identification d'un nouveau terminal mobile, et à l'étape d), le numéro d'identification dudit nouveau terminal mobile est enregistré dans le serveur ;
- les informations relatives au propriétaire comportant en outre un identifiant du propriétaire, à l'étape a), l'information à modifier comporte un identifiant d'un nouveau propriétaire ayant acheté le véhicule automobile au propriétaire initial, ainsi que les coordonnées de contact du nouveau propriétaire, et à l'étape d), l'identifiant et les coordonnées de contact du nouveau propriétaire sont enregistrés dans le serveur ;
- à l'étape d), l'identifiant du propriétaire initial est désactivé ;
- le terminal mobile du propriétaire initial stockant au moins une clé virtuelle d'accès à la fonctionnalité du véhicule automobile, lorsque l'identifiant du propriétaire initial est désactivé, ladite clé virtuelle est bloquée et/ou la mise à jour automatique de ladite clé virtuelle est suspendue ;
- ledit enregistrement du serveur mémorisant les coordonnées de contact d'au moins un autre usager du véhicule automobile équipé d'un autre terminal mobile stockant au moins une autre clé virtuelle d'accès à la fonctionnalité du véhicule automobile, lorsque l'identifiant du propriétaire initial est désactivé, ladite autre clé virtuelle est bloquée et/ou la mise à jour automatique de ladite autre clé virtuelle est suspendue, et un message d'information de fin de validité de ladite autre clé virtuelle est envoyé audit autre usager, au moyen desdites coordonnées de contact mémorisées dans l'enregistrement ;
- après ladite étape d), le serveur transmet au terminal mobile du nouveau propriétaire une clé virtuelle d'accès à la fonctionnalité du véhicule automobile ;
- il est prévu une étape de détection d'une action du nouveau propriétaire sur un objet physique lié au véhicule automobile, et ladite étape d) est en outre conditionnée par ladite détection ;
l'objet physique est une clé physique apte à commander le déverrouillage des portières du véhicule automobile ;
- les informations relatives au propriétaire comportant un identifiant du propriétaire, lorsqu'un identifiant mémorisé dans le serveur est inchangé depuis une durée supérieure à un seuil prédéterminé, il est prévu une étape de vérification de l'identité dudit propriétaire ;
- les informations relatives au propriétaire comportant un nom ou un pseudonyme du propriétaire, et le véhicule automobile étant équipé d'un écran d'affichage, il est prévu d'afficher fréquemment sur ledit écran d'affichage un message mentionnant le nom ou le pseudonyme dudit propriétaire ;
- les coordonnées de contact mémorisées dans chaque enregistrement du serveur comportent une adresse de courrier électronique et/ou un numéro de téléphone ;
- le terminal mobile étant adapté à communiquer avec le serveur, après chaque accès du propriétaire à la fonctionnalité du véhicule automobile grâce à un terminal mobile, il est prévu une étape de transmission par ledit terminal mobile au serveur d'informations relatives au moment où ledit accès a eu lieu ;
- le serveur mémorise, dans l'enregistrement associé audit véhicule automobile, un journal dans lequel sont stockées, depuis une date déterminée, des informations relatives à l'identité de chaque utilisateur accédant au véhicule automobile et au moment de chaque accès à la fonctionnalité du véhicule automobile ;
- après chaque accès d'un utilisateur à la fonctionnalité du véhicule automobile grâce à un terminal mobile, une unité de commande du véhicule automobile mémorise des informations relatives à l'identité de l'utilisateur et au moment où ledit accès a eu lieu.
DESCRIPTION DÉTAILLÉE D'UN EXEMPLE DE RÉALISATION La description qui va suivre en regard des dessins annexés, donnés à titre d'exemples non limitatifs, fera bien comprendre en quoi consiste l'invention et comment elle peut être réalisée.
Sur les dessins annexés :
- la figure 1 représente un exemple de contexte dans lequel peut-être mise en œuvre l'invention, comprenant notamment un véhicule et un terminal mobile ;
- la figure 2 représente schématiquement des composants, utiles à la compréhension de l'invention, du véhicule et du terminal mobile de la figure 1 ; et
- la figure 3 présente les étapes principales d'un procédé d'inscription, suite à l'achat d'un véhicule d'occasion, à un service de commande de fonctionnalités du véhicule au moyen du terminal mobile.
La figure 1 représente un exemple de contexte dans lequel peut être mise en œuvre l'invention.
Dans ce contexte, un véhicule automobile 10 comprend une unité électronique de commande 1 1 (ou ECU pour "Electronic Control Unit") qui peut entrer en communication via une liaison sans fil avec un terminal mobile 20, par exemple un téléphone portable (ou téléphone cellulaire), éventuellement de type "téléphone intelligent" ou "smartphone" selon la dénomination anglo-saxonne couramment utilisée, afin d'échanger des données avec ce terminal mobile 20, par exemple en vue de la commande de fonctionnalités du véhicule automobile 10 au moyen du terminal mobile 20 (une telle fonctionnalité pouvant être par exemple le déverrouillage des portières du véhicule automobile 10 ou le démarrage du moteur du véhicule).
En variante, il pourrait par exemple s'agir d'une montre connectée, d'une paire de lunettes connectée, ou d'une tablette informatique.
La liaison sans fil utilisée pour communiquer entre l'unité électronique de commande 1 1 et le terminal mobile 20 est par exemple de type Bluetooth.
Le terminal mobile 20 est par ailleurs conçu pour se connecter à un réseau de téléphonie mobile 30 qui comprend notamment une station de base 32 en communication via une liaison radio avec le terminal mobile 20 et une passerelle 34 de connexion à un réseau public 40, par exemple le réseau Internet.
Un serveur 50 est également connecté au réseau public 40 de sorte que le terminal mobile 20 et le serveur 50 peuvent entrer en communication et échanger des données via le réseau de téléphonie mobile 30 et le réseau public 40. Le serveur 50 est ici géré par le fabricant de l'unité électronique de commande 1 1 .
La figure 2 représente schématiquement des composants, utiles à la compréhension de l'invention, du véhicule automobile 10 et du terminal mobile 20.
Le véhicule automobile 10 comprend notamment l'unité électronique de commande 1 1 déjà mentionnée, un actionneur 15 (conçu ici pour permettre le déverrouillage des portières du véhicule automobile 10), un actionneur 17 (conçu pour permettre le démarrage du véhicule), un module de communication sans fil 16 et une interface utilisateur 18.
L'unité électronique de commande comprend un processeur 12 et une unité de mémorisation 14, par exemple une mémoire non-volatile réinscriptible ou un disque dur.
L'unité de mémorisation 14 mémorise notamment des programmes d'ordinateur comprenant des instructions dont l'exécution par le processeur 12 permet la mise en œuvre par l'unité électronique de commande 1 1 des procédés décrits ci-dessous.
Un identifiant (ici un numéro d'identification VI D) est attribué au véhicule automobile 10. Un autre identifiant (ici un numéro de série N) est attribué à l'unité électronique de commande 1 1 . L'association entre le numéro d'identification VID d'un véhicule automobile 10 et le numéro de série N de l'unité électronique de commande 1 1 qui équipe ce véhicule automobile 10 est conservée dans une base de données D gérée par le serveur 50.
On considérera ici plus précisément que la base de données D du serveur 50 mémorise une pluralité d'enregistrements, chacun de ces enregistrements étant associé à l'un des véhicules automobiles 10 enregistré et stockant une pluralité de données, parmi lesquelles le numéro d'identification VID attribué au véhicule automobile 10.
Le terminal mobile 20 comprend quant à lui un processeur 22, une mémoire 24 (par exemple une mémoire non-volatile réinscriptible), un module de communication sans fil 26, un module 28 de communication sur le réseau de téléphonie mobile 30, et un écran d'affichage 27 (ici un écran tactile).
La mémoire 24 permet notamment au terminal mobile 20 de mémoriser une application utilisateur, destinée à faciliter la commande des fonctionnalités du véhicule au moyen de ce terminal mobile 20. Elle est également adaptée à mémoriser une clé virtuelle VK, qui permettra à l'unité électronique de commande 1 1 d'authentifier le terminal mobile 20 afin de lui laisser accès aux fonctionnalités du véhicule automobile 10 s'il y est autorisé. Ici, pour davantage de sécurité, on considérera que cette clé virtuelle VK a une durée de validité limitée, et qu'elle devra régulièrement être mise à jour par le serveur 50.
On considérera alors que le serveur 50 mémorise en outre, dans chaque enregistrement associé à un véhicule automobile 10 :
- l'identifiant UID du propriétaire enregistré,
- la clé virtuelle VK délivrée au propriétaire pour ce véhicule,
- des coordonnées de contact du propriétaire.
Ces coordonnées de contact comporteront préférentiellement le numéro de téléphone du terminal mobile 20 auquel la clé virtuelle VK a été délivrée (c'est- à-dire le numéro qui a été attribué au terminal mobile 20 au moment de l'abonnement au service de téléphonie mobile, il s'agit par exemple d'un numéro MSISDN). En variante ou par surcroît, les coordonnées de contact pourront comporter l'adresse de messagerie électronique du propriétaire ou l'adresse postale du propriétaire.
On notera ici que les coordonnées de contact du propriétaire pourraient faire office d'identifiant pour le propriétaire. Encore en variante, l'identifiant du terminal mobile 20 du propriétaire (généralement appelé numéro IMEI) pourrait faire office d'identifiant pour le propriétaire. Ici, comme cela sera bien décrit dans la suite de cet exposé, on considérera que le propriétaire sera identifié par un ensemble d'informations.
Le serveur 50 pourra également mémoriser, dans chaque enregistrement associé à un véhicule automobile 10 :
- l'identifiant des autres usagers du véhicule (famille, amis, loueur, ...),
- les coordonnées de contact de ces autres usagers, et
- les clés virtuelles VK délivrées au terminaux mobiles de ces autres usagers.
Le module de communication sans fil 26 du terminal mobile 20 permet d'établir une liaison sans fil (ici de type Bluetooth comme déjà indiqué) avec le module de communication sans fil 16 du véhicule automobile 10 à travers laquelle le processeur 12 de l'unité électronique de commande 1 1 et le processeur 22 du terminal mobile 20 peuvent échanger des données, notamment comme exposé plus loin.
Le module de communication 28 permet au terminal mobile 20 (et plus précisément au processeur 22 équipant ce terminal mobile 20) d'échanger comme déjà indiqué des données avec d'autres dispositifs connectés au réseau de téléphonie mobile 30 ou au réseau public 40, notamment avec le serveur 50. Dans certains modes de réalisation, le module de communication peut comprendre une carte à puce qui mémorise des données de connexion associées à un abonnement au service de téléphonie mobile et permettant d'établir la connexion sur le réseau de téléphonie mobile 30.
Comme cela a été exposé supra, le serveur 50 va permettre d'offrir à des utilisateurs un service d'accès à une ou des fonctionnalités des véhicules automobiles 10 enregistrés, au moyen de leurs terminaux mobiles.
La fonctionnalité commandée pourra être par exemple le déverrouillage des portières du véhicule ou le démarrage du véhicule.
L'utilisateur pourra être le propriétaire du véhicule, ou toute autre personne autorisée par ce dernier et enregistrée dans le serveur 50.
Ce service devra alors être sécurisé pour permettre d'éviter que des personnes non autorisées puissent accéder aux fonctionnalités des véhicules automobiles.
L'objet du présent exposé porte alors plus précisément sur un procédé de sécurisation de ce service lorsque le propriétaire d'un véhicule automobile 10 souhaite modifier l'une des informations mémorisées dans le serveur 50.
On pourra noter, de manière préliminaire, que ce procédé comportera systématiquement quatre étapes principales, à savoir :
- une étape de réception par le serveur 50 d'une requête de modifications des informations relatives au propriétaire de véhicule automobile 10, comprenant un identifiant (par exemple celui du véhicule) et au moins une information à modifier,
- une étape de recherche d'un enregistrement dans le serveur 50 associé à l'identifiant VID,
- en cas d'enregistrement trouvé, une étape de lecture des coordonnées de contact du propriétaire enregistré dans l'enregistrement, et d'envoi audit propriétaire d'un message de demande de validation de ladite requête, et - en cas de réception d'un message du propriétaire validant ladite requête, une étape de modification de l'enregistrement (ou en variante de création d'un nouvel enregistrement dans le serveur) afin qu'il mémorise chaque information à modifier.
Pour bien comprendre la présente invention, on pourra envisager deux cas, celui où le propriétaire du véhicule change (l'information à modifier dans le serveur 50 comprenant alors notamment les noms et prénoms ainsi que les coordonnées de contact du propriétaire), et celui où le propriétaire change de terminal mobile (l'information à modifier dans le serveur 50 comprenant alors le numéro IMEI du terminal mobile, ainsi qu'éventuellement le numéro de téléphone associé à ce terminal mobile).
Considérons tout d'abord le cas d'une vente ou d'une cession du véhicule automobile 10 par son « ancien propriétaire » (ou « propriétaire initial ») à un « nouveau propriétaire ».
La figure 3 présente alors en détail les étapes principales d'un procédé d'inscription (ou enrôlement) du nouveau propriétaire sur le serveur 50, de manière qu'il puisse accéder au service de commande des fonctionnalités du véhicule automobile au moyen de son terminal mobile 20.
On remarque qu'avant la mise en œuvre d'un tel procédé, le terminal mobile 20 du nouveau propriétaire n'est pas spécifiquement préparé pour la commande de fonctionnalités du véhicule automobile 10 et ne comprend aucune donnée associée avec le véhicule automobile 10. Il peut donc s'agir par exemple du téléphone portable couramment utilisé par le nouveau propriétaire du véhicule automobile 10.
De même, avant la mise en œuvre du procédé, le terminal mobile 20 du nouveau propriétaire est inconnu du véhicule automobile 10 qui n'a donc connaissance d'aucune donnée associée à ce terminal mobile 20.
En revanche, on considérera ici que l'ancien propriétaire s'était identifié auprès du serveur 50, si bien que la base de données D comporte, dans un enregistrement D1 associé au véhicule automobile 10, des informations relatives à cet ancien propriétaire (par exemple un identifiant, un numéro de téléphone associé à son terminal mobile, ses nom et prénom, ...). On notera ici que le terminal mobile de l'ancien propriétaire sera référencé 20' sur la figure 3.
On considère que, pour la mise en œuvre du procédé de la figure 3, le nouveau propriétaire a accès au véhicule automobile 10 par des moyens classiques, par exemple par une clef physique que lui aura remis l'ancien propriétaire.
Dans le mode de réalisation décrit ici, le nouveau propriétaire porte et utilise le terminal mobile 20 qui, comme décrit ci-dessus, est en communication d'une part avec l'unité électronique de commande 1 1 via une liaison sans fil (par exemple de type Bluetooth) et d'autre part avec le serveur 50 via une liaison radio jusqu'à la station de base 31 , puis via le réseau de téléphonie mobile 30 et le réseau public 40.
Le terminal mobile 20 peut ainsi être utilisé, dans le mode de réalisation décrit ici, en tant que passerelle permettant un échange de données entre l'unité électronique de commande 1 1 du véhicule automobile 10 et le serveur 50, comme décrit ci-après.
En variante, on pourrait utiliser d'autres moyens de communication entre le véhicule et le serveur 50, par exemple un module de communication (parfois dénommé "Telematic Control Unit") équipant le véhicule et conçu pour établir une communication (directe) entre le véhicule et le réseau de téléphonie mobile.
Le procédé de la figure 3 débute à l'étape E1 à laquelle le nouveau propriétaire se déclare auprès du serveur 50 comme nouveau propriétaire du véhicule automobile 10.
Pour cela, il peut tout d'abord s'installer dans le véhicule automobile 10, et attendre qu'une liaison Bluetooth s'établisse de manière classique entre son terminal mobile 20 et l'unité électronique de commande 1 1 du véhicule automobile 10.
II peut également télécharger l'application utilisateur mise à sa disposition par le constructeur du véhicule automobile. Cette application utilisateur pourra par exemple être téléchargée sur le « magasin en ligne » associé au système d'exploitation embarqué sur son terminal mobile 20. En pratique, s'il dispose d'un iPhone®, l'utilisateur pourra télécharger cette application utilisateur sur l'Apple store®.
Une fois cette liaison établie et cette application utilisateur téléchargée et installée sur son terminal mobile 20, à l'étape E1 , le nouveau propriétaire communique au serveur 50 une requête de changement de propriétaire du véhicule automobile 10 comprenant ici un identifiant utilisateur UID1 , l'identifiant VID du véhicule automobile 10, et le numéro de téléphone associé au terminal mobile 20 utilisé.
Dans un mode de réalisation envisageable, il utilise pour cela l'application utilisateur, cette dernière étant programmée pour demander au nouveau propriétaire la saisie des identifiants précités UID1 , VID et pour les transmettre au serveur 50. Dans un autre mode de réalisation envisageable, le nouveau propriétaire se connecte au serveur 50 en saisissant l'adresse http du serveur 50 dans un navigateur exécuté par le processeur 22 du terminal mobile 20, et saisit par exemple les identifiants précités UID1 , VID ainsi que son numéro de téléphone dans un formulaire ensuite transmis au serveur 50.
L'identifiant utilisateur UID1 du nouveau propriétaire pourra se présenter sous différentes formes. Il pourrait par exemple comprendre les nom et prénom(s) du nouveau propriétaire, et/ou son pseudonyme et/ou sa date de naissance et/ou son adresse électronique et/ou son numéro de téléphone et/ou un identifiant du terminal mobile 20 (tel que le numéro IMEI). On considérera dans la suite de cet exposé que cet identifiant comprendra les nom et prénom(s) du nouveau propriétaire, ainsi que son numéro de téléphone.
L'identifiant VID du véhicule est par exemple de type "Vehicle Identification Number". Il aura été fourni par l'ancien propriétaire au nouveau propriétaire, avec les papiers du véhicule. On pourrait toutefois utiliser en variante un autre identifiant associé au véhicule automobile 10, notamment le numéro de série N de l'unité électronique de commande 1 1 du véhicule automobile 10.
L'identifiant utilisateur UID1 et l'identifiant véhicule VID considérés en association forment un certificat électronique de propriété du véhicule pour le service proposé.
Le serveur 50 reçoit l'identifiant utilisateur UID1 et l'identifiant véhicule VID à l'étape E2 et mémorise ces identifiants, à cette étape, dans une zone dédiée aux véhicules pour lesquels l'inscription au service de commande de fonctionnalités du véhicule au moyen du terminal mobile est en cours.
Au cours de l'étape suivante E3, le serveur 50 va vérifier si le véhicule automobile 10 est déjà enregistré dans la base de données D ou s'il s'agit d'un nouveau véhicule automobile à enregistrer dans celle-ci.
Il va pour cela rechercher dans sa base de données D un enregistrement dans lequel serait mémorisé l'identifiant véhicule VID. On considérera ici, dans le cadre de la présente invention, qu'un enregistrement D1 est trouvé, si bien que le procédé se poursuit en une étape E5.
Si aucun enregistrement n'était trouvé, le véhicule automobile 10 serait considéré comme n'ayant jamais été enregistré dans la base de données D. Le processus se poursuivrait alors en des opérations E4 au cours desquelles non seulement le nouveau propriétaire mais également le véhicule devraient s'enrôler auprès du serveur.
Les étapes E5 et suivantes vont alors être mises en œuvre par le serveur 50 de manière que ce dernier puisse s'assurer que la personne qui a transmis la requête de changement de propriétaire est bien le nouveau propriétaire du véhicule automobile 10.
Ces étapes consisteront à vérifier auprès de l'ancien propriétaire que ce dernier n'est plus le propriétaire légal du véhicule automobile 10, puis éventuellement à identifier le nouveau propriétaire (celui-ci étant considéré comme tel s'il dispose d'un objet physique particulier - ici la clef physique).
Pour cela, le serveur 50 lit à l'étape E5 le numéro de téléphone de l'ancien propriétaire, qui est mémorisé dans l'enregistrement D1 de la base de données D.
A l'étape suivante E6, le serveur envoie sur le terminal mobile 20' de l'ancien propriétaire un message lui demandant s'il a effectivement vendu son véhicule.
Ce message pourra être transmis par exemple sous forme de message court ou SMS (pour "Short Message System"). En variante, il pourrait s'agir d'un courrier électronique ou même d'un courrier physique.
Le message s'affiche alors sur l'écran tactile 27 du terminal mobile 20
(étape E7). On considérera ici que ce message comporte deux liens http, l'un pour valider que le véhicule automobile 10 a effectivement été vendu, l'autre pour répondre que l'ancien propriétaire est encore propriétaire du véhicule.
L'ancien propriétaire peut alors choisir de ne pas répondre ou de répondre qu'il est encore propriétaire du véhicule, auquel cas le processus s'interrompt (étape E0).
Au contraire, il peut valider que le véhicule automobile 10 a effectivement été vendu, auquel cas un message de réponse favorable est transmis depuis le terminal mobile 20' de l'ancien propriétaire vers le serveur 50. A réception de ce message, le nouveau propriétaire pourrait être directement enregistré dans le serveur 50.
Toutefois, ici, pour davantage de sécurité, des étapes E8 et suivantes vont être entreprises avant de valider l'inscription du nouveau propriétaire dans le serveur 50.
Le serveur 50 déclenche alors la poursuite du procédé d'inscription en émettant à destination de l'unité électronique de commande 1 1 du véhicule automobile 10 une instruction INS de vérification de la présence du nouveau propriétaire dans le véhicule automobile 10 (étape E8).
À réception de cette instruction INS, l'unité électronique de commande
1 1 commande à l'étape E9 la génération par l'interface utilisateur 18 d'une indication demandant au nouveau propriétaire d'effectuer une ou plusieurs action(s) ACT.
Cette indication peut être une indication visuelle (par exemple un signal lumineux ou un affichage sur un écran de l'interface utilisateur 18) et/ou sonore (par exemple un son particulier ou un message vocal).
L'action ou les actions demandée(s) comprennent préférentiellement l'utilisation de la clé physique (par exemple l'appui, éventuellement simultané, sur un ou plusieurs boutons de la clé physique, ou le démarrage et/ou l'arrêt du moteur avec la clé physique). En variante, elle(s) peuvent comprendre une action du nouveau propriétaire sur le véhicule automobile 10, par exemple un appui sur un bouton de l'interface utilisateur 18, une ouverture et/ou une fermeture de porte (dans ces variantes, ces actions ne peuvent en effet être mises en œuvre que si le nouveau propriétaire dispose effectivement de la clef physique).
Le nouveau propriétaire effectue l'action (ou les actions) demandée(s)
ACT à l'étape E9.
L'unité électronique de commande 1 1 détecte à l'étape E10 si l'action effectuée par le nouveau propriétaire correspond bien à l'action demandée ACT (en laissant par exemple une durée prédéterminée au nouveau propriétaire pour accomplir l'action).
En cas d'échec (c'est-à-dire si le nouveau propriétaire n'effectue pas les actions demandées dans le laps de temps imparti), l'unité électronique de commande 1 1 procède à l'étape E1 1 qui met fin au processus d'inscription. Un message d'erreur peut en outre être affiché sur l'interface utilisateur 18 du véhicule automobile 10.
En revanche, si le nouveau propriétaire effectue correctement les actions demandées ACT dans le temps imparti, on considère que toutes les conditions requises pour effectuer son inscription dans la base de données D sont remplies et que le service de commande de fonctionnalités du véhicule au moyen du terminal mobile peut être lancé.
Alors, au cours d'une étape E12, l'unité électronique de commande 1 1 du véhicule automobile transmet au serveur 50 un message d'authentification du nouveau propriétaire.
A réception de ce message, le serveur 50 désactive l'identifiant UID0 de l'ancien propriétaire, ainsi que tous les droit attachés (étape E13).
Ici, l'identifiant UID0 de l'ancien propriétaire est effacé de l'enregistrement D1 de la base de données D. Il peut ensuite être archivé dans une autre base de données.
En variante, l'ensemble de l'enregistrement D1 pourrait être supprimé ou archivé.
Quoi qu'il en soit, le serveur 50 cesse alors les mises à jour des clés virtuelles VK (dont on rappelle qu'elles ont une durée de validité limitée) attachées au certificat électronique de propriété de l'ancien propriétaire du véhicule automobile 10.
En variante, le serveur 50 peut émettre à destination de tous les terminaux mobiles 20 mémorisés dans l'enregistrement D1 associé au véhicule automobile 10 une requête d'effacement des clés virtuelles que ces terminaux mobiles 20 stockent.
Dans ces deux cas, le serveur 50 efface toutes les clés virtuelles VK qui étaient enregistrées dans l'enregistrement D1 . Simultanément, on pourra prévoir que le serveur 50 commande l'envoi aux terminaux mobiles qui utilisaient ces clés virtuelles VK d'un message les avertissant qu'ils ne peuvent plus bénéficier de l'accès au véhicule automobile 10 à l'aide de leurs terminaux mobiles 20.
Puis, au cours d'une étape E14, le serveur 50 procède à l'inscription de l'identifiant UID1 du nouveau propriétaire dans l'enregistrement D1 de la base de données D, ainsi qu'à l'inscription de son numéro de téléphone.
En variante, cette inscription pourrait être réalisée dans un nouvel enregistrement de la base de données, en association avec l'identifiant VI D du véhicule automobile 10.
Une fois cette inscription réalisée, le serveur 50 génère une nouvelle clé virtuelle VK qu'il stocke dans l'enregistrement D1 et qu'il émet à destination du terminal mobile 20 du nouveau propriétaire (étape E15).
Cette étape de transmission de la clé virtuelle VK ne faisant pas l'objet de la présente invention, elle ne sera pas ici décrite en détail. On pourra simplement expliquer qu'elle est initiée en envoyant un message court au terminal mobile 20, en utilisant le numéro de téléphone stocké dans l'enregistrement D1 de la base de données D.
A l'issue de cette étape, le terminal mobile 20 bénéficie d'une clé virtuelle
VK (étape E16) qui permet au nouveau propriétaire d'avoir accès aux fonctionnalités de son véhicule au moyen de son terminal mobile 20.
Une fois la clé virtuelle VK émise, le procédé d'enrôlement du nouveau propriétaire s'achève.
Considérons maintenant le cas où le nouveau propriétaire du véhicule automobile 10 ne s'enregistre pas auprès du serveur 50.
Il peut en effet arriver que le nouveau propriétaire ne souhaite pas bénéficier du service d'accès au véhicule au moyen d'un terminal mobile, ou qu'il ne soit pas informé de la possibilité de bénéficier de ce service.
On comprend que dans ce cas, l'ancien propriétaire reste libre d'utiliser frauduleusement le véhicule automobile 10 en utilisant les clés virtuelles VK dont il dispose encore dans son terminal mobile 20'.
Il est alors prévu de stocker dans le serveur 50 des informations permettant de prouver a posteriori l'utilisation frauduleuse du véhicule par son ancien propriétaire.
Pour cela, l'application utilisateur enregistrée dans chaque terminal mobile 20 est programmée pour transmettre au serveur 50, à chaque fois que le terminal mobile 20 est utilisé pour déverrouiller les portières ou pour démarrer le moteur du véhicule, des informations relatives à l'identité de son propriétaire et au moment où ledit accès a eu lieu. Ces informations peuvent être directement transmises au serveur, ou peuvent être transmises plus tard si le terminal mobile
20 n'a pas accès au réseau de téléphonie mobile.
Ainsi, chaque enregistrement D1 de la base de données D stockées dans le serveur 50 mémorise un journal dans lequel sont listés tous ces accès. Ce journal pourra ainsi en pratique mémoriser le numéro de téléphone ou le code IMEI du terminal mobile 20 utilisé, ainsi que la date et l'heure de l'accès au véhicule automobile 10.
De cette manière, en cas de litige, ce journal pourra servir de preuve concernant les personnes ayant utilisées le véhicule automobile 10.
Avantageusement, un journal homologue est tenu par l'unité électronique de commande 1 1 du véhicule automobile 10.
Ainsi, à chaque accès à l'une des fonctionnalités du véhicule automobile par un utilisateur, l'unité électronique de commande 1 1 stocke dans son unité de mémorisation 14 des informations relatives à l'identité de l'utilisateur (par exemple le numéro IMEI de son terminal mobile 20) et au moment où ledit accès a eu lieu.
De cette manière, lorsque le terminal mobile 20 n'a pas accès au serveur 50, le journal du véhicule est tout de même mis à jour. Ainsi, par la suite, lorsqu'un terminal mobile (le même ou un autre) ayant accès au serveur 50 est utilisé par un utilisateur pour accéder au véhicule, ce terminal mobile sert de passerelle pour permettre aux informations contenues dans le journal du véhicule d'être transmises au serveur 50.
Un avantage est que même si le journal du serveur n'est pas à jour et que le véhicule automobile a été volé puis est retrouvé, il est possible d'analyser le journal du véhicule pour contrôler tous les accès au véhicule.
Pour réduire encore le risque d'utilisation frauduleuse du véhicule automobile 10 par son ancien propriétaire, on pourra prévoir d'inciter, voir de forcer le nouveau propriétaire à se déclarer comme tel auprès du serveur 50.
Cette incitation pourra prendre la forme de messages affichés sur l'interface utilisateur 18 du véhicule automobile 10.
Ainsi, l'unité électronique de commande 1 1 pourra être prévue pour commander l'affichage, à intervalles réguliers, des nom et prénom du propriétaire du véhicule enregistré dans le serveur 50 (par exemple à chaque démarrage du véhicule automobile 10).
Ainsi, en voyant s'afficher des nom et prénom qui ne sont pas les siens, le nouveau propriétaire du véhicule sera incité à se déclarer comme tel auprès du serveur 50.
En variante, on pourra prévoir que le certificat électronique de propriété de chaque véhicule automobile ait une durée de validité limitée et que le propriétaire du véhicule soit forcé de le mettre à jour à intervalles réguliers.
Dans cette variante, on pourra stocker dans chaque enregistrement de la base de données la date de création du certificat électronique de propriété.
Alors, par exemple à chaque anniversaire de cette date de création, on pourra forcer le propriétaire à mettre à jour son certificat de propriété électronique. Cette mise à jour pourra par exemple être réalisée en demandant au propriétaire d'utiliser sa clef physique, de saisir ses nom et prénom sur l'interface utilisateur 18 du véhicule automobile 10 et de connecter son terminal mobile 20 à l'unité électronique de commande 1 1 en Bluetooth.
Alors, ces nom et prénom et l'identifiant du terminal mobile 20 seront comparés par le serveur 50 avec ceux mémorisés dans l'enregistrement correspondant de la base de données D.
S'ils correspondent, la validité du certificat électronique de propriété sera prolongée d'un an.
Dans le cas contraire (cas où le propriétaire du véhicule a changé), le nouveau propriétaire sera forcé de s'enrôler auprès du serveur, selon le procédé décrit supra.
On peut maintenant envisager le deuxième exemple de mise en œuvre de l'invention, celui où le propriétaire du véhicule a changé de terminal mobile 20 et souhaite enregistrer ce nouveau terminal 20 dans le serveur 50.
Dans ce deuxième exemple non représenté sur les figures, le propriétaire initie le processus d'inscription de ce nouveau terminal mobile 20 dans le serveur 50 en communiquant au serveur 50 une requête de changement de terminal mobile.
Pour cela, il commence par télécharger l'application utilisateur mise à sa disposition par le constructeur du véhicule automobile, puis il choisit dans cette application le menu lui permettant d'émettre une telle requête.
Dans ce menu, le propriétaire saisit des informations, dont un identifiant permettant au serveur 50 de retrouver l'enregistrement D1 correspondant au véhicule automobile 10 du propriétaire.
Cet identifiant sera préférentiellement l'identifiant VI D du véhicule automobile 10.
En variante, il pourrait s'agir de l'identifiant UID du propriétaire du véhicule. Lorsqu'il reçoit ces informations, le serveur 50 recherche dans sa base de données D un enregistrement dans lequel serait mémorisé l'identifiant véhicule VID.
On considérera ici, dans le cadre de la présente invention, qu'un enregistrement D1 est trouvé.
Les étapes suivantes vont alors être mises en œuvre par le serveur 50 de manière que ce dernier puisse s'assurer que la personne qui a transmis la requête de changement de terminal mobile est bien le propriétaire du véhicule automobile 10.
Pour cela, le serveur 50 lit le numéro de téléphone mémorisé dans l'enregistrement D1 de la base de données D, puis il envoie sur ce numéro de téléphone un message demandant au propriétaire s'il a effectivement changé de terminal mobile.
Ce message pourra être transmis par exemple sous forme d'un message court ou SMS (pour "Short Message System").
En variante ou en cas d'absence de réponse (notamment dans le cas où le propriétaire a également changé de numéro de téléphone), le message pourra être transmis sous la forme d'un courrier électronique ou d'un courrier papier.
Dès que le propriétaire valide le message reçu, le numéro IMEI du terminal mobile 20 est enregistré dans le serveur 50, comme nouvel identifiant du terminal mobile du propriétaire du véhicule automobile 10.
Ici encore, pour davantage de sécurité, d'autres étapes pourraient être entreprises avant de valider l'inscription du numéro IMEI du nouveau terminal mobile dans le serveur. Il pourrait ainsi être demandé au propriétaire de valider cette inscription, en effectuant une ou plusieurs action(s) ACT du type de celles décrites supra.

Claims

REVENDICATIONS
1 . Procédé de sécurisation d'un service de commande permettant à un propriétaire de véhicule automobile (10) équipé d'un terminal mobile (20) d'accéder à au moins une fonctionnalité du véhicule automobile (10) au moyen du terminal mobile (20), ledit service de commande étant opéré à l'aide d'un serveur (50) dans lequel sont mémorisés des enregistrements qui associent chacun, à un identifiant (VID ; UID), des informations relatives au propriétaire dudit véhicule automobile (10), lesdites informations comprenant au moins des coordonnées de contact dudit propriétaire,
caractérisé en ce qu'il comprend les étapes suivantes :
a) réception par le serveur (50) d'une requête de modifications des informations relatives à un propriétaire de véhicule automobile (10), comprenant un identifiant (VID ; UID) et au moins une information à modifier,
b) recherche d'un enregistrement dans le serveur (50) associé à l'identifiant (VID ; UID),
c) en cas d'enregistrement trouvé, lecture des coordonnées de contact du propriétaire enregistré dans ledit enregistrement, et envoi audit propriétaire d'un message de demande de validation de ladite requête,
d) en cas de réception d'un message dudit propriétaire validant ladite requête, modification dudit enregistrement ou création d'un nouvel enregistrement dans le serveur (50), de manière que le serveur (50) mémorise chaque information à modifier.
2. Procédé de sécurisation selon la revendication 1 , dans lequel, les informations relatives au propriétaire comportant en outre un numéro d'identification dudit terminal mobile (20),
- à l'étape a), l'information à modifier comporte un numéro d'identification d'un nouveau terminal mobile (20), et
- à l'étape d), le numéro d'identification dudit nouveau terminal mobile (20) est enregistré dans le serveur (50).
3. Procédé de sécurisation selon la revendication 1 , dans lequel ledit identifiant (VID) caractérisant le véhicule automobile (10), les informations relatives au propriétaire comportant un identifiant (UID0) du propriétaire,
- à l'étape a), l'information à modifier comporte un identifiant (UID1 ) d'un nouveau propriétaire ayant acheté le véhicule automobile (10) au propriétaire initial, ainsi que les coordonnées de contact du nouveau propriétaire, et
- à l'étape d), l'identifiant (UID1 ) et les coordonnées de contact du nouveau propriétaire sont enregistrés dans le serveur.
4. Procédé de sécurisation selon la revendication 3, dans lequel, à l'étape d), l'identifiant (UIDO) du propriétaire initial est désactivé.
5. Procédé de sécurisation selon la revendication 4, dans lequel, le terminal mobile (20') du propriétaire initial stockant au moins une clé virtuelle (VK) d'accès à la fonctionnalité du véhicule automobile (10), lorsque l'identifiant (UIDO) du propriétaire initial est désactivé, ladite clé virtuelle (VK) est bloquée et/ou la mise à jour automatique de ladite clé virtuelle (VK) est suspendue.
6. Procédé de sécurisation selon la revendication 5, dans lequel, ledit enregistrement du serveur (50) mémorisant les coordonnées de contact d'au moins un autre usager du véhicule automobile (10) équipé d'un autre terminal mobile stockant au moins une autre clé virtuelle d'accès à la fonctionnalité du véhicule automobile (10), lorsque l'identifiant (UIDO) du propriétaire initial est désactivé, ladite autre clé virtuelle est bloquée et/ou la mise à jour automatique de ladite autre clé virtuelle est suspendue, et un message d'information de fin de validité de ladite autre clé virtuelle est envoyé audit autre usager, au moyen des coordonnées de contact mémorisées dans l'enregistrement.
7. Procédé de sécurisation selon l'une des revendications 3 à 6, dans lequel, après ladite étape d), le serveur (50) transmet au terminal mobile (20) du nouveau propriétaire une clé virtuelle (VK) d'accès à la fonctionnalité du véhicule automobile (10).
8. Procédé de sécurisation selon l'une des revendications 3 à 7, comprenant une étape de détection d'une action du nouveau propriétaire sur un objet physique lié au véhicule automobile (10), dans lequel ladite étape d) est en outre conditionnée par ladite détection.
9. Procédé de sécurisation selon la revendication 8, dans lequel l'objet physique est une clé physique apte à commander le déverrouillage des portières du véhicule automobile (10).
10. Procédé de sécurisation selon l'une des revendications précédentes, dans lequel, les informations relatives au propriétaire comportant un identifiant (UID) du propriétaire, lorsqu'un identifiant (UID) de propriétaire mémorisé dans le serveur (50) est inchangé depuis une durée supérieure à un seuil prédéterminé, il est prévu une étape de vérification de l'identité dudit propriétaire.
1 1 . Procédé de sécurisation selon l'une des revendications précédentes, dans lequel, les informations relatives au propriétaire comportant un nom ou un pseudonyme du propriétaire, et le véhicule automobile (10) étant équipé d'un écran d'affichage (18), il est prévu d'afficher fréquemment sur ledit écran d'affichage (18) un message mentionnant le nom ou le pseudonyme dudit propriétaire.
12. Procédé de sécurisation selon l'une des revendications précédentes, dans lequel, dans lequel les coordonnées de contact mémorisées dans chaque enregistrement du serveur (50) comportent une adresse de courrier électronique et/ou un numéro de téléphone.
13. Procédé de sécurisation selon l'une des revendications précédentes, dans lequel, le terminal mobile (20) étant adapté à communiquer avec le serveur (50), après chaque accès du propriétaire à la fonctionnalité du véhicule automobile (10) grâce à un terminal mobile (20), il est prévu une étape de transmission par ledit terminal mobile (20) au serveur (50) d'informations relatives au moment où ledit accès a eu lieu.
14. Procédé de sécurisation selon la revendication précédente, dans lequel le serveur (50) mémorise, dans l'enregistrement associé audit véhicule automobile (10), un journal dans lequel sont stockées, depuis une date déterminée, des informations relatives à l'identité de chaque utilisateur accédant au véhicule automobile (10) et au moment de chaque accès à la fonctionnalité du véhicule automobile (10).
15. Procédé de sécurisation selon l'une des revendications précédentes, dans lequel après chaque accès d'un utilisateur à la fonctionnalité du véhicule automobile (10) grâce à un terminal mobile (20), une unité de commande (1 1 ) du véhicule automobile (10) mémorise des informations relatives à l'identité de l'utilisateur et au moment où ledit accès a eu lieu.
PCT/FR2016/050420 2015-02-27 2016-02-23 Procédé de sécurisation d'un service permettant la commande de véhicules automobiles au moyen de terminaux mobiles WO2016135418A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP16714977.2A EP3262619A1 (fr) 2015-02-27 2016-02-23 Procédé de sécurisation d'un service permettant la commande de véhicules automobiles au moyen de terminaux mobiles

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1551695A FR3033204B1 (fr) 2015-02-27 2015-02-27 Procede de securisation d'un service permettant la commande de vehicules automobiles au moyen de terminaux mobiles
FR1551695 2015-02-27

Publications (1)

Publication Number Publication Date
WO2016135418A1 true WO2016135418A1 (fr) 2016-09-01

Family

ID=53514287

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2016/050420 WO2016135418A1 (fr) 2015-02-27 2016-02-23 Procédé de sécurisation d'un service permettant la commande de véhicules automobiles au moyen de terminaux mobiles

Country Status (3)

Country Link
EP (1) EP3262619A1 (fr)
FR (1) FR3033204B1 (fr)
WO (1) WO2016135418A1 (fr)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3056868A1 (fr) * 2016-09-28 2018-03-30 Renault Sas Procede de mise a jour d'un code de demarrage a distance d'un vehicule automobile
WO2018212717A1 (fr) * 2017-05-18 2018-11-22 Huawei International Pte. Ltd. Accès à un véhicule basé sur des téléphones intelligents
CN113365204A (zh) * 2020-02-20 2021-09-07 上海海拉电子有限公司 一种智能终端蓝牙钥匙数据标定方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR1463430A (fr) 1965-01-12 1966-12-23 Asahi Chemical Ind Perfectionnements aux procédés pour la production de nitriles aliphatiques saturés inférieurs
US20110071734A1 (en) * 2009-09-23 2011-03-24 Ford Global Technologies, Llc System and method for remotely controlling vehicle components from a nomadic communication device or computer
US8120460B1 (en) * 2009-01-05 2012-02-21 Sprint Communications Company L.P. Electronic key provisioning
US20130297100A1 (en) * 2012-05-03 2013-11-07 Ford Global Technologies, Llc Methods and Systems for Authenticating One or More Users of a Vehicle Communications and Information System

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR1463430A (fr) 1965-01-12 1966-12-23 Asahi Chemical Ind Perfectionnements aux procédés pour la production de nitriles aliphatiques saturés inférieurs
US8120460B1 (en) * 2009-01-05 2012-02-21 Sprint Communications Company L.P. Electronic key provisioning
US20110071734A1 (en) * 2009-09-23 2011-03-24 Ford Global Technologies, Llc System and method for remotely controlling vehicle components from a nomadic communication device or computer
US20130297100A1 (en) * 2012-05-03 2013-11-07 Ford Global Technologies, Llc Methods and Systems for Authenticating One or More Users of a Vehicle Communications and Information System

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3056868A1 (fr) * 2016-09-28 2018-03-30 Renault Sas Procede de mise a jour d'un code de demarrage a distance d'un vehicule automobile
WO2018060561A1 (fr) * 2016-09-28 2018-04-05 Renault Sas Procede de mise a jour d un code de demarrage a distance d un vehicule automobile
EA035842B1 (ru) * 2016-09-28 2020-08-19 Рено Сас Способ обновления кода дистанционного запуска автотранспортного средства
WO2018212717A1 (fr) * 2017-05-18 2018-11-22 Huawei International Pte. Ltd. Accès à un véhicule basé sur des téléphones intelligents
CN110637328A (zh) * 2017-05-18 2019-12-31 华为国际有限公司 一种基于便携式设备的车辆访问方法
US11258598B2 (en) 2017-05-18 2022-02-22 Huawei International Pte. Ltd. Smartphones based vehicle access
CN110637328B (zh) * 2017-05-18 2022-04-12 华为国际有限公司 一种基于便携式设备的车辆访问方法
CN113365204A (zh) * 2020-02-20 2021-09-07 上海海拉电子有限公司 一种智能终端蓝牙钥匙数据标定方法
CN113365204B (zh) * 2020-02-20 2023-04-07 上海海拉电子有限公司 一种智能终端蓝牙钥匙数据标定方法

Also Published As

Publication number Publication date
FR3033204B1 (fr) 2018-03-23
FR3033204A1 (fr) 2016-09-02
EP3262619A1 (fr) 2018-01-03

Similar Documents

Publication Publication Date Title
EP3271901B1 (fr) Unité électronique, procédé mis en oeuvre dans une telle unité électronique, procédé de partage d'une base de temps entre un serveur et une unité électronique, et procédé de synchronisation d'un serveur et d'une unité électronique
WO2016108012A1 (fr) Procédé d'inscription d'un utilisateur à un service de commande d'une fonctionnalité d'un véhicule au moyen d'un terminal utilisateur
EP1964307B1 (fr) Procédé pour la réalisation d'un compteur sécurisé sur un système informatique embarqué disposant d'une carte a puce.
EP3168769B1 (fr) Procédé d'aide à l'authentification d'un utilisateur, serveur et programme d'ordinateur correspondants
FR3030830A1 (fr) Procede de securisation de l'acces a au moins une fonctionnalite d'un vehicule automobile par un terminal mobile
EP3520357B1 (fr) Procede de mise a jour d'un code de demarrage a distance d'un vehicule automobile
EP3266003A1 (fr) Procédé de contrôle de l'accès à au moins une fonctionnalité d'un véhicule automobile
WO2016135418A1 (fr) Procédé de sécurisation d'un service permettant la commande de véhicules automobiles au moyen de terminaux mobiles
WO2020064890A1 (fr) Procede de traitement d'une transaction, dispositif, systeme et programme correspondant
FR3067136A1 (fr) Procede de mise a jour d’un calculateur embarque de vehicule
FR3067499A1 (fr) Controle de validite d'une interface de paiement a distance
FR2945141A1 (fr) Procede et systeme de gestion d'une application de paiement mobile sans contact mettant en oeuvre une verification de code personnel
EP3803810B1 (fr) Procédé de vérification de propriéte d'un véhicule par synchronisation de compteurs de temps
FR2976437A1 (fr) Procede de securisation d'une action qu'un dispositif actionneur doit accomplir a la demande d'un utilisateur
FR3082039A1 (fr) Procede de verification de propriete d'un vehicule.
EP1226560B1 (fr) Procede, systeme et terminal d'authentification du resultat d'une commande dans un jeton
EP2402913A1 (fr) Communication de la mise en fonction d'un équipement embarqué dans un véhicule
WO2023001845A1 (fr) Procédé d'enrôlement d'un utilisateur par un organisme sur une chaîne de blocs
JP2010079390A (ja) データ処理装置、そのコンピュータプログラムおよびデータ処理方法
EP2798564A1 (fr) Procédé et système de sécurisation d'un paiement réalisé à l'aide d'une carte de paiement
EP2073468A1 (fr) Objet portable pour filtrer un message entrant non voulu, terminal et procédé correspondants
EP2312404A1 (fr) Procédé de protection de documents dotés d'une carte sans contact contre la reproduction non autorisée et dispositif mettant en oeuvre un tel procédé
FR3075537A1 (fr) Procede d'echange de donnees entre une entite electronique et une unite electronique equipant un vehicule
WO2004063954A1 (fr) Procede de controle d’un titre d’autorisation d’acces a un service ou d’acquisition d’un produit
WO2002103606A1 (fr) Systeme permettant a des secouristes d'acceder a des informations concernant une victime

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16714977

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

REEP Request for entry into the european phase

Ref document number: 2016714977

Country of ref document: EP