WO2021244932A1 - Sécurisation de la connexion entre un véhicule et un serveur distant de gestion dudit véhicule - Google Patents

Sécurisation de la connexion entre un véhicule et un serveur distant de gestion dudit véhicule Download PDF

Info

Publication number
WO2021244932A1
WO2021244932A1 PCT/EP2021/064155 EP2021064155W WO2021244932A1 WO 2021244932 A1 WO2021244932 A1 WO 2021244932A1 EP 2021064155 W EP2021064155 W EP 2021064155W WO 2021244932 A1 WO2021244932 A1 WO 2021244932A1
Authority
WO
WIPO (PCT)
Prior art keywords
vehicle
management server
remote management
communication module
sending
Prior art date
Application number
PCT/EP2021/064155
Other languages
English (en)
Inventor
David Myara
Original Assignee
Renault S.A.S
Nissan Motor Co., Ltd.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Renault S.A.S, Nissan Motor Co., Ltd. filed Critical Renault S.A.S
Priority to JP2022574727A priority Critical patent/JP2023528905A/ja
Priority to KR1020227046222A priority patent/KR20230019878A/ko
Priority to CN202180043584.9A priority patent/CN115769620A/zh
Priority to US18/000,670 priority patent/US20230262070A1/en
Priority to EP21727897.7A priority patent/EP4162719A1/fr
Publication of WO2021244932A1 publication Critical patent/WO2021244932A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/45Security arrangements using identity modules using multiple identity modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals

Definitions

  • the present invention relates generally to the fields of telecommunications and the automobile, and more specifically relates to the securing of the telematics services provided to a vehicle and the software of this vehicle.
  • Telematics services offered by a manufacturer on a vehicle expose and use sensitive data and functions. These services are generally performed by on the one hand an on-board logic residing in the vehicle and on the other hand an off-board logic residing on at least one server remote from the manufacturer or a third party.
  • a fundamental issue in securing telematics services and car software in general revolves around the communication link between these two logics.
  • the manufacturer sets up secure communication mechanisms between the on-board part and the off-board part of the software of these telematic services. It is also setting up administration centers for its fleet of vehicles. Thanks to these administration tools, the manufacturer can detect anomalies and trigger preventive or corrective actions within the vehicle to respond to malfunctions or potential cyber attacks, by updating the vehicle's software, for example.
  • One of the aims of the invention is to remedy at least part of the drawbacks of the prior art by providing a low cost vehicle, a system and a method which ensure a trusted communication between the vehicle and the administration center managing the cyber security of the vehicle, while allowing a user of the vehicle to access the internet via his own cellular telephone subscription.
  • the invention provides a vehicle comprising a communication module capable of using two telecommunication identifier cards, one relating to a subscription between the manufacturer of said vehicle and a telecommunication operator, the other relating to a subscription between a user of said vehicle and a telecommunications operator, said vehicle comprising a trusted execution environment in which security functions of the vehicle are hosted, and an execution environment of a multimedia system hosting at least part of said module communication, said vehicle being characterized in that said trusted execution environment comprises a module for supervising the connection between said vehicle and a remote server for managing said vehicle.
  • a single modem uses either a connection using the vehicle's subscription or a connection using the user's subscription, but the connection between the vehicle and the remote server is monitored.
  • the modem can for example switch to the vehicle manufacturer's SIM card to benefit from prevention and correction measures against cyber attacks, these measurements being provided by the operator linked to the manufacturer, without requiring an expensive “active dual-SIM” modem.
  • said supervision module is able to regularly test said connection by sending and receiving signed, unique and predefined messages, respectively intended for said remote management server and coming from said remote management server. This implementation allows in particular anti-replay protection.
  • said supervision module is able to regularly test said connection by receiving messages signed, unique and predefined, from said remote management server. In this variant, the supervision module therefore does not send test messages but monitors the correct reception of test messages.
  • said supervision module is able to detect a connection anomaly when:
  • said communication module indicates that the cellular connection of the vehicle is functioning while said communication module does not confirm the sending of one of said messages to said remote management server or that it does not transmit one of said messages sent by said remote management server, - or that said communication module indicates that the cellular connection of the vehicle is unavailable for a period greater than a first predefined time interval.
  • cellular connection of the vehicle is understood to mean the ability to receive or send messages by radio due in particular to sufficient cellular telephone network coverage.
  • the messages sent by said supervision module include information representative of a detection of connection anomaly between said vehicle and said remote management server, or representative of the absence of such detection. This allows the remote management server to intervene to deny or confirm the anomaly when possible, and to implement remedial actions such as a remote update of vehicle software.
  • the vehicle according to the invention comprises at least one of the sending means chosen from a list comprising:
  • a first means of sending an instruction to the communication module triggering the inhibition of communications with the outside for the non-secure applications of the vehicle
  • a second means of sending an instruction to the communication module triggering the selection by the communication module of the telecommunication identifier card relating to the subscription of the manufacturer of said vehicle as the only means of connection, and the inhibition by the communication module of any communication other than with said remote management server
  • the vehicle according to the invention benefits from a curative solution independent of the remote management server.
  • the vehicle according to the invention comprises at least said first sending means, said activation means being configured to activate only said first sending means when said communication module indicates that the cellular connection of the vehicle is unavailable. for a period longer than said first predefined time interval. This prevents too much degradation of the user experience in the event of false detection of an anomaly due to a loss of radio coverage.
  • the vehicle according to the invention comprises at least said second sending means, said activation means being configured to activate said second sending means to the exclusion of sending means chosen from among said third or fourth means. sending, when said communication module indicates that the cellular connection is unavailable for a period greater than a second predefined time interval greater than the first predefined time interval.
  • the vehicle according to the invention incorporates the third and / or the fourth sending means, these are not implemented initially, in particular as long as the vehicle is not stationary.
  • the remote management server SG thus has time to intervene to avoid the implementation of the third and fourth sending means in the event of false detection. The degradation of the user experience is thus little degraded while securing the vehicle while the probability of a suspicious anomaly becomes greater.
  • the vehicle according to the invention comprises at least said third or said fourth sending means, said activation means being configured to activate said third or fourth sending means only when said vehicle is stationary. This makes it possible to degrade the user experience for securing the vehicle only at the most opportune times, particularly outside of a vehicle running phase.
  • the invention also relates to a system comprising a vehicle according to the invention, as well as said remote management server, characterized in that said remote management server comprises:
  • the remote management server prevents the vehicle from carrying out remedial actions degrading the user experience during false detection due to a momentary or long loss of radio coverage.
  • said remote management server further comprises: - a means of detecting a cyber attack as soon as anomalies are reported by a number of vehicles greater than a predefined threshold,
  • the invention finally relates to a method of securing the connection between a vehicle according to the invention and said remote server for managing said vehicle, comprising the steps of:
  • FIG. 1 shows a vehicle and a system according to the invention, in this preferred embodiment of the invention
  • FIG. 4 represents a state diagram of a curative logic implemented in the vehicle according to the invention, in this preferred embodiment of the invention.
  • a vehicle V has various execution environments hosting various software.
  • the security software of the vehicle V such as engine control or driving assistance software are hosted on secure computers, for example accessible only via a secure gateway integrating a trusted execution environment TEE (according to the (English "Trusted Execution Environment")
  • the trust environment TEE hosts security functions SF of the vehicle V, as well as an MR module hosting curative functions triggered in the event of detection of a cyber attack, and an MS module for supervising the connection between the vehicle V and a remote server SG for managing the vehicle V.
  • the trusted environment TEE is for example hosted in the secure gateway which forms the link between the zone secure vehicle software giving access to secure vehicle computers, and the software area including multimedia communication functionalities communicating with the exterior of the vehicle.
  • the vehicle V also comprises at least one non-secure execution environment, here the EESM execution environment of a multimedia system hosting the information and entertainment part called “infotainment” of the vehicle V.
  • the environment of EESM execution therefore hosts AC applications intended for use by vehicle users and which are exposed to data flows coming from or going to the Internet, such as geolocation services, on-board browsers, etc.
  • the EESM runtime environment also accommodates unsafe LF functions of the vehicle such as functions for adjusting the audio outputs or the graphic interfaces of the vehicle V.
  • the EESM runtime environment hosts an MC communication module.
  • the MC communication module integrates a cellular radio modem capable of converting Ethernet network signals into GSM radio signals (after the English "Global System for Mobile Communications"), 3G, 4G, 5G (G as a generation of communication technology. mobile telephony) or Wi-Fi (according to IEEE 802.11 standards) and vice versa.
  • the communication module MC converts other types of wired protocols into other types of radio protocols, in particular depending on the country of use of the vehicle and its electrical / electronic architecture.
  • the modem is used to convert CAN (Controller Area Network) signals into CDMA2000 signals.
  • the MC communication module is integrated into the EESM runtime environment, especially to allow insecure applications to communicate with the outside, some of its functions are secure. These secure functions are implemented by a secure electronic circuit, or in a secure computer such as a microcontroller.
  • the EESM runtime environment therefore includes insecure software as well as secure software and / or hardware circuits. These functions notably allow the trusted execution environment TEE to force the communication module MC to switch to a telecommunication identifier card specific to the manufacturer of the vehicle V as described below.
  • TEE trusted execution environment
  • the modem of the MC communication module has the "dual-SIM" capability which allows it to use two SIM cards, which are in this exemplary embodiment:
  • SIM card referenced UCA for a telecommunications identifier relating to the subscription between a user of the vehicle V and a telecommunications operator
  • SIM card referenced VCA with a telecommunications identifier relating to the subscription between the manufacturer of the vehicle V and a telecommunications operator which may be different from the telecommunications operator who provided the UCA card.
  • the UCA card that the communication module MC uses is for example a virtual SIM, that is to say that the user does not need to put his SIM card in a specific location of the vehicle modem V, but that he simply has to enter authentication data for his personal SIM card in the vehicle for the latter to generate this virtual SIM card.
  • the MC communication module has a physical location allowing the user to insert his personal SIM card therein.
  • the modem of the MC communication module does not have the capacity to use both UCA and VCA cards, but has the capacity to use either of them. these cards at the same time, by switching from one card to another for the establishment of a communication with the outside according to the context. It therefore does not have the so-called “active dual-SIM” capacity.
  • the communication module uses the UCA card to establish an LSU communication session with the Internet network INT. This communication session is established with a standard level of security specific to an individual cellular telephone subscription, and can be used to also communicate with the remote management server SG.
  • the communication module MC uses on the other hand the VCA card for establish an LSV communication session with the remote management server SG.
  • This LSV communication session benefits from a security level that may be higher than the security level of the LSU communication session, for example it uses a secure APN (from the English “Access Point Name”).
  • the MC communication module also has the ability to report the state of the cellular connection to the TEE execution environment. In particular, it indicates whether the radio network coverage is too weak or missing to establish a communication session with the outside world.
  • the remote management server SG comprises a logic VAL for general administration of the manufacturer's vehicles, as well as a module for supervision SMM of the communication link between the vehicle V and the remote management server SG.
  • the main risk when using the UCA card is that an attack from the Internet allows a hacker to take control of the vehicle's unsecured computers and execution environments, which could allow the hacker to shut down. communication between the remote management server SG and the trusted execution environment TEE, preventing the latter from receiving orders to trigger corrective actions and return to normal.
  • the supervision module MS supervises the connection between the vehicle V and the remote management server SG when using the vehicle V, in particular by testing this connection regularly.
  • the supervision module is thus able to detect an abnormal interruption in the communication between the vehicle V and the remote management server SG.
  • the supervision module MS activates safety functions SF, implemented in modules M1 to M4, as represented in FIG. 2.
  • the supervision module MS puts in place a supervision of the connection between the vehicle and the remote management server SG, distinct from the standardized supervision mechanisms implemented by the communication module MC, in particular distinct from the message encryption mechanisms as made compulsory by the communication standard GSM, 3G, 4G, 5G or Wi-Fi used by the MC communication module.
  • this supervision module is able to detect an abnormal interruption of the communication between the vehicle V and the server. remote management SG, that is to say due to an attack on the software integrity of the communication module MC.
  • the supervision module MS comprises an activation module MA receiving as input an anomaly code, the state of the cellular connection and the state of the vehicle V.
  • the module d MA activation activates one or more of the modules M1 to M4.
  • the module M1 is a software means of sending an instruction to the secure microcontroller of the communication module MC, triggering the inhibition of communications with the outside for non-secure applications of the vehicle, that is to say cutting off all communication from the EESM runtime environment to the Internet.
  • the M2 module is a software means of sending an instruction to the secure microcontroller of the MC communication module, triggering the selection by the MC communication module of the VCA card to communicate with the outside, and inhibition by the module.
  • the module M3 is a software means of sending an instruction to the secure microcontroller of the communication module MC, triggering the restart of the communication module MC, and an instruction to a secure part MB1 of the EESM execution environment. to restart it.
  • only one instruction is necessary in particular when the microcontroller is connected to the secure part MB1.
  • These secure reboots trigger the erasure of the RAM on these systems, and force the selection to use the VCA card to communicate with the remote SG management server, without an internet connection.
  • the M4 module is a software means of sending an instruction triggering the secure restart of all or part of other execution environments or of other software MB2 to MBn of the vehicle V.
  • This secure restart triggers the erasure of the memory of these other environments and software and possibly blocks the use of certain parts of the software that are more susceptible to attacks than others.
  • An example of the use of one of these means by the supervision module MS is represented in the form of a method for securing the connection between the vehicle V and the remote management server SG according to the invention, in FIG. 3.
  • the MC communication module first uses the UCA card to communicate with the outside.
  • Step E1 is the sending and receiving of signed, unique and predefined messages, respectively to the remote management server SG and from the vehicle V, by the supervision module MS.
  • the supervision module MS sends a message periodically to the remote management server SG, which allows the remote management server SG to authenticate it.
  • This message is for example signed using an asymmetric encryption algorithm such as RSA encryption (according to its inventors Rivest, Shamir and Adleman).
  • the supervision module MS uses a signature obtained by a hashing algorithm of the HMAC type (according to the English "keyed-hash message authentication code") using an encryption key known to the manufacturer only (and contained in a secure manner. in the vehicle V and the remote management server SG).
  • messages sent by the MS supervision module can include anti-replay data such as a timestamp, a count or a predefined number generated by an algorithm known only to the vehicle V and to the remote management server SG.
  • the messages sent by the MS supervision module also include an error code, the values and their meanings of which are for example:
  • the first threshold of predetermined duration T1 is for example set at 30 minutes and the second threshold of predetermined duration T2 is for example set at 60 minutes.
  • the trouble codes focus in particular on connection breaks due to real or false network coverage gaps, to simplify.
  • the fault codes are possibly more nuanced.
  • a different code is allocated to the following situations:
  • the supervision module MS sent a test message and received an immediate protocol return, but does not receive a response from the remote management server SG,
  • the supervision module MS sent a test message but did not receive an immediate protocol return, while the communication module MC indicates that a connection is established with the remote management server SG,
  • the supervision module MS is unable to transmit a test message and the communication module MC indicates that there is no longer a connection established with the remote management server SG, while the cellular connection is operating in mode data transfer,
  • the MC communication module indicates that there is no longer a cellular connection available in data transfer mode while network coverage is available
  • the MC communication module indicates that there is no more network coverage.
  • time counters corresponding to the durations T1 and T2 are applied more broadly to cases where the communication module MC indicates that there is no longer a connection established with the remote server SG, in order to activate the modules M1 and M2 respectively.
  • the messages sent by the remote management server SG in response to the messages that it receives from the supervision module MS are signed and include anti-replay data, in a similar manner to the messages sent by the supervision module MS.
  • the response messages from the remote management server SG possibly include information confirming or denying the existence of a lack of network coverage previously reported by the supervision module MS, or an instruction triggering a remedial action on the vehicle V, such as a software update or a safe restart instruction when the V.
  • Step E2 of the process is the detection of a connection anomaly by the MS supervision module.
  • the MS supervision module detects such an anomaly:
  • This detection may take place after several retransmission attempts or at the expiration of a time counter set to a predefined response time, for example set at fifteen minutes; this detection corresponds to anomaly code 3 defined above;
  • Step E3 is the activation of curative means by the supervision module MS, making it possible to re-establish a communication of confidence between the vehicle V and the remote management server SG even if the EESM execution environment is compromised by an attack .
  • These means are chosen so as to best preserve the user experience, in particular in the event that the anomaly detected does not correspond to a cyber attack but to a real loss of network coverage. For this the impact in terms of user connection possibilities and of the vehicle V is gradually increased depending on the state of the vehicle V and the real risk of cyber-attack.
  • the supervision module MS makes more attempts to return a message than when the communication module MC indicates an available network coverage.
  • the predefined duration thresholds T1 or T2 are for example set as a function of geolocation data. Thus if the vehicle detects an entry into a white zone, these thresholds are for example adapted to the estimated journey time in this zone. Depending on the code of the anomaly detected, the curative actions are also more or less impactful. In this example of use of the invention, it is assumed that the vehicle V is in use and that the fault code returned is 3. In this case, step E3 consists of activating the module M2, which triggers the switching of the communication between the vehicle V and the remote management server SG on a connection using the VCA card.
  • the module M2 sends an instruction to the communication module MC to temporarily cut off the communication between the vehicle V and the remote management server SG and re-establish a connection between these two entities using the subscription of the manufacturer of the vehicle V.
  • the supervision module MS sends the fault code 3 in a message to the remote management server SG.
  • the SMM supervision module of the remote management server SG then sends, in the corresponding response message or separately, an instruction allowing the implementation of a remedial action by the safety functions SF of the vehicle, for example a software update or a safe restart of the EESM environment, which will be implemented as soon as the vehicle stops, preferably with the engine off.
  • the vehicle V itself implements this remedial action.
  • the remote management server SG is able to check whether the vehicle V is in an area in which the network coverage is indeed poor or non-existent. If this is the case, the supervision module SMM of the remote management server SG informs the vehicle V that it was in such a zone as soon as communication with the vehicle V is reestablished, which makes it possible to avoid a secure restart. no need for the EESM execution environment the next time the vehicle stops.
  • the supervision module SMM of the remote management server SG informs the vehicle V as soon as communication with the vehicle V is reestablished and sends it an instruction for a secure restart or for updating the EESM execution environment as soon as the vehicle is stopped, preferably with the engine off.
  • the secure re-starts of the communication module MC and of the EESM environment are preferably deferred by a few tens of seconds after stopping the vehicle so that the end-of-mission processing operations are not interrupted.
  • the sending and reception of test messages are stopped to preserve the vehicle's battery.
  • the remote management server SG administering a whole fleet of vehicles, it is able to detect a cyber attack by correlating the anomalies reported by the vehicles of this fleet.
  • this fleet of vehicles reports a number of anomalies greater than a predefined threshold, for example 1000 over a short period and in geographical areas with acceptable network coverage
  • the SMM supervision module detects a cyber attack and programs a setting. software update on its vehicles with secure restart.
  • an example of logic implemented in the supervision module MS and making it possible to minimize the impact of the securing method according to the invention on the user experience comprises states S0 to S5.
  • the vehicle V In the SO state, the vehicle V is stationary with the engine off and not on, that is to say the ignition is not on. In this state, the vehicle V communicates with the remote management server SG only with the VCA card, no internet communication is established.
  • the logic goes to state S1.
  • state S1 the user can enter their personal SIM card data into the vehicle and access the internet on the EESM runtime environment through the UCA card. If these data have already been entered in vehicle V during previous use of vehicle V, the communication module MC switches to the UCA card as soon as the vehicle is switched on. The supervision module MS then supervises the connection between the vehicle V and the remote management server SG. In this S1 state, the logic returns to the SO state when the user turns off the vehicle.
  • state S1 the supervision module MS receives an instruction from the remote management server SG to perform a secure restart of the communication module MC and of the execution environment EESM with a possible update of these entities , then the logic passes to state S2 of secure restart (with possible update) of these entities. At the end of this secure restart in this state S2, the logic passes to the secure communication state S4 which will be described later.
  • the supervision module MS detects an anomaly of code 1 or 3
  • the supervision module MS activates the module M1 and the logic goes to state S3 in which the communication module MC continues to '' use the UCA card but prohibits any internet communication other than with the remote SG management server.
  • the MS supervision module detects a code 2 or 3 anomaly, i.e. the MC communication module indicates that there has been no network coverage for an hour or that the communication module MC has not sent or received any message for fifteen minutes without indication of loss of network coverage, then the logic passes to state S4 of secure communication. If in state S3, the vehicle V is switched off by the user without the remote management server SG having been able to invalidate the code 1 or 3 anomaly which triggered the transition to state S3 and notify the vehicle thereof. V, then the logic goes to state S5 of secure restart of the communication module MC forcing the communication module to use the VCA card only; at the end of this restart, the logic passes to the secure communication state S4.
  • a code 2 or 3 anomaly i.e. the MC communication module indicates that there has been no network coverage for an hour or that the communication module MC has not sent or received any message for fifteen minutes without indication of loss of network coverage
  • the remote management server SG denies the fault code 1 or 3 that triggered the transition to state S3, then the logic goes to state S1.
  • the communication module MC is authorized to use only the VCA card to communicate with the remote management server SG, whether the vehicle V is on or off. If the vehicle V is switched on in this state S4, and the user switches off his vehicle V without the remote management server SG having been able to invalidate the anomaly 1, 2 or 3 which led to the transition to state S4 and the notify the vehicle V, then the logic loops back to state S4. On the contrary, if in this state S4, the remote management server SG invalidates the anomaly 1, 2 or 3 which led to the transition to state S4 and notifies it to the vehicle V, then the logic loops back to state S0 if the vehicle is off, or in state S1 if the vehicle is on.
  • this logic is only one embodiment of the invention.
  • Other logics can be implemented in other variant embodiments of the vehicle, of the system or of the method according to the invention.
  • the vehicle implements only the M2 and M3 modules
  • the S3 and S4 states are combined.
  • the remote management server SG is owned by a third party.
  • the exchange of a private key for signing the messages exchanged between the supervision module MS and the remote management server SG is carried out by a first encrypted exchange using, for example, the asymmetric RSA encryption algorithm.
  • the supervision module MS supervises the correct operation of the connection.
  • the supervision module sends test messages to the remote supervision server SG, these test messages not containing an anomaly code, or containing only when an anomaly is detected.
  • the management server SG sends a message alerting the vehicle V just before the latter enters a white zone, in order to deactivate the time counters linked to the thresholds T1 and T2, up to the exit from the white zone.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

L'invention concerne un véhicule (V) comportant un module de communication (MC) apte à utiliser deux cartes d'identifiants de télécommunication, l'une (VCA) relative à un abonnement du constructeur du véhicule (V), l'autre (UCA) relative à un abonnement d'un utilisateur, le véhicule (V) comportant un environnement d'exécution de confiance (TEE) hébergeant des fonctions sécuritaires, et un environnement d'exécution d'un système multimédia (EESM) hébergeant une partie du module de communication (MC), l'environnement d'exécution de confiance (TEE) comportant un module de supervision (MS) de la connexion entre le véhicule (V) et un serveur distant de gestion (SG) du véhicule (V).

Description

Sécurisation de la connexion entre un véhicule et un serveur distant de gestion dudit véhicule
La présente invention se rapporte de manière générale aux domaines des télécommunications et de l’automobile, et concerne plus précisément la sécurisation des services télématiques fournis à un véhicule et des logiciels de ce véhicule.
Les services télématiques offerts par un constructeur sur un véhicule exposent et utilisent des données et des fonctions sensibles. Ces services sont en général réalisés grâce à d’une part une logique embarquée résidant dans le véhicule et d’autre part une logique débarquée résidant sur au moins un serveur distant du constructeur ou d’un tiers. Un enjeu fondamental de la sécurisation des services télématiques et du logiciel de la voiture en général tourne autour du lien de communication entre ces deux logiques. En effet, pour atteindre un bon niveau de sécurité le constructeur met en place des mécanismes de communication sécurisée entre la partie embarquée et la partie débarquée des logiciels de ces services télématiques. Il met également en place des centres d’administration de son parc de véhicules. Grâce à ces outils d’administration, le constructeur peut détecter des anomalies et déclencher des actions préventives ou correctrices au sein du véhicule pour répondre aux disfonctionnements ou aux potentielles cyber-attaques, en mettant à jour les logiciels du véhicule par exemple.
Mais cette stratégie de sécurisation s’avère inefficace lorsque le véhicule n’a pas de couverture réseau et ne peut dialoguer avec le serveur distant du constructeur, ou lorsque la communication entre le véhicule et le serveur distant ne peut plus être considérée comme fiable et de confiance. Un moyen de renforcer la sécurité de la connexion entre la partie embarquée d’un logiciel de service télématique dans le véhicule et sa partie débarquée est d’obtenir une protection supplémentaire ainsi que des capacités de contre-mesure supplémentaires mises en œuvre par l’opérateur de télécommunication auquel est abonné le constructeur du véhicule.
Mais parallèlement à la mise en place de ces services télématiques, on assiste à une émergence et une croissance du besoin d’amener internet aux utilisateurs des véhicules. Plus encore, il y a une forte demande pour que les utilisateurs de voitures puissent utiliser leur propre abonnement téléphonique cellulaire pour cette utilisation d’internet.
Or une connexion à internet ramène un ensemble de menaces et de failles potentielles qui peuvent permettre à des pirates de prendre le contrôle des pièces électroniques qui utilisent cette connexion. Qui plus est, le fait d’utiliser pour cette connexion internet un opérateur de télécommunications différent de celui du constructeur du véhicule concerné, avec un abonnement propre à l’utilisateur, empêche de bénéficier des protections et mesures correctrices que peut offrir l’opérateur de télécommunications du constructeur pour sécuriser les services télématiques utilisés par le véhicule.
Il existe donc un besoin de sécuriser la communication entre un véhicule et son centre d’administration distant, tout en permettant aux utilisateurs du véhicule de se connecter à internet via leur abonnement téléphonique cellulaire.
Une solution est de séparer les systèmes et connexions pour internet d’une part et pour les services télématiques d’autre part. Comme les utilisateurs utilisent leur propre abonnement téléphonique cellulaire, cela signifie qu’il faut dupliquer les systèmes physiques de communication cellulaire : soit avec deux modems cellulaires au lieu d’un seul, soit avec un modem cellulaire pouvant fonctionner avec deux cartes SIM (d’après l’anglais « Subscriber Identity Module ») actives en même temps, capacité appelée « active dual-SIM » en anglais. Dans les deux cas, cette duplication représente un surcoût très important (plusieurs dizaines de dollars par véhicule). Un des buts de l'invention est de remédier à au moins une partie des inconvénients de la technique antérieure en fournissant à moindres frais un véhicule, un système et un procédé qui garantissent une communication de confiance entre le véhicule et le centre de d’administration gérant la cyber sécurité du véhicule, tout en permettant à un utilisateur du véhicule d’accéder à internet via son propre abonnement téléphonique cellulaire. A cette fin, l'invention propose un véhicule comportant un module de communication apte à utiliser deux cartes d’identifiants de télécommunication, l’une relative à un abonnement entre le constructeur dudit véhicule et un opérateur de télécommunication, l’autre relative à un abonnement entre un utilisateur dudit véhicule et un opérateur de télécommunication, ledit véhicule comportant un environnement d’exécution de confiance dans lequel sont hébergées des fonctions sécuritaires du véhicule, et un environnement d’exécution d’un système multimédia hébergeant au moins une partie dudit module de communication, ledit véhicule étant caractérisé en ce que ledit environnement d’exécution de confiance comporte un module de supervision de la connexion entre ledit véhicule et un serveur distant de gestion dudit véhicule.
Grâce à l’invention, un seul modem utilise soit une connexion utilisant l’abonnement du véhicule, soit une connexion utilisant l’abonnement de l’utilisateur, mais la connexion entre le véhicule et le serveur distant est surveillée. Ainsi dès que la connexion utilisant l’abonnement utilisateur n’est plus considérée comme fiable ou de confiance, le modem peut par exemple commuter sur la carte SIM du constructeur du véhicule pour bénéficier des mesures de prévention et de correction contre les cyber-attaques, ces mesures étant fournies par l’opérateur lié au constructeur, sans nécessiter de modem coûteux « active dual-SIM ». Avantageusement, ledit module de supervision est apte à tester régulièrement ladite connexion par l’envoi et la réception de messages signés, uniques et prédéfinis, respectivement à destination dudit serveur distant de gestion et en provenance dudit serveur distant de gestion. Cette implémentation permet notamment une protection anti-rejeu. En variante de réalisation de l’invention, ledit module de supervision est apte à tester régulièrement ladite connexion par la réception de messages signés, uniques et prédéfinis, en provenance dudit serveur distant de gestion. Dans cette variante le module de supervision n’envoie donc pas de messages de test mais surveille la bonne réception de messages de test.
Avantageusement encore, ledit module de supervision est apte à détecter une anomalie de connexion lorsque :
- ledit module de communication indique que la connexion cellulaire du véhicule fonctionne alors que ledit module de communication ne confirme pas l’envoi d’un desdits messages audit serveur distant de gestion ou qu’il ne transmet pas l’un desdits messages envoyés par ledit serveur distant de gestion, - ou que ledit module de communication indique que la connexion cellulaire du véhicule est indisponible pendant une durée supérieure à un premier intervalle de temps prédéfini.
Cette implémentation permet de détecter simplement une anomalie du module de communication suspecte car non causée par une perte de couverture radio brève et limitée. On entend dans cette demande par « connexion cellulaire » du véhicule, la capacité de recevoir ou d’envoyer des messages par radio du fait notamment d’une couverture réseau téléphonique cellulaire suffisante.
Avantageusement encore, les messages envoyés par ledit module de supervision comportent une information représentative d’une détection d’anomalie de connexion entre ledit véhicule et ledit serveur distant de gestion, ou représentative de l’absence d’une telle détection. Cela permet au serveur distant de gestion d’intervenir pour infirmer ou confirmer l’anomalie lorsque cela est possible, et pour mettre en oeuvre des actions curatives telles qu’une mise à jour à distance de logiciels du véhicule.
Selon une autre caractéristique avantageuse, le véhicule selon l’invention comporte au moins un des moyens d’envoi choisis dans une liste comportant :
- un premier moyen d’envoi d’une instruction au module de communication, déclenchant l’inhibition des communications avec l’extérieur pour les applications non sécurisées du véhicule, - un deuxième moyen d’envoi d’une instruction au module de communication, déclenchant la sélection par le module de communication de la carte d’identifiant de télécommunication relative à l’abonnement du constructeur dudit véhicule comme seul moyen de connexion, et l’inhibition par le module de communication de toute communication autre qu’avec ledit serveur distant de gestion,
- un troisième moyen d’envoi d’une instruction au module de communication, déclenchant le redémarrage dudit module de communication, et d’une instruction provoquant le redémarrage dudit environnement d’exécution du système multimédia, tout en imposant une configuration sécurisée desdits redémarrages,
- et un quatrième moyen d’envoi d’une instruction déclenchant le redémarrage d’au moins une partie d’autres environnements d’exécution ou d’autres logiciels du véhicule en leur imposant une configuration sécurisée, ledit véhicule comportant en outre des moyens d’activation configurés pour activer tout ou partie desdits moyens d’envoi choisis sur détection d’une anomalie de connexion entre ledit véhicule et ledit serveur distant de gestion.
En intégrant l’un ou plus de ces quatre moyens d’envoi, le véhicule selon l’invention bénéficie d’une solution curative indépendante du serveur distant de gestion.
Avantageusement, le véhicule selon l’invention comporte au moins ledit premier moyen d’envoi, lesdits moyens d’activation étant configurés pour n’activer que ledit premier moyen d’envoi lorsque ledit module de communication indique que la connexion cellulaire du véhicule est indisponible pendant une durée supérieure audit premier intervalle de temps prédéfini. Ainsi on évite de trop dégrader l’expérience utilisateur en cas de fausse détection d’anomalie due à une perte de couverture radio.
Avantageusement encore, le véhicule selon l’invention comporte au moins ledit deuxième moyen d’envoi, lesdits moyens d’activation étant configurés pour activer ledit deuxième moyen d’envoi à l’exclusion des moyens d’envoi choisis parmi ledit troisième ou quatrième moyen d’envoi, lorsque ledit module de communication indique que la connexion cellulaire est indisponible pendant une durée supérieure à un deuxième intervalle de temps prédéfini supérieur au premier intervalle de temps prédéfini. Ainsi même si le véhicule selon l’invention intègre le troisième et /ou le quatrième moyen d’envoi, ceux-ci ne sont pas mis en œuvre dans un premier temps, notamment tant que le véhicule n’est pas à l’arrêt. Le serveur distant de gestion SG a ainsi le temps d’intervenir pour éviter la mise en œuvre des troisième et quatrième moyens d’envoi en cas de fausse détection. La dégradation de l’expérience utilisateur est ainsi peu dégradée tout en sécurisant le véhicule alors que la probabilité d’une anomalie suspecte devient plus importante.
Avantageusement encore, le véhicule selon l’invention comporte au moins ledit troisième ou ledit quatrième moyen d’envoi, lesdits moyens d’activation étant configurés pour activer ledit troisième ou quatrième moyen d’envoi seulement à l’arrêt dudit véhicule. Cela permet de ne dégrader l’expérience utilisateur pour sécuriser le véhicule qu’aux moments les plus opportuns notamment en dehors d’une phase de roulage du véhicule.
L'invention concerne aussi un système comportant un véhicule selon l’invention, ainsi que ledit serveur distant de gestion, caractérisé en ce que ledit serveur distant de gestion comporte :
- des moyens de réception d’un message envoyé par ledit module de supervision et comportant une information représentative d’une détection d’anomalie de connexion entre ledit véhicule et ledit serveur distant de gestion,
- des moyens de détection du fait que ladite détection d’anomalie n’est pas due à une cyber-attaque par corrélation entre la position dudit véhicule et des données de couverture radio,
- des moyens d’envoi d’un message indiquant que ladite anomalie n’est pas due à une cyber-attaque audit véhicule, en réponse audit message en provenance dudit module de supervision et remontant ladite détection d’anomalie.
Ainsi le serveur distant de gestion empêche le véhicule de mener des actions curatives dégradant l’expérience utilisateur lors d’une fausse détection due à une perte momentanée ou longue de couverture radio.
Avantageusement, ledit serveur distant de gestion comporte en outre : - un moyen de détection d’une cyber-attaque dès que des anomalies sont remontées par un nombre de véhicules supérieur à un seuil prédéfini,
- de moyens d’envoi audit véhicule d’un message activant une procédure de redémarrage sécurisé dudit module de communication et dudit environnement d’exécution multimédia et/ou de mise à jour dudit environnement d’exécution multimédia dès qu’une cyber-attaque est détectée par ledit moyen de détection. Cette caractéristique supplémentaire permet de protéger le véhicule contre une future cyber-attaque prédéfinie.
L'invention concerne enfin un procédé de sécurisation de la connexion entre un véhicule selon l’invention et ledit serveur distant de gestion dudit véhicule, comportant les étapes de :
- envoi et/ou réception de messages signés, uniques et prédéfinis, respectivement à destination dudit serveur distant de gestion et/ou en provenance dudit serveur distant de gestion,
- détection d’une anomalie de ladite connexion
- envoi d’une instruction audit module de communication, apte à faire basculer la communication entre ledit véhicule et ledit serveur distant de gestion sur une connexion utilisant la carte d’identifiant de télécommunication relative à l’abonnement du constructeur dudit véhicule.
Le système et le procédé selon l’invention présentent des avantages analogues à ceux du véhicule selon l’invention.
D'autres caractéristiques et avantages apparaîtront à la lecture d’un mode de réalisation préféré décrit en référence aux figures dans lesquelles :
- la figure 1 représente un véhicule et un système selon l'invention, dans ce mode de réalisation préféré de l’invention,
- la figure 2 représente des moyens curatifs du véhicule selon l’invention, dans ce mode de réalisation préféré de l’invention,
- la figure 3 représente des étapes d’un procédé selon l'invention, dans ce mode préféré de réalisation de l’invention, - et la figure 4 représente un diagramme d’état d’une logique curative implémentée dans le véhicule selon l’invention, dans ce mode préféré de réalisation de l’invention.
Selon un mode de réalisation préféré de l'invention représenté à la figure 1, un véhicule V selon l’invention comporte divers environnements d’exécution hébergeant divers logiciels. Notamment les logiciels sécuritaires du véhicule V tels que les logiciels de contrôle moteur ou d’aide à la conduite sont hébergés sur des calculateurs sécurisés, par exemple accessibles uniquement via une passerelle sécurisée intégrant un environnement d’exécution de confiance TEE (d’après l’anglais « Trusted Execution Environment ») Dans cet exemple de réalisation de l’invention, l’environnement de confiance TEE héberge des fonctions sécuritaires SF du véhicule V, ainsi qu’un module MR hébergeant des fonctions curatives déclenchées en cas de détection d’une cyber-attaque, et un module MS de supervision de la connexion entre le véhicule V et un serveur distant SG de gestion du véhicule V. L’environnement de confiance TEE est par exemple hébergé dans la passerelle sécurisée qui fait le lien entre la zone logicielle sécurisée du véhicule donnant accès aux calculateurs sécurisés du véhicule, et la zone logicielle incluant les fonctionnalités de communication multimédia communiquant avec l’extérieur du véhicule.
Le véhicule V comporte également au moins un environnement d’exécution non sécurisé, ici l’environnement d’exécution EESM d’un système multimédia hébergeant la partie d’information et de loisirs dite « infotainment » du véhicule V. L’environnement d’exécution EESM héberge donc des applications AC destinées à l’usage des utilisateurs du véhicule et qui sont exposées aux flux de données en provenance ou à destination d’internet, telles que des services de géolocalisation, des navigateurs embarqués, etc. L’environnement d’exécution EESM héberge également des fonctions BF peu sécuritaires du véhicule tels que des fonctions de réglage des sorties audio ou des interfaces graphiques du véhicule V. Enfin l’environnement d’exécution EESM héberge un module de communication MC. Le module de communication MC intègre un modem radio- cellulaire apte à convertir des signaux réseau Ethernet en signaux radio GSM (d’après l’anglais « Global System for Mobile Communications »), 3G, 4G, 5G (G comme génération de technologie de téléphonie mobile) ou Wi-Fi (d’après les normes IEEE 802.11 ) et inversement. En variante de réalisation le module de communication MC convertit d’autres types de protocoles filaires en d’autres types de protocoles radio, notamment suivant le pays d’utilisation du véhicule et son architecture électrique/électronique. Par exemple en variante le modem est utilisé pour convertir des signaux CAN (Controller Area Network) en signaux CDMA2000.
Bien que le module de communication MC soit intégré dans l’environnement d’exécution EESM, notamment pour permettre aux applications non sécurisées de communiquer avec l’extérieur, certaines de ses fonctions sont sécurisées. Ces fonctions sécurisées sont implémentées par un circuit électronique sécurisé, ou dans un calculateur sécurisé tel qu’un micro contrôleur. L’environnement d’exécution EESM comporte donc des logiciels non sécurisés mais aussi des logiciels et/ou des circuits matériels sécurisés. Ces fonctions permettent notamment à l’environnement d’exécution de confiance TEE de forcer le module de communication MC à commuter sur une carte d’identifiant de télécommunication propre au constructeur du véhicule V comme décrit plus loin. On peut bien sûr considérer en variante que la partie sécurisée du module de communication MC fait partie de l’environnement d’exécution de confiance TEE.
Le modem du module de communication MC a la capacité « dual-SIM » qui lui permet d’utiliser deux cartes SIM, qui sont dans cet exemple de réalisation :
- une carte SIM référencée UCA d’identifiant de télécommunication relative à l’abonnement entre un utilisateur du véhicule V et un opérateur de télécommunications, - une carte SIM référencée VCA d’ identifiant de télécommunication relative à l’abonnement entre le constructeur du véhicule V et un opérateur de télécommunication qui peut être différent de l’opérateur de télécommunications ayant fourni la carte UCA.
La carte UCA qu’utilise le module de communication MC est par exemple une SIM virtuelle, c’est-à-dire que l’utilisateur n’a pas besoin de mettre sa carte SIM dans un emplacement spécifique du modem du véhicule V, mais qu’il a simplement à entrer des données d’authentification de sa carte SIM personnelle dans le véhicule pour que celui-ci génère cette carte SIM virtuelle. En variante le module de communication MC présente un emplacement physique permettant à l’utilisateur d’y insérer sa carte SIM personnelle.
Dans ce mode de réalisation de l’invention, le modem du module de communication MC n’a pas la capacité d’utiliser à la fois les cartes UCA et VCA, mais a la capacité d’utiliser l’une ou l’autre de ces cartes à la fois, en commutant d’une carte à l’autre pour l’établissement d’une communication avec l’extérieur en fonction du contexte. Il n’a donc pas la capacité dite « active dual-SIM ». Par exemple lorsque l’utilisateur du véhicule V utilise l’environnement d’exécution EESM pour aller sur internet, le module de communication utilise la carte UCA pour établir une session de communication LSU avec le réseau internet INT. Cette session de communication s’établit avec un niveau de sécurité standard propre à un abonnement téléphonique cellulaire individuel, et peut être utilisée pour communiquer également avec le serveur distant de gestion SG. Lorsque le véhicule V est à l’arrêt, moteur éteint et portes fermées sans utilisateur dans l’habitacle, et communique avec le serveur de distant de gestion SG pour des raisons de maintenance, le module de communication MC utilise en revanche la carte VCA pour établir une session de communication LSV avec le serveur distant de gestion SG. Cette session de communication LSV bénéficie d’un niveau de sécurité éventuellement supérieur au niveau de sécurité de la session de communication LSU, par exemple elle utilise un APN (d’après l’anglais « Access Point Name ») sécurisé. Le module de communication MC a également la capacité de reporter l’état de la connexion cellulaire à l’environnement d’exécution TEE. Notamment il indique si la couverture réseau radio est trop faible ou manquante pour établir une session de communication avec l’extérieur. Le serveur distant de gestion SG comporte une logique VAL d’administration générale des véhicules du constructeur, ainsi qu’un module de supervision SMM de la liaison de communication entre le véhicule V et le serveur distant de gestion SG. Le risque principal lors de l’utilisation de la carte UCA, est qu’une attaque venant d’internet permette à un pirate de prendre le contrôle des calculateurs et environnements d’exécution non sécurisés du véhicule, ce qui pourrait permettre au pirate de couper la communication entre le serveur distant de gestion SG et l’environnement d’exécution de confiance TEE, empêchant ce dernier de recevoir des ordres pour déclencher des actions correctives et revenir à la normale. Afin de remédier à ce problème, le module de supervision MS supervise la connexion entre le véhicule V et le serveur distant de gestion SG lors de l’utilisation du véhicule V, en testant notamment cette connexion régulièrement. Le module de supervision est ainsi apte à détecter une interruption anormale de la communication entre le véhicule V et le serveur distant de gestion SG. Lorsqu’ une telle anomalie de connexion est détectée, le module de supervision MS active des fonctions sécuritaires SF, implémentées dans des modules M1 à M4, comme représenté à la figure 2. On doit donc comprendre dans cette demande que le module de supervision MS met en place une supervision de la connexion entre le véhicule et le serveur distant de gestion SG, distincte des mécanismes de supervision normalisés implémentés par le module de communication MC, notamment distincte des mécanismes d’encryption des messages tels que rendus obligatoires par le standard de communication GSM, 3G, 4G, 5G ou Wi-Fi utilisé par le module de communication MC. En effet ce module de supervision est apte à détecter une interruption anormale de la communication entre le véhicule V et le serveur distant de gestion SG c’est-à-dire due à une atteinte à l’intégrité logicielle du module de communication MC.
Plus précisément le module de supervision MS comporte un module d’activation MA recevant en entrée un code d’anomalie, l’état de la connexion cellulaire et l’état du véhicule V. En fonction de ces paramètres d’entrée, le module d’activation MA active un ou plusieurs des modules M1 à M4.
Le module M1 est un moyen logiciel d’envoi d’une instruction au microcontrôleur sécurisé du module de communication MC, déclenchant l’inhibition des communications avec l’extérieur pour les applications non sécurisées du véhicule, c’est-à-dire coupant toute communication émanant de l’environnement d’exécution EESM et à destination d’internet.
Le module M2 est un moyen logiciel d’envoi d’une instruction au microcontrôleur sécurisé du module de communication MC, déclenchant la sélection par le module de communication MC de la carte VCA pour communiquer avec l’extérieur, et l’inhibition par le module de communication MC de toute communication autre qu’avec le serveur distant de gestion SG,
Le module M3 est un moyen logiciel d’envoi d’une instruction au microcontrôleur sécurisé du module de communication MC, déclenchant le redémarrage du module de communication MC, et d’une instruction à une partie sécurisée MB1 de l’environnement d’exécution EESM pour redémarrer celui-ci. En variante une seule instruction est nécessaire notamment lorsque le microcontrôleur est relié à la partie sécurisée MB1. Ces redémarrages sécurisés déclenchent l’effacement de la mémoire vive de ces systèmes, et forcent la sélection de l’utilisation de la carte VCA pour communiquer avec le serveur distant de gestion SG, sans connexion à internet.
Le module M4 est un moyen logiciel d’envoi d’une instruction déclenchant le redémarrage sécurisé de tout ou partie d’autres environnements d’exécution ou d’autres logiciels MB2 à MBn du véhicule V. Ce redémarrage sécurisé déclenche l’effacement de la mémoire vive de ces autres environnements et logiciels et bloque éventuellement l’utilisation de certaines parties de logiciel qui sont plus sensibles aux attaques que les autres. Un exemple d’utilisation d’un de ces moyens par le module de supervision MS est représenté sous la forme d’un procédé de sécurisation de la connexion entre le véhicule V et le serveur distant de gestion SG selon l’invention, à la figure 3. Dans cet exemple, le module de communication MC utilise dans un premier temps la carte UCA pour communiquer avec l’extérieur.
L’étape E1 est l’envoi et la réception de messages signés, uniques et prédéfinis, respectivement à destination du serveur distant de gestion SG et en provenance du véhicule V, par le module de supervision MS. Pour cela le module de supervision MS envoie un message périodiquement au serveur distant de gestion SG, qui permet au serveur distant de gestion SG de l’authentifier. Ce message est par exemple signé en utilisant un algorithme de chiffrement asymétrique comme par exemple le chiffrement RSA (d’après ses inventeurs Rivest, Shamir et Adleman). En variante le module de supervision MS utilise une signature obtenue par un algorithme de hachage de type HMAC (d’après l’anglais «keyed-hash message authentication code») utilisant une clef de chiffrement connue du constructeur seulement (et contenue de manière sécurisée dans le véhicule V et le serveur distant de gestion SG). Bien sûr d’autre algorithmes de chiffrement symétriques ou asymétriques sont utilisables pour la signature des messages envoyés par le module de supervision MS. Ces messages comportent également une donnée anti-rejeu telle qu’un horodatage, un comptage ou un nombre prédéfini généré par un algorithme connu seulement du véhicule V et du serveur distant de gestion SG. Les messages envoyés par le module de supervision MS comportent également un code d’anomalie dont les valeurs et leurs significations sont par exemple :
- 0 : pas d’anomalie détectée par le module de supervision MS - 1 : rupture de connexion avec indication par le module de communication MC d’un manque de couverture réseau pendant une durée supérieure à un premier seuil de durée prédéterminée T1 - 2 : rupture de connexion avec indication par le module de communication MC d’un manque de couverture réseau pendant une durée supérieure à un deuxième seuil de durée prédéterminée T2 supérieur au premier seuil de durée prédéterminée T1
- 3 : rupture de connexion inexpliquée
Le premier seuil de durée prédéterminée T1 est par exemple fixé à 30 minutes et le deuxième seuil de durée prédéterminée T2 est par exemple fixé à 60 minutes.
Il est à noter que dans ce mode de réalisation de l’invention, les codes d’anomalie sont axés notamment sur les ruptures de connexion dues à de vrais ou faux manques de couverture réseau, pour simplifier. En pratique les codes d’anomalie sont possiblement plus nuancés. Par exemple en variante un code différent est alloué aux situations suivantes :
- le module de supervision MS a envoyé un message de test et reçu un retour protocolaire immédiat, mais ne reçoit pas de réponse du serveur distant de gestion SG,
- le module de supervision MS a envoyé un message de test mais n’a pas reçu de retour protocolaire immédiat, alors que le module de communication MC indique qu’une connexion est établie avec le serveur distant de gestion SG,
- le module de supervision MS n’arrive pas à transmettre de message de test et le module de communication MC indique qu’il n’y a plus de connexion établie avec le serveur distant de gestion SG, alors que la connexion cellulaire fonctionne en mode transfert de données,
- le module de communication MC indique qu’il n’y a plus de connexion cellulaire disponible en mode transfert de données alors qu’une couverture réseau est disponible,
- le module de communication MC indique qu’il n’y a plus de couverture réseau.
Dans cette variante on applique par exemple des compteurs de temps correspondant aux durées T1 et T2 plus largement aux cas où le module de communication MC indique il n’y a plus de connexion établie avec le serveur distant SG, afin d’activer les modules M1 et respectivement M2. Les messages envoyés par le serveur distant de gestion SG en réponse aux messages qu’il reçoit émanant du module de supervision MS, sont signés et comportent une donnée anti-rejeu, de manière similaire aux messages envoyés par le module de supervision MS. De plus les messages de réponse du serveur distant de gestion SG comportent éventuellement une information confirmant ou infirmant l’existence d’un manque de couverture réseau précédemment remonté par le module de supervision MS, ou une instruction déclenchant une action curative sur le véhicule V, tel qu’une mise à jour logicielle ou une instruction de redémarrage sécurisé dès l’arrêt du véhicule V.
L’étape E2 du procédé est la détection d’une anomalie de connexion par le module de supervision MS. Le module de supervision MS détecte une telle anomalie :
- lorsqu’il ne reçoit pas de réponse à l’un des messages qu’il a envoyé ou lorsque le module de communication MC indique ne pas avoir pu transmettre un des messages du module de supervision MS au serveur distant de gestion SG, alors même que le module de communication MC indique qu’une couverture réseau est disponible. Cette détection s’effectue éventuellement après plusieurs essais de retransmission ou à l’expiration d’un compteur de temps réglé à un temps de réponse prédéfini, par exemple fixé à quinze minutes; cette détection correspond au code 3 d’anomalie défini plus haut ;
- lorsque le module de communication MC indique que la couverture réseau est indisponible, depuis une durée supérieure à un seuil de durée prédéfini T1 ou T2 ; cette détection correspond au code 1 ou 2 d’anomalie défini plus haut en fonction du seuil correspondant.
L’étape E3 est l’activation de moyens curatifs par le module de supervision MS, permettant de rétablir une communication de confiance entre le véhicule V et le serveur distant de gestion SG même si l’environnement d’exécution EESM est compromis par une attaque. Ces moyens sont choisis de façon à préserver au mieux l’expérience utilisateur, notamment au cas où l’anomalie détectée ne correspond pas à une cyber-attaque mais à une vraie perte de couverture réseau. Pour cela l’impact en termes de possibilités de connexion de l’utilisateur et du véhicule V est progressivement augmenté en fonction de l’état du véhicule V et du risque réel de cyber-attaque. Par exemple lorsque le module de communication MC indique un manque de couverture réseau, le module de supervision MS effectue plus de tentatives pour renvoyer un message que lorsque le module de communication MC indique une couverture réseau disponible. De même les seuils de durée prédéfinie T1 ou T2 sont par exemple fixés en fonction de données de géolocalisation. Ainsi si le véhicule détecte une entrée dans une zone blanche, ces seuils sont par exemple adaptés à la durée estimée de trajet dans cette zone. En fonction du code de l’anomalie détectée les actions curatives sont également plus ou moins impactantes. Dans cet exemple d’utilisation de l’invention on suppose que le véhicule V est en cours d’utilisation et que le code d’anomalie remonté est 3. Dans ce cas l’étape E3 consiste en l’activation du module M2, qui déclenche le basculement de la communication entre le véhicule V et le serveur distant de gestion SG sur une connexion utilisant la carte VCA. Autrement dit le module M2 envoie une instruction au module de communication MC pour couper momentanément la communication entre le véhicule V et le serveur distant de gestion SG et ré établir une connexion entre ces deux entités en utilisant l’abonnement du constructeur du véhicule V. Une fois la communication ré-établie entre le véhicule V et le serveur distant de gestion SG, le module de supervision MS envoie le code d’anomalie 3 dans un message au serveur distant de gestion SG. Le module de supervision SMM du serveur distant de gestion SG envoie alors dans le message de réponse correspondant ou séparément, une instruction permettant la mise en œuvre d’une action curative par les fonctions sécuritaires SF du véhicule, par exemple une mise à jour logicielle ou un redémarrage sécurisé de l’environnement EESM, qui sera mis en œuvre dès l’arrêt du véhicule, préférentiellement moteur éteint. En cas de non-réponse du serveur distant de gestion SG, le véhicule V met lui-même en œuvre cette action curative. II est à noter qu’après un rétablissement de communication entre le véhicule V et le serveur distant de gestion SG, lorsque le code d’anomalie remonté par le module de supervision est 1 ou 2, le serveur distant de gestion SG est en mesure de vérifier si le véhicule V est dans une zone dans laquelle la couverture réseau est effectivement mauvaise ou inexistante. Si c’est le cas, le module de supervision SMM du serveur distant de gestion SG informe le véhicule V qu’il était dans une telle zone dès que la communication avec le véhicule V est rétablie, ce qui permet d’éviter un redémarrage sécurisé inutile de l’environnement d’exécution EESM au prochain arrêt du véhicule V. Au contraire lorsque ce n’est pas le cas, le module de supervision SMM du serveur distant de gestion SG en informe le véhicule V dès que la communication avec le véhicule V est rétablie et lui envoie une instruction de redémarrage sécurisé ou de mise à jour de l’environnement d’exécution EESM dès l’arrêt du véhicule, préférentiellement moteur éteint. Il est à noter que préférentiellement les re démarrages sécurisés du module de communication MC et de l’environnement EESM sont différés de quelques dizaines de secondes après l’arrêt du véhicule pour que les traitements de fin de mission ne soient pas interrompus. De plus à l’arrêt du véhicule l’envoi et la réception de messages de tests sont arrêtés pour préserver la batterie du véhicule.
De plus, le serveur distant de gestion SG administrant toute une flotte de véhicules, il est en mesure de détecter une cyber-attaque par corrélation des anomalies remontées par les véhicules de cette flotte. Notamment si cette flotte de véhicules remonte un nombre d’anomalies supérieur à un seuil prédéfini, par exemple 1000 sur une courte période et sur des zones géographiques comportant une couverture réseau acceptable, le module de supervision SMM détecte une cyber-attaque et programme une mise à jour logicielle sur ses véhicules avec redémarrage sécurisé.
En référence à la figure 4, un exemple de logique implémentée dans le module de supervision MS et permettant de minimiser l’impact du procédé de sécurisation selon l’invention sur l’expérience utilisateur, comporte les états S0 à S5. Dans l’état SO, le véhicule V est à l’arrêt moteur éteint et non allumé, c’est-à-dire que le contact n’est pas mis. Dans cet état, le véhicule V communique avec le serveur distant de gestion SG uniquement avec la carte VCA, aucune communication internet n’est établie. Lorsqu’un utilisateur allume le véhicule V en mettant le contact, la logique passe à l’état S1 .
A l’état S1 , l’utilisateur peut entrer les données de sa carte SIM personnelle dans le véhicule et accéder à internet sur l’environnement d’exécution EESM via la carte UCA. Si ces données ont déjà été entrées dans le véhicule V lors d’une précédente utilisation du véhicule V, le module de communication MC commute sur la carte UCA dès que le véhicule est allumé. Le module de supervision MS supervise alors la connexion entre le véhicule V et le serveur distant de gestion SG. Dans cet état S1 , la logique retourne à l’état SO lorsque l’utilisateur éteint le véhicule.
Si, dans l’état S1 , le module de supervision MS reçoit une instruction du serveur distant de gestion SG pour effectuer un redémarrage sécurisé du module de communication MC et de l’environnement d’exécution EESM avec une éventuelle mise à jour de ces entités, alors la logique passe à l’état S2 de redémarrage sécurisé (avec éventuelle mise à jour) de ces entités. A l’issue de ce redémarrage sécurisé dans cet état S2 la logique passe à l’état S4 de communication sécurisée qui sera décrite plus loin.
Si, dans l’état S1 , le module de supervision MS détecte une anomalie de code 1 ou 3, alors le module de supervision MS active le module M1 et la logique passe à l’état S3 dans lequel le module de communication MC continue d’utiliser la carte UCA mais interdit toute communication internet autre qu’avec le serveur distant de gestion SG.
Si dans cet état S3, le module de supervision MS détecte une anomalie de code 2 ou 3, c’est-à-dire que le module de communication MC indique qu’il n’y a pas de couverture réseau depuis une heure ou que le module de communication MC n’envoie ou ne reçoit plus de message depuis quinze minutes sans indication de perte de couverture réseau, alors la logique passe à l’état S4 de communication sécurisée. Si à l’état S3, le véhicule V est éteint par l’utilisateur sans que le serveur distant de gestion SG ait pu infirmer l’anomalie de code 1 ou 3 qui a déclenché le passage à l’état S3 et en notifier le véhicule V, alors la logique passe à l’état S5 de redémarrage sécurisé du module de communication MC forçant le module de communication à utiliser la carte VCA seulement ; à l’issue de ce redémarrage la logique passe à l’état S4 de communication sécurisée.
Si à l’état S3, le serveur distant de gestion SG infirme l’anomalie de code 1 ou 3 qui a déclenché le passage à l’état S3, alors la logique passe à l’état S1 .
A l’état S4 de communication sécurisée, le module de communication MC est habilité à n’utiliser que la carte VCA pour communiquer avec le serveur distant de gestion SG, que le véhicule V soit allumé ou éteint. Si le véhicule V est allumé dans cet état S4, et que l’utilisateur éteint son véhicule V sans que le serveur distant de gestion SG ait pu infirmer l’anomalie 1 ,2 ou 3 ayant conduit au passage à l’état S4 et le notifier au véhicule V, alors la logique reboucle sur l’état S4. Au contraire si dans cet état S4, le serveur distant de gestion SG infirme l’anomalie 1 ,2 ou 3 ayant conduit au passage à l’état S4 et le notifie au véhicule V, alors la logique reboucle sur l’état S0 si le véhicule est éteint, ou sur l’état S1 si le véhicule est allumé.
Bien sûr cette logique n’est qu’un exemple de réalisation de l’invention. D’autres logiques sont implémentables dans d’autres variantes de réalisation du véhicule, du système ou du procédé selon l’invention. Par exemple dans une variante où le véhicule n’implémente que les modules M2 et M3, les états S3 et S4 sont confondus. De plus dans une autre variante de réalisation de l’invention, le serveur distant de gestion SG est détenu par un tiers. Dans cette variante, l’échange d’une clef privée pour la signature des messages échangés entre le module de supervision MS et le serveur distant de gestion SG s’effectue par un premier échange chiffré utilisant par exemple l’algorithme de chiffrement asymétrique RSA. Bien d’autres variantes de réalisation sont bien entendu possibles. Notamment, dans une autre variante de réalisation de l’invention, le module de supervision MS supervise le bon fonctionnement de la connexion entre le module de communication MC et le serveur distant de gestion SG en surveillant la bonne réception de messages signés, uniques et prédéfinis envoyés par le serveur distant de gestion SG, mais n’envoie pas lui-même de messages de test au serveur distant de gestion SG. Cette variante ne couvre toutefois qu’une supervision de la connexion dans un sens. Dans une autre variante, le module de supervision envoie des messages de test au serveur distant de supervision SG, ces messages de test ne contenant pas de code d’anomalie, ou n’en contenant que lorsqu’une anomalie est détectée. Enfin dans une autre variante, le serveur de gestion SG envoie un message alertant le véhicule V juste avant l’entrée de celui-ci dans une zone blanche, afin de désactiver les compteurs de temps liés aux seuils T1 et T2, jusqu’à la sortie de la zone blanche.

Claims

REVENDICATIONS
1. Véhicule (V) comportant un module de communication (MC) apte à utiliser deux cartes d’identifiants de télécommunication, l’une (VCA) relative à un abonnement entre le constructeur dudit véhicule (V) et un opérateur de télécommunication, l’autre (UCA) relative à un abonnement entre un utilisateur dudit véhicule (V) et un opérateur de télécommunication, ledit véhicule (V) comportant un environnement d’exécution de confiance (TEE) dans lequel sont hébergées des fonctions sécuritaires du véhicule (V), et un environnement d’exécution d’un système multimédia (EESM) hébergeant au moins une partie dudit module de communication (MC), ledit véhicule (V) étant caractérisé en ce que ledit environnement d’exécution de confiance (TEE) comporte un module de supervision (MS) de la connexion entre ledit véhicule (V) et un serveur distant de gestion (SG) dudit véhicule (V).
2. Véhicule (V) selon la revendication 1 , caractérisé en ce que ledit module de supervision (MS) est apte à tester régulièrement ladite connexion par l’envoi et la réception de messages signés, uniques et prédéfinis, respectivement à destination dudit serveur distant de gestion (SG) et en provenance dudit serveur distant de gestion (SG).
3. Véhicule (V) selon la revendication 1 , caractérisé en ce que ledit module de supervision (MS) est apte à tester régulièrement ladite connexion par la réception de messages signés, uniques et prédéfinis, en provenance dudit serveur distant de gestion (SG).
4. Véhicule (V) selon la revendication 2 ou 3, caractérisé en ce que ledit module de supervision (MS) est apte à détecter une anomalie de connexion lorsque :
- ledit module de communication (MC) indique que la connexion cellulaire du véhicule fonctionne alors que ledit module de communication (MC) ne confirme pas l’envoi d’un desdits messages audit serveur distant de gestion (SG) ou qu’il ne transmet pas l’un desdits messages envoyés par ledit serveur distant de gestion (SG),
- ou que ledit module de communication (MC) indique que la connexion cellulaire du véhicule est indisponible pendant une durée supérieure à un premier intervalle de temps prédéfini.
5. Véhicule (V) selon la revendication 2 ou 4, caractérisé en ce que les messages envoyés par ledit module de supervision (MS) comportent une information représentative d’une détection d’anomalie de connexion entre ledit véhicule (V) et ledit serveur distant de gestion (SG), ou représentative de l’absence d’une telle détection.
6. Véhicule (V) selon l’une quelconque des revendications précédentes, caractérisé en ce qu’il comporte au moins un des moyens d’envoi choisis dans une liste comportant :
- un premier moyen (M1) d’envoi d’une instruction au module de communication (MC), déclenchant l’inhibition des communications avec l’extérieur pour les applications non sécurisées du véhicule (V), - un deuxième moyen (M2) d’envoi d’une instruction au module de communication (MC), déclenchant la sélection par le module de communication (MC) de la carte d’identifiant (VCA) de télécommunication relative à l’abonnement du constructeur dudit véhicule (V) comme seul moyen de connexion, et l’inhibition par le module de communication (MC) de toute communication autre qu’avec ledit serveur distant de gestion (SG),
- un troisième moyen (M3) d’envoi d’une instruction au module de communication (MC), déclenchant le redémarrage dudit module de communication (MC), et d’une instruction provoquant le redémarrage dudit environnement d’exécution du système multimédia (EESM), tout en imposant une configuration sécurisée desdits redémarrages, - et un quatrième moyen (M4) d’envoi d’une instruction déclenchant le redémarrage d’au moins une partie d’autres environnements d’exécution ou d’autres logiciels du véhicule (V) en leur imposant une configuration sécurisée, et en ce qu’il comporte en outre des moyens d’activation (MA) configurés pour activer tout ou partie desdits moyens d’envoi (M1, M2, M3, M4) choisis sur détection d’une anomalie de connexion entre ledit véhicule (V) et ledit serveur distant de gestion (SG).
7. Véhicule (V) selon la revendication 6, dans lequel ledit véhicule (V) comporte au moins ledit premier moyen (M1) d’envoi, caractérisé en ce que lesdits moyens d’activation (MA) sont configurés pour n’activer que ledit premier moyen (M1) d’envoi lorsque ledit module de communication (MC) indique que la connexion cellulaire du véhicule (V) est indisponible pendant une durée supérieure audit premier intervalle de temps prédéfini.
8. Véhicule (V) selon la revendication 6 ou 7, dans lequel ledit véhicule (V) comporte au moins ledit deuxième moyen (M2) d’envoi, caractérisé en ce que lesdits moyens d’activation (MA) sont configurés pour activer ledit deuxième (M2) moyen d’envoi à l’exclusion des moyens d’envoi choisis parmi ledit troisième (M3) ou quatrième moyen (M4) d’envoi, lorsque ledit module de communication (MC) indique que la connexion cellulaire du véhicule (V) est indisponible pendant une durée supérieure à un deuxième intervalle de temps prédéfini supérieur au premier intervalle de temps prédéfini.
9. Véhicule (V) selon l’une quelconque des revendications 6 à 8, dans lequel ledit véhicule (V) comporte au moins ledit troisième (M3) ou ledit quatrième (M4) moyen d’envoi, caractérisé en ce que lesdits moyens d’activation (MA) sont configurés pour activer ledit troisième (M3) ou quatrième (M4) moyen d’envoi seulement à l’arrêt dudit véhicule (V).
10. Système comportant un véhicule (V) selon l’une quelconque des revendications 1 à 9, ainsi que ledit serveur distant de gestion (SG), caractérisé en ce que ledit serveur distant de gestion (SG) comporte :
- des moyens de réception (SMM) d’un message envoyé par ledit module de supervision (MS) et comportant une information représentative d’une détection d’anomalie de connexion entre ledit véhicule (V) et ledit serveur distant de gestion (SG),
- des moyens de détection (SMM) du fait que ladite détection d’anomalie n’est pas due à une cyber-attaque par corrélation entre la position dudit véhicule (V) et des données de couverture radio,
- des moyens d’envoi (SMM) d’un message indiquant que ladite anomalie n’est pas due à une cyber-attaque audit véhicule (V), en réponse audit message en provenance dudit module de supervision (MS) et remontant ladite détection d’anomalie.
11. Système selon la revendication précédente, caractérisé en ce que ledit serveur distant de gestion (SG) comporte en outre :
- un moyen de détection (SMM) d’une cyber-attaque dès que des anomalies sont remontées par un nombre de véhicules supérieur à un seuil prédéfini, - de moyens d’envoi audit véhicule d’un message activant une procédure de redémarrage sécurisé dudit module de communication (MC) et dudit environnement d’exécution multimédia (EESM) et/ou de mise à jour dudit environnement d’exécution multimédia (EESM) dès qu’une cyber-attaque est détectée par ledit moyen de détection (SMM).
12. Procédé de sécurisation de la connexion entre un véhicule (V) selon l’une quelconque des revendications 1 à 6 et ledit serveur distant de gestion (SG) dudit véhicule, comportant les étapes de :
- envoi et/ou réception (E1) de messages signés, uniques et prédéfinis, respectivement à destination dudit serveur distant de gestion (SG) et/ou en provenance dudit serveur distant de gestion (SG), - détection (E2) d’une anomalie de ladite connexion
- envoi (E3) d’une instruction audit module de communication (MC), apte à faire basculer la communication entre ledit véhicule (V) et ledit serveur distant de gestion (SG) sur une connexion utilisant la carte (VCA) d’identifiant de télécommunication relative à l’abonnement du constructeur dudit véhicule (V).
PCT/EP2021/064155 2020-06-04 2021-05-27 Sécurisation de la connexion entre un véhicule et un serveur distant de gestion dudit véhicule WO2021244932A1 (fr)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2022574727A JP2023528905A (ja) 2020-06-04 2021-05-27 車両と前記車両を管理するためのリモート管理サーバとの間の接続のセキュリティ保護
KR1020227046222A KR20230019878A (ko) 2020-06-04 2021-05-27 차량과 이 차량을 관리하기 위한 원격 관리 서버 사이의 연결 보안
CN202180043584.9A CN115769620A (zh) 2020-06-04 2021-05-27 确保车辆与用于管理所述车辆的远程管理服务器之间的连接安全
US18/000,670 US20230262070A1 (en) 2020-06-04 2021-05-27 Securing the connection between a vehicle and a remote management server for managing said vehicle
EP21727897.7A EP4162719A1 (fr) 2020-06-04 2021-05-27 Sécurisation de la connexion entre un véhicule et un serveur distant de gestion dudit véhicule

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2005876A FR3111204B1 (fr) 2020-06-04 2020-06-04 Sécurisation de la connexion entre un véhicule et un serveur distant de gestion dudit véhicule
FRFR2005876 2020-06-04

Publications (1)

Publication Number Publication Date
WO2021244932A1 true WO2021244932A1 (fr) 2021-12-09

Family

ID=72266534

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2021/064155 WO2021244932A1 (fr) 2020-06-04 2021-05-27 Sécurisation de la connexion entre un véhicule et un serveur distant de gestion dudit véhicule

Country Status (7)

Country Link
US (1) US20230262070A1 (fr)
EP (1) EP4162719A1 (fr)
JP (1) JP2023528905A (fr)
KR (1) KR20230019878A (fr)
CN (1) CN115769620A (fr)
FR (1) FR3111204B1 (fr)
WO (1) WO2021244932A1 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024049084A1 (fr) * 2022-09-02 2024-03-07 삼성전자 주식회사 Dispositif électronique pour un véhicule et son procédé de fonctionnement

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090325572A1 (en) * 2008-06-26 2009-12-31 Samsung Electronics Co. Ltd. Apparatus and method for providing network service in a portable communication system
US20160050609A1 (en) * 2014-08-18 2016-02-18 Trimble Navigation Limited Changing wireless carriers during a mobile gateway session
DE102016007183A1 (de) * 2016-06-14 2017-12-14 Audi Ag Kraftfahrzeug-Steuervorrichtung und Verfahren zum Übenwachen einer mobilen Internetverbindung sowie Kraftfahrzeug
DE102017128063A1 (de) * 2017-11-28 2019-05-29 Peiker Acustic Gmbh & Co. Kg Verfahren zur Erfassung von Leistungskennzahlen von Kommunikationsnetzwerken und Telematikeinheit

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090325572A1 (en) * 2008-06-26 2009-12-31 Samsung Electronics Co. Ltd. Apparatus and method for providing network service in a portable communication system
US20160050609A1 (en) * 2014-08-18 2016-02-18 Trimble Navigation Limited Changing wireless carriers during a mobile gateway session
DE102016007183A1 (de) * 2016-06-14 2017-12-14 Audi Ag Kraftfahrzeug-Steuervorrichtung und Verfahren zum Übenwachen einer mobilen Internetverbindung sowie Kraftfahrzeug
DE102017128063A1 (de) * 2017-11-28 2019-05-29 Peiker Acustic Gmbh & Co. Kg Verfahren zur Erfassung von Leistungskennzahlen von Kommunikationsnetzwerken und Telematikeinheit

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
UNKNOWN: "Trusted Execution Environment TEE 101: A primer WHITE PAPER", 1 April 2018 (2018-04-01), XP055768342, Retrieved from the Internet <URL:https://www.securetechalliance.org/wp-content/uploads/TEE-101-White-Paper-FINAL2-April-2018.pdf> [retrieved on 20210125] *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024049084A1 (fr) * 2022-09-02 2024-03-07 삼성전자 주식회사 Dispositif électronique pour un véhicule et son procédé de fonctionnement

Also Published As

Publication number Publication date
EP4162719A1 (fr) 2023-04-12
US20230262070A1 (en) 2023-08-17
FR3111204A1 (fr) 2021-12-10
CN115769620A (zh) 2023-03-07
FR3111204B1 (fr) 2023-12-22
JP2023528905A (ja) 2023-07-06
KR20230019878A (ko) 2023-02-09

Similar Documents

Publication Publication Date Title
EP2134115B1 (fr) Detection d&#39;anomalie de trafic emis par un terminal mobile dans un réseau de radiocommunication
EP1022922B1 (fr) Procédé d&#39;authentification, avec établissement d&#39;un canal sécurise, entre un abonné et un fournisseur de services accessible via un opérateur de télécommunications
EP2163114B1 (fr) Interface d&#39;enregistrement d&#39;application utilisée pour un dispositif mobile
EP1536606A1 (fr) Méthode d&#39;authentification d&#39;applications
EP1683388A2 (fr) Methode de gestion de la s curit d&#39; applications avec un module de securite
US10999318B2 (en) Algorithmic packet-based defense against distributed denial of service
CN101248615A (zh) 安全数据连接会话的暂停和恢复
EP3625928A1 (fr) Procede de securisation d&#39;une communication sans gestion d&#39;etats
FR2941584A1 (fr) Procede de traitement de flux de donnees recues par un appareil de communication sans fil et necessitant au moins en partie des traitements cryptographiques et appareil correspondant
WO2021244932A1 (fr) Sécurisation de la connexion entre un véhicule et un serveur distant de gestion dudit véhicule
EP3840324B1 (fr) Liaison série asynchrone sécurisée
EP1709827B1 (fr) Procédé de sécurisation de l&#39;identitifiant d&#39;un téléphone portable, et téléphone portable correspondant
EP2266289A2 (fr) Mode de communication de defense pour un equipement apte a communiquer au moyen de differents services de communication
WO2017085284A1 (fr) Unite electronique, systeme comprenant une telle unite electronique et procede de deverrouiillage
EP2773067B1 (fr) Procédé de fiabilisation de la génération de messages d&#39;alerte sur un réseau synchronisé de données
CN113114705B (zh) 可信可编排的视频物联网终端内生安全检测方法及装置
FR3071946B1 (fr) Dispositif electronique et procede de surveillance de donnees stockees au sein d&#39;un appareil avionique, programme d&#39;ordinateur associe
WO2009106432A1 (fr) Procede de gestion dans les equipements de securite et entite de securite
EP1510904B1 (fr) Procédé et système d&#39;évaluation du niveau de sécurité de fonctionnement d&#39;un équipement électronique et d&#39;accès conditionnel à des ressources
WO2024121283A1 (fr) Télécommande de cybersécurisation
EP4338375A1 (fr) Procede de defense contre une tentative de deconnexion entre deux entites, systeme associe
CN117955866A (zh) 交易监控方法、装置、电子设备和介质
FR2798032A1 (fr) Dispositif de transmission de tentatives de fraude a un systeme de supervision d&#39;un reseau de telephones publics
FR2888432A1 (fr) Procedes de protection des trames de gestion echangees entre deux equipements sans fil, de reception et d&#39;emission de telles trames, programmes d&#39;ordinateur et supports de donnees contenant ces programmes d&#39;ordinateur

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21727897

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2022574727

Country of ref document: JP

Kind code of ref document: A

ENP Entry into the national phase

Ref document number: 20227046222

Country of ref document: KR

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2021727897

Country of ref document: EP

Effective date: 20230104