[001] L’invention concerne un procédé d’établissement d’une clé cryptographique partagée entre un premier et un second terminaux. L'invention concerne également des procédés d'exécution par, respectivement, le premier terminal et le second terminal, des étapes nécessaires pour la mise en œuvre du procédé d'établissement d'une clé cryptographique partagée. Enfin, l’invention concerne également un support d’enregistrement d’informations ainsi qu’un premier et un second terminaux pour la mise en œuvre de ce procédé d'établissement.

[002] Il existe de nombreuses situations où il est nécessaire d’établir une clé cryptographique partagée entre deux terminaux. Par clé cryptographique partagée, on désigne une clé cryptographique secrète qui est seulement connue de ces deux terminaux. Cette clé cryptographique permet par exemple d’établir une liaison sécurisée d’échanges d’informations entre ces deux terminaux. En effet, ces informations peuvent alors par exemple être chiffrées, avec la clé cryptographique partagée, par l’un des terminaux avant d’être émis sur un réseau de transmission d’informations, puis déchiffrées, avec la même clé cryptographique partagée, par l’autre terminal lorsqu’il reçoit ces informations.

[003] Il existe aussi des situations où une telle liaison sécurisée d’échanges d’informations ne doit pouvoir s’établir que si, en plus, les deux terminaux sont à proximité l’un de l’autre, c’est-à-dire proches géographiquement l’un de l’autre.

[004] De l’état de la technique est connu de :

- W097/49213A1,

- US2014/219449A1,

- Menezes A.J. et Al : « Handbook of applied cryptography », Chapitre 12 : « Key Establissement Protocols », CRC Press, Boca Raton, FL, US, Pages 489-541,

- US2011/045780A1.

En particulier W097/49213A1 et US2014/219449A1 décrivent comment établir une clé cryptographique partagée entre deux terminaux en utilisant pour cela des mesures des propriétés physiques du canal de communication établi entre ces deux terminaux. Ces procédés ne permettent pas de conditionner l’établissement de la clé cryptographique partagée au fait que les terminaux sont géographiquement à proximité l’un de l’autre.

[005] L’invention propose un procédé, conforme à la revendication 1, d’établissement d’une clé KA ₂₀ cryptographique partagée entre un premier et un second terminaux, conditionné au fait que ces deux terminaux soient à proximité l’un de l’autre.

[006] Les modes de réalisation de ce procédé d'établissement peuvent présenter une ou plusieurs des caractéristiques des revendications dépendantes.

[007] L'invention concerne également un procédé d'exécution par le premier terminal des étapes nécessaires pour la mise en œuvre du procédé revendiqué d'établissement d'une clé cryptographique partagée.

[008] L'invention concerne également un procédé d'exécution par le second terminal des étapes nécessaires pour la mise en œuvre du procédé revendiqué d'établissement d'une clé cryptographique partagée.

[009] L’invention concerne également un support d’enregistrement d’informations, lisible par un cryptoprocesseur ou un microprocesseur, ce support comportant des instructions pour la mise en œuvre du procédé revendiqué d'établissement lorsque ces instructions sont exécutées par ce cryptoprocesseur ou ce microprocesseur.

[0010] L’invention a également pour objet un premier terminal pour la mise en œuvre du procédé revendiqué d'établissement.

[0011] L’invention a également pour objet un second terminal pour la mise en œuvre du procédé revendiqué d'établissement.

[0012] L’invention sera mieux comprise à la lecture de la description qui va suivre, donnée uniquement à titre d’exemple non limitatif et faite en se référant aux dessins sur lesquels :

- les figures 1 et 2 sont des illustrations schématiques de deux ensembles respectifs d’émetteurs sans fil ;

- la figure 3 est une illustration schématique de l’architecture d’un terminal ;

- la figure 4 est un organigramme d’un procédé d’établissement d’une clé cryptographique partagée ;

- les figures 5 à 7 sont des illustrations schématiques et partielles d’autres modes de réalisation possibles du procédé de la figure 4.

[0013] Dans ces figures, les mêmes références sont utilisées pour désigner les mêmes éléments.

[0014] Dans la suite de cette description, les caractéristiques et fonctions bien connues de l’homme du métier ne sont pas décrites en détail.

[0015] Chapitre I : Exemples de modes de réalisation :

[0016] La figure 1 représente un ensemble 2 d’émetteurs sans fil. Dans le cas particulier représenté sur la figure 1, l’ensemble 2 comporte quatre émetteurs sans fil 4 à 7. Ici, les émetteurs 4 à 7 sont, par exemple, chacun une borne d'accès WIFI, également connue sous le terme de « point d’accès » (« access point », ou « Hotspot », en anglais) conforme, par exemple, à la norme ISO/CEI 8802-11. Chacun de ces émetteurs sans fil permet à un terminal d’établir une liaison sans fil avec cet émetteur pour, typiquement, communiquer avec les autres terminaux qui ont de façon analogue établi une liaison sans fil avec le même émetteur. Cette liaison sans fil est souvent appelée « connexion WIFI ». Chaque émetteur sans fil permet ainsi de former un réseau local sans fil.

[0017] À cet effet, chaque émetteur sans fil émet des ondes électromagnétiques ou « ondes radios » dont la portée est inférieure à X mètres. Typiquement, dans le cas des bornes d'accès WIFI, X est inférieur ou égal à 750 m ou 500 m, voire même inférieur ou égal à 350 m ou 250 m. Généralement, la portée X est supérieure à 2 m ou 10 m. Au-delà de cette distance de X mètres, la puissance des ondes électromagnétiques émises est systématiquement inférieure à un seuil P _min de détectabilité en dessous duquel les ondes électromagnétiques ne peuvent pas être détectées ou utilisées par des terminaux. Dans ce mode de réalisation, pour simplifier, on suppose que les sensibilités de tous les terminaux sont identiques. Par conséquent, les seuils de sensibilité en dessous desquels ils ne peuvent pas détecter ou utiliser une onde électromagnétique émise par l'un quelconque des émetteurs 4 à 7 sont tous égaux à P _min . Par exemple, dans le cas d’un réseau WIFI, le seuil P _min est égal à -80 dBm ou -90 dBm ou -100 dBm. Ainsi, la portée de X mètres correspond à la distance au-delà de laquelle la puissance des ondes électromagnétiques émises par l’émetteur sans fil est inférieure au seuil P _min . En pratique, cette distance n’est pas nécessairement la même dans toutes les directions car, par exemple, elle dépend de la présence d'obstacle ou autres perturbations. Toutefois, pour simplifier la figure 1, la distance X est supposée constante dans chaque direction. Ainsi, la zone de réception à l’intérieur de laquelle un terminal peut détecter la présence d’un émetteur sans fil est représentée par un cercle centré sur cet émetteur sans fil dans la figure 1. Plus précisément, dans la figure 1, ces zones de réception centrées sur les émetteurs 4 à 7 portent, respectivement, les références numériques 10 à 13. Par la suite, lorsqu'un terminal est situé à l'intérieur de la zone de réception d'un émetteur sans fil, on dit que cet émetteur sans fil est « à la portée » de ce terminal.

[0018] Les ondes électromagnétiques émises par chaque émetteur sont modulées en fonction d’une donnée caractéristique de l'émetteur sans fil. Ici, la donnée caractéristique est une donnée qui permet d’identifier sans ambiguïté l’émetteur sans fil qui émet ces ondes électromagnétiques parmi l’ensemble des émetteurs sans fil de l’ensemble 2. Par la suite, cette donnée caractéristique est notée ldi, où l’indice i est un identifiant de l’émetteur sans fil. Par exemple, dans le cas des émetteurs sans fil WIFI, les ondes électromagnétiques émises par ces émetteurs sont modulées notamment en fonction :

- d’une étiquette SSID (« Service Set Identifier ») qui correspond au nom du réseau sans fil, et

- de l’adresse MAC (« Media Access Control ») de l’émetteur sans fil.

[0019] Ces données caractéristiques de l’émetteur peuvent être extraites par chaque terminal susceptible d’établir une connexion sans fil avec cet émetteur. Par la suite, les principaux modes de réalisation sont décrits dans le cas particulier où la donnée caractéristique Id, est l’adresse MAC de l’émetteur.

[0020] La figure 1 représente également deux terminaux 20 et 22, chacun capable de détecter chacun des émetteurs 4 à 7. Dans l’ensemble 2, le terminal 20 est situé à un emplacement où seuls les émetteurs 4, 5 et 6 sont à sa portée. Le terminal 22 est situé à un emplacement où seuls les émetteurs 4, 6 et 7 sont à sa portée.

[0021] Les terminaux 20 et 22 sont également raccordés l’un à l’autre par l’intermédiaire d’un réseau 24. Le réseau 24 est par exemple un réseau grande distance de transmission d’informations. Le réseau 24 peut permettre aux terminaux 20 et 22 de communiquer entre eux quelle que soit la distance qui les sépare. Ici, le réseau 24 est un réseau qui fonctionne indépendamment de l’ensemble 2 d’émetteurs sans fil. Par exemple, le réseau 24 est un réseau téléphonique sans fil ou le réseau Internet.

[0022] La figure 2 représente les terminaux 20 et 22 disposés à l’intérieur d’un autre ensemble 30 d’émetteurs sans fil. L’ensemble 30 comporte six émetteurs sans fil 32 à 37. Les émetteurs 32 à 37 sont, par exemple, structurellement identiques aux émetteurs 4 à 7. Les zones de réception des émetteurs 32 à 37 portent, respectivement, les références numériques 40 à 45. Comme sur la figure 1, pour simplifier la représentation de chacune de ces zones de réception, celle-ci est représentée sous la forme d’un cercle centré sur l’émetteur sans fil correspondant. Dans cet ensemble 30, le terminal 20 est situé à un emplacement où seuls les émetteurs 32 à 34 sont à sa portée. Le terminal 22 est situé à un emplacement où seuls les émetteurs 35 à 37 sont à sa portée.

[0023] La figure 3 représente l’architecture du terminal 20. Le terminal 20 comporte :

- un microprocesseur conventionnel 50,

- une mémoire non volatile 52,

- un émetteur-récepteur sans fil 54,

- un cryptoprocesseur 56,

- un bus 58 d’échanges d’informations entre les différents composants précédents du terminal 20.

[0024] L’émetteur-récepteur 54 est un émetteur-récepteur WIFI capable de détecter et d’établir une connexion WIFI avec n’importe lequel des émetteurs sans fil des ensembles 2 et 30. L'autorisation d’accéder au réseau local d'un tel émetteur sans fil ou au réseau 24 par l'intermédiaire de cet émetteur sans fil est souvent conditionnée au fait que le terminal dispose des droits d'accès nécessaires. Par contre, même sans disposer des droits d'accès nécessaires, l'émetteur-récepteur 54 est capable d'extraire la donnée Id, des ondes électromagnétiques émises par l'émetteur sans fil.

[0025] Le cryptoprocesseur 56 est capable d’exécuter des fonctions de chiffrement et de déchiffrement de données, ainsi que des fonctions de hachage (« hash function » en anglais). Le cryptoprocesseur 56 est conçu pour être plus résistant vis-à-vis des tentatives de cryptanalyse que, par exemple, le microprocesseur 50. À cet effet, il comporte notamment une mémoire non volatile sécurisée 60. La mémoire 60 est uniquement accessible et lisible par le cryptoprocesseur 56. En particulier, la mémoire 60 n’est pas accessible et n’est pas lisible par le microprocesseur 50. Ici, la mémoire 60 mémorise une clé K _ma et un vecteur d'initialisation VI. La mémoire 60 mémorise aussi des instructions pour exécuter les étapes nécessaires à la mise en œuvre de l'un quelconque des procédés des figures 4 à 7 lorsque ces instructions sont exécutées par le cryptoprocesseur 56. Dans ce mode de réalisation particulier, la mémoire 60 comporte l’ensemble des instructions nécessaires pour exécuter à la fois les étapes réalisées par le terminal 20 que celles réalisées par le terminal 22. Ainsi, les rôles des terminaux 20 et 22 peuvent être intervertis. [0026] Pour simplifier, on suppose que l’architecture du terminal 22 est identique à celle du terminal 20. En particulier, la mémoire non volatile sécurisée du terminal 22 comporte également la clé K _ma et le vecteur VI.

[0027] Le fonctionnement des terminaux 20 et 22 pour établir une clé KA ₂₀ cryptographique partagée va maintenant être décrit en référence au procédé de la figure 4. Le procédé de la figure 4 est décrit dans le cas particulier où les terminaux 20 et 22 jouent les rôles, respectivement, de terminaux maître et esclave. Le terminal maître est celui qui déclenche le procédé d’établissement de la clé partagée KA _2o .

[0028] Lors d’une étape 98, les terminaux 20 et 22 sont placés chacun à l’intérieur d’une ou plusieurs zones de réception d’un ensemble d’émetteurs sans fil tel que ceux décrits en référence aux figures 1 et 2. Ici, chaque émetteur sans fil émet en permanence des ondes électromagnétiques à partir desquelles les données caractéristiques Id, peuvent être extraites.

[0029] Lors d’une étape 100, le terminal 20 transmet un signal de synchronisation au terminal 22, par exemple, par l’intermédiaire du réseau 24.

[0030] Ensuite, At ₂₀ secondes après la transmission du signal de synchronisation, lors d’une étape 102, le terminal 20 capte et reçoit les ondes électromagnétiques émises par les N émetteurs sans fil qui sont à sa portée. À titre d’illustration, l’intervalle At ₂₀ est égal à 0 seconde. De plus, lors de cette étape, l'émetteur-récepteur 54 mesure la puissance de chacune des ondes électromagnétiques reçues de manière à obtenir un indicateur de la puissance de l’onde électromagnétique reçue. Un tel indicateur est connu sous l’acronyme de RSSI (« Received Signal Strength Indicator ») dans le cas d'un réseau WIFI.

[0031] Lors d’une étape 104, l'émetteur-récepteur 54 démodule uniquement les ondes électromagnétiques reçues dont les puissances sont supérieures au seuil P _min . Lors de cette étape, l'émetteur-récepteur 54 extrait en plus de chacun de ces signaux démodulés reçus la donnée caractéristique ld, de chaque émetteur sans fil qui se trouve à sa portée. Ici, la donnée caractéristique Id, comporte au moins l’adresse MAC de cet émetteur sans fil. Chacune des données caractéristiques Id, extraite est associée à l’indicateur RSSI obtenu pour l’onde électromagnétique à partir de laquelle cette donnée Id, a été extraite. On rappelle que tous les émetteurs sans fil ont une adresse MAC différente de sorte que la donnée caractéristique ld, permet ici d’identifier sans ambiguïté l’émetteur de l’onde électromagnétique reçue parmi l’ensemble des émetteurs sans fil. La donnée caractéristique Id, extraite peut aussi comporter des informations supplémentaires telles que l’étiquette SSID du réseau et/ou le nom du fabricant de l’émetteur sans fil. Ensuite, l'émetteur-récepteur 54 transmet chaque donnée Id, extraite et l'indicateur RSSI qui lui est associé au cryptoprocesseur 56.

[0032] Lors d’une étape 106, le cryptoprocesseur 56 reçoit ces données ld, extraites et les indicateurs RSSI associés. À l’issue de cette étape, le cryptoprocesseur 56 dispose donc d'une liste Le ₂₀ comportant pour chaque émetteur sans fil à sa portée une ligne contenant : - la donnée caractéristique Id, de cet émetteur sans fil, et

- l’indicateur RSSI de cet émetteur sans fil.

[0033] Lors d’une étape 108, le cryptoprocesseur 56 compare le nombre l ₂ o de lignes contenues dans la liste Le ₂₀ à un seuil prédéterminé L _max .

[0034] Si le nombre l ₂₀ de lignes est inférieur au seuil L _max , le cryptoprocesseur 56 procède directement à une étape 110. Dans le cas contraire, il procède à une étape 112.

[0035] Lors de l’étape 112, le cryptoprocesseur 56 sélectionne un nombre limité de lignes dans la liste Le ₂₀ pour obtenir une liste raccourcie Le _20r contenant seulement L _max lignes. Pour cela, le cryptoprocesseur 56 utilise un premier jeu prédéterminé de critères de sélection. Par exemple, ici, ce premier jeu comporte un seul critère qui sélectionne uniquement les L _max lignes contenant les indicateurs RSSI les plus élevés. Ce critère de sélection conduit donc à sélectionner seulement les L _max données caractéristiques ld, extraites des L _max ondes électromagnétiques reçues les plus puissantes. Les L _max ondes électromagnétiques reçues les plus puissantes correspondent généralement aux L _max émetteurs sans fil les plus proches du terminal 20. Le seuil L _max est généralement inférieur à 10 ou 7. Dans la suite de cette description, L _max est égal à 9.

[0036] À l’issue de l’étape 112, la liste Le _20r remplace la liste Le ₂₀ et le procédé se poursuit par l’étape 110.

[0037] À l’étape 110, le cryptoprocesseur 56 construit une clé intermédiaire Kd _{i 20} pour chaque donnée caractéristique Id, contenue dans la liste Le ₂₀ . Par la suite, l'indice « 20 » est utilisé pour indiquer qu'une donnée, par exemple ici la clé Kd _{i 20} , a été construite par le terminal 20. A cet effet, chaque clé Kd _{i 20} est construite à partir d'une seule donnée caractéristique Id, correspondante. L’objectif de cette étape est de rendre difficile la construction des clés intermédiaires Kd _{i 20} par un tiers qui connaîtrait les données caractéristiques Id,. Ici, pour cela, chaque clé intermédiaire Kd _{i 20} est en plus construite à partir d’informations secrètes connues seulement des terminaux 20 et 22. Dans cet exemple, les informations secrètes utilisées sont la clé K _ma et le vecteur VI. Par exemple, chaque clé intermédiaire Kd _{i 20} est construite à l’aide de la relation suivante : Kd _{i 20} = f _ch (VI XOR Id, ; K _ma ), où :

- le symbole « XOR » désigne dans ce texte l'opération « ou exclusif »,

- VI XOR ldi est le résultat de l’opération « ou exclusif » entre le vecteur VI et la donnée caractéristique ldi, et

- f _ch est une fonction de chiffrement préenregistrée qui chiffre le résultat VI XOR Id , à l’aide de la clé K _ma .

[0038] Par exemple, la fonction f _ch est la fonction de chiffrement AES (« Advanced Encryption Standard »).

[0039] Chaque clé Kd _{i 20} construite est associée à l’indicateur RSSI de la donnée caractéristique Id, à partir de laquelle cette clé Kd _{i 20} a été construite. Par exemple, la clé Kd i _,2 o est ajoutée sur la ligne correspondante de la liste Le _2o .

[0040] Lors d’une étape 114, le cryptoprocesseur 56 détermine un nombre N _s d’émetteurs sans fil communs qui doivent aussi être détectés par le terminal 22 pour que les terminaux 20 et 22 soient considérés comme étant à proximité l’un de l’autre. Ici, ce nombre N _s est déterminé en fonction du nombre l ₂₀ de lignes de la liste Le ₂ o. Il est donc déterminé en fonction du nombre d’émetteurs sans fil à la portée du terminal 20. Le cas échéant, la détermination du nombre N _s permet également de prendre en compte la faculté de l’un au moins des terminaux 20 et 22 à se trouver émetteur sans fil sans se détecter lui-même comme tel. Par exemple, le cryptoprocesseur 56 utilise pour cela la table T _c suivante :

où :

- la première colonne contient tous les nombres l ₂₀ de lignes possibles pour la table Le ₂₀ ,

- la seconde colonne contient la valeur du nombre N _s associé à ce nombre de lignes,

- la troisième colonne indique le nombre maximal K _max de sous-ensembles différents contenant chacun N _s émetteurs sans fil qu’il est possible de construire lorsque la liste Le ₂₀ contient l ₂₀ lignes. Le sous-ensemble (Kdi _,20 , Kd _2,20 , ... Kd _Ns,2 o) est un exemple d'un sous-ensemble de l’ensemble des clés construites à l’étape 110, correspondant à un tel sous-ensemble d’émetteurs sans fil. En effet, ici, chaque clé Kd _{i 20} correspond à un seul émetteur sans fil respectif. Un sous-ensemble est différent d'un autre sous- ensemble lorsqu'il contient au moins une clé Kd _{i 20} qui n'est pas contenue dans l'autre sous-ensemble.

[0041] Lors d’une étape 116, le cryptoprocesseur 56 construit ensuite, à partir des sous-ensembles possibles, K clés KS _k , ₂₀ de chiffrement correspondantes. Plus précisément, chaque clé KS _k , ₂₀ est construite à partir de chacune des clés Kd _{i 20} d'un seul sous-ensemble correspondant. Par exemple, la clé KS _k , ₂₀ est construite à l’aide de la relation suivante : KS _k , ₂₀ = Kdii, ₂₀ XOR Kd _i2 , ₂₀ XOR ... XOR Kd _iNs,2 o, où Kdi _j , ₂₀ désigne une clé Kd _{i 20} respective du sous-ensemble. Autrement dit, la clé KS _k , ₂₀ est obtenue en réalisant un « ou exclusif » entre toutes les clés Kd _{ϋ 20} du sous-ensemble correspondant à cette clé KS _k,20 . Étant donné qu’il existe ici K _max sous-ensembles différents, à l’issue de l’étape 116, le cryptoprocesseur 56 a construit K _max clés KS _k , ₂₀ différentes. Autrement dit, dans ce mode de réalisation, K est égal à K _max .

[0042] Lors d’une étape 118, le cryptoprocesseur 56 obtient la clé KA ₂₀ à partager avec le terminal 22. Ici, par exemple, le cryptoprocesseur 56 génère la clé KA ₂₀ par tirage aléatoire ou pseudo-aléatoire.

[0043] Lors d’une étape 120, le cryptoprocesseur 56 chiffre la clé KA ₂ o avec chacune des clés KS _k,20 pour obtenir K cryptogrammes KA ₂₀ différents. Par exemple, lors de cette étape, chaque cryptogramme KA ₂₀ est obtenu à l’aide de la relation suivante : KA* _k,20 = f _Ch (KA ₂₀ ; KS _k,20 ). La fonction f _ch de chiffrement est par exemple la même que celle décrite précédemment.

[0044] Lors d’une étape 122, le cryptoprocesseur 56 construit une empreinte numérique KA ₂₀ -Check de la clé KA ₂₀ à l’aide d’une fonction de hachage, c'est-à-dire à l'aide d'une fonction dite à sens unique, c’est-à-dire en pratique non-inversible. Par exemple, l’empreinte KA ₂₀ -Check est construite à l’aide de la relation suivante : KA ₂₀ - Check = f _H (KA _2o ), où f _H ost une fonction de hachage. Par exemple, la fonction fn est la fonction connue sous le nom de SHA256.

[0045] Lors d’une étape 124, le terminal 20 transmet au terminal 22 un message de défi ou de « challenge ». Ce message contient notamment :

- le nombre N _s déterminé à l'étape 114,

- l’empreinte KA ₂₀ -Check construite à l'étape 122,

- les K cryptogrammes KA ₂₀ obtenus à l'étape 120.

[0046] Ce message est, par exemple, transmis au terminal 22 par l’intermédiaire du réseau 24.

[0047] En réponse au signal de synchronisation, le terminal 22 déclenche, At ₂₂ secondes après la réception de ce signal, l'exécution d'étapes 132 à 144. La durée At ₂₂ est choisie pour que les étapes 132 et 134 s'exécutent en même temps ou pratiquement en même temps que les étapes 102 et 104. Par exemple, à cet effet, ici, la durée At ₂₂ est choisie égale à la durée At ₂₀ . Les étapes 132 à 144 sont identiques, respectivement, aux étapes 102 à 114 sauf qu’elles sont exécutées par le terminal 22. En particulier, le premier jeu de critères de sélection utilisé lors de l’étape 142 est le même que celui utilisé lors de l’étape 112. Toutefois, comme illustré sur les figures 1 et 2, le terminal 22 n’est pas nécessairement situé au même emplacement que le terminal 20. Dans ces conditions, les données caractéristiques Id, extraites lors de l’étape 134 ne sont pas nécessairement les mêmes que celles extraites par le terminal 20. Ainsi, la liste Le ₂₀ construite par le terminal 22 ne contient pas nécessairement le même nombre de lignes et/ou les mêmes données caractéristiques extraites et/ou les mêmes étiquettes RSSI. Pour distinguer la liste Le ₂₀ du terminal 22 de celle du terminal 20, la liste Le ₂₀ du terminal 22 est notée « Le ₂₂ » par la suite. Le nombre de clés intermédiaires Kd _{i 20} construites et les clés intermédiaires Kd _{i 20} construites, par le terminal 22, lors de l'étape 144, ne sont pas nécessairement identiques à ceux du terminal 20. Par la suite, pour distinguer les clés Kdi _,20 construites par le terminal 22 de celles construites par le terminal 20, les clés intermédiaires construites lors de l'étape 144 sont notées « Kd _{i 22} » au lieu de « Kdi _,20 ». De même, le nombre de clés intermédiaires construites lors de l'étape 144 est noté l ₂₂ au lieu de l ₂₀ . Toujours à cause de ces différences, le nombre de clés KS _k,20 et les clés KS _k,20 que peut construire le terminal 22 ne sont pas nécessairement les mêmes que dans le cas du terminal 20. Par la suite, pour les distinguer, les clés KS _k,20 construites par le terminal 22 sont notées KS _m, 22. Le nombre de clés KS _m ,22 construites par le terminal 22 est noté « M » au lieu de « K ».

[0048] Lors d’une étape 150, le terminal 22 reçoit le message de défi.

[0049] En réponse à la réception de ce message de défi, lors d'une étape 152, le cryptoprocesseur du terminal 22 déchiffre chacun des cryptogrammes KA* _k,20 contenus dans ce message. Plus précisément, tant qu’un cryptogramme KA* _k,20 reçu n’a pas été correctement déchiffré, le cryptoprocesseur du terminal 22 réitère en boucle des opérations 154 à 160. Avant de procéder à la réitération des opérations 154 à 160, le cryptoprocesseur du terminal 22 sélectionne un cryptogramme KA ₂₀ parmi les K cryptogrammes KA* _k,20 reçus lors de l’étape 150

[0050] Lors de l'opération 154, le cryptoprocesseur du terminal 22 construit une nouvelle clé KS _m ,22 qui n’a pas déjà été utilisée pour essayer de déchiffrer le cryptogramme KA* _k,20 . Pour construire la clé KS _m, 22, le cryptoprocesseur du terminal 22 procède exactement de la même façon que ce qui a été décrit en référence à l’étape 116. Ainsi, lors de l’opération 154, chaque clé KS _m ,22 est construite à l’aide de la relation suivante : KS _m ,22 = Kdii _,22 XOR Kd _i2 , ₂ 2 XOR ... XOR Kd _iNs, 22, où Kd^ désigne une clé Kdi _,22 respective du sous-ensemble. Le nombre N _s utilisé pour construire les clé KS _m 22 est celui reçu lors de l'étape 150. Les clés Kd _k 22 utilisées sont celles construites lors de l'étape 144.

[0051] Étant donné que la liste Le ₂₂ ne contient pas nécessairement les mêmes données caractéristiques que la liste Le ₂₀ , les clés KS _m ,22 construites par le terminal 22 ne sont pas nécessairement les mêmes que les clés KS _k,20 construites par le terminal 20. Toutefois, si le terminal 22 est suffisamment à proximité du terminal 20, comme par exemple dans la situation représentée sur la figure 1, les listes Le ₂ o et Le ₂₂ comportent chacune au moins N _s données caractéristiques ld, identiques. Dans ce cas, au moins une des clés KS _m ,22 construites par le terminal 22 est identique à l’une des clés KS _k,20 construites par le terminal 20. Le terminal 22 est donc capable, uniquement dans ce cas, de déchiffrer correctement l’un des cryptogrammes KA* _k,20 reçus et ainsi obtenir la clé KA ₂₀ partagée avec le terminal 20.

[0052] À l’inverse, si les terminaux 20 et 22 sont suffisamment éloignés l’un de l’autre, comme dans la situation représentée dans la figure 2, les listes Le ₂ o et Le ₂₂ comportent chacune moins de N _s données caractéristiques identiques. Dès lors, aucune des clés KS _m ,22 construites par le terminal 22 n'est identique à l’une des clés KS _k,20 construites par le terminal 20. Dans cette situation, aucune des clés KS _m ,22 ne permet de déchiffrer correctement l’un des K cryptogrammes KA* _k,20 reçus. Le terminal 22 ne peut donc pas obtenir la clé KA ₂ o s’il est éloigné du terminal 20.

[0053] Lors de l'opération 156, le cryptoprocesseur du terminal 22 déchiffre le cryptogramme KA* _k,20 sélectionné avec la clé KS _m ,22 construite lors de l’opération 154. À l’issue de l’opération 156, il obtient une clé KA ₂₂ . Par exemple, cette opération est réalisée à l’aide de la relation suivante : KA ₂₂ = f _Ch ¹ (KA* _k,2 o ; KS _m, 22). La fonction de déchiffrement f _ch ¹ est l’inverse de la fonction f _ch précédemment décrite.

[0054] Lors de l'opération 158, le cryptoprocesseur du terminal 22 construit l’empreinte numérique KA ₂₂ -Check de la clé KA ₂₂ obtenue à l’issue de l’opération 156. Pour cela, la même fonction f _H de hachage que celle utilisée lors de l’étape 122 est mise en œuvre. Ici, l’empreinte KA ₂₂ -Check est donc construite selon la relation suivante : KA ₂₂ -Check = f _H (KA ₂₂ ).

[0055] Lors de l'opération 160, le cryptoprocesseur du terminal 22 compare l'empreinte KA ₂₂ -Check construite lors de l'opération 158 à l’empreinte KA ₂₀ -Check reçue lors de l'étape 150.

[0056] Si les empreintes KA ₂₂ -Check et KA ₂₀ -Check sont différentes, cela signifie que le cryptogramme KA ₂₀ n’a pas été correctement déchiffré. C’est typiquement ce qui se produit lorsque la clé KS _m ,22 utilisée pour déchiffrer le cryptogramme KA ₂₀ est différente de la clé KS _k,20 utilisée pour obtenir ce cryptogramme. Dans ce cas, le procédé retourne à l’opération 154. La réitération suivante des opérations 154 à 160 est exécutée avec une nouvelle clé KS _m, 22, construite lors de la nouvelle exécution de l’opération 154, qui n’a pas déjà été utilisée pour déchiffrer le cryptogramme KA* _k,20 sélectionné.

[0057] Si toutes les clés KS _m ,22 ont déjà été utilisées, sans succès, pour essayer de déchiffrer correctement le cryptogramme KA* _k,20 actuellement sélectionné, alors, lors d'une étape 162, le cryptoprocesseur du terminal 22 sélectionne, parmi les K cryptogrammes KA* _k,20 reçus lors de l'étape 150, un nouveau cryptogramme KA* _k,20 qui n'a pas déjà été sélectionné. Ensuite, les opérations 154 à 160 sont réitérées pour ce nouveau cryptogramme KA ₂₀ sélectionné.

[0058] Lors de l'étape 162, si les K cryptogrammes KA ₂₀ reçus lors de l'étape 150 ont tous déjà été sélectionnés, alors le procédé s'arrête. Dans ce cas, la clé KA ₂₀ n'est pas partagée entre les terminaux 20 et 22. En effet, le terminal 22 n’a réussi à déchiffrer correctement aucun des cryptogrammes KA* _k,20 reçus lors de l'étape 150, ni, donc, à obtenir la clé KA ₂₀ . Cela résulte du fait que ces deux terminaux 20 et 22 ne sont pas à proximité l'un de l'autre.

[0059] Si lors de l'opération 160, le cryptoprocesseur du terminal 22 détermine que les empreintes KA ₂₀ -Check et KA ₂₂ -Check sont identiques, le cryptogramme KA ₂₀ a été correctement déchiffré. Dans ce cas, la clé KA ₂₂ obtenue à l’issue de l’étape 156 est identique à la clé KA ₂₀ . Le procédé se poursuit alors par une opération 164.

[0060] Lors de l’opération 164, le cryptoprocesseur du terminal 22 mémorise la clé KA ₂₂ comme étant la clé partagée avec le terminal 20. De plus, ici, lors de l’opération 164, le terminal 22 envoie un message au terminal 20 pour lui indiquer qu’il dispose maintenant lui aussi de la clé KA ₂₀ .

[0061] Ensuite, le procédé se poursuit par une phase 170 d’échanges sécurisés d’informations. Par exemple, lors de la phase 170, les terminaux 20 et 22 établissent une liaison sécurisée d’échanges d’informations entre eux. Pour cela, le cryptoprocesseur 56 chiffre avec la clé KA ₂₀ les informations transmises au terminal 22, par exemple par l’intermédiaire du réseau 24, et le terminal 22 déchiffre ces informations reçues avec sa clé KA ₂₂ . Lors de cette phase 170, de façon réciproque, les informations transmises du terminal 22 vers le terminal 20 sont chiffrées avec la clé KA ₂₂ et le cryptoprocesseur 56 déchiffre ces informations à l’aide de la clé KA ₂₀ .

[0062] De préférence, les étapes 100 à 152 sont réitérées à intervalles réguliers pour s’assurer que le terminal 22 est toujours à proximité du terminal 20. Par exemple, l’intervalle régulier est inférieur à 24 heures ou 4 heures ou 1 heure ou 30 minutes.

[0063] La figure 5 présente un procédé identique au procédé de la figure 4 sauf que les étapes 116 et 152 sont remplacées, respectivement, par des étapes 166 et 172. Pour simplifier la figure 5, seules les étapes 166 et 172 ont été représentées. Les pointillés sur les figures 5 à 7 indiquent que les autres étapes du procédé n’ont pas été représentées.

[0064] L’étape 166 est identique à l’étape 116 sauf que le cryptoprocesseur 56 sélectionne un nombre K de sous-ensembles strictement inférieur au nombre maximum K _max de sous-ensembles possibles. Pour cela, le cryptoprocesseur 56 utilise un second jeu prédéterminé de critères de sélection.

[0065] Par exemple, ici, ce second jeu comporte un seul critère de sélection qui impose que chacun des K sous-ensembles sélectionnés comporte :

- N _h clés Kdi _,20 associées à un indicateur RSSI supérieur à un premier seuil prédéterminé P _h , et

- N _s -N _h clés Kd i, _2o associées à un indicateur RSSI inférieur à un second seuil P _f .

Le seuil P _f est inférieur ou égal au seuil P _h . Par exemple, ici, les seuils P _h et P _f sont égaux à -50 dBm. Ainsi, chacun des K sous-ensembles sélectionnés pour construire une clé KS _k,20 comporte :

- N _h clés Kdi _,20 obtenues à partir de données caractéristiques Id, extraites d’ondes électromagnétiques reçues de forte puissance, c’est-à-dire de puissance supérieure à Ph, et

- N _s -N _h clés Kd i, _2o obtenues à partir de données caractéristiques ldi extraites d’ondes électromagnétiques de faible puissance, c’est-à-dire de puissance inférieure à P _f .

[0066] Par exemple, N _h est une constante prédéterminée ou, de préférence, déterminée en fonction du nombre de lignes l ₂₀ de la liste Le ₂₀ .

[0067] Ainsi, chacun des K clés KS _k,20 est construite à l’aide de la relation suivante : KS _k,20 = Ksi XOR Ks ₂ XOR ... XOR Ks _Ns-Nh XOR Khi XOR ... XOR Kh _Nh , où :

- KSi est une clé Kd _{i 20} obtenue à partir d’une donnée caractéristique ld, extraite d’ondes électromagnétiques reçues dont la puissance est inférieure au seuil P _f , et

- Khi est une clé Kd _{i 20} obtenue à partir des données caractéristiques Id, extraites d’ondes électromagnétiques reçues de puissance supérieure ou égale au seuil P _h .

[0068] Le terminal 20 transmet, par exemple lors de l'étape 124, le nombre N _h au terminal 22. Par exemple, le nombre N _h est contenu dans le message de défi.

[0069] L’étape 172 est identique à l’étape 152, sauf que l’opération 154 est remplacée par une opération 178.

[0070] Lors de l’opération 178, le cryptoprocesseur du terminal 22 utilise le même second jeu de critères de sélection pour sélectionner les sous-ensembles à partir desquels il construit les clés KS _m, 22.

[0071] La figure 6 représente un procédé identique au procédé de la figure 4 sauf que l’étape 110 est remplacée par une étape 190. De façon similaire, l'étape 140 est remplacée par une étape 192.

[0072] Lors de l’étape 190, chaque clé Kd _{i 2} o est en plus construite à partir d’une donnée qui varie à chaque fois que l’étape 110 est exécutée. Ainsi, même si les données caractéristiques Id, extraites sont les mêmes, chaque nouvelle exécution de l’étape 190 conduit à construire des clés Kdi _,20 différentes. Par exemple, à cet effet, lors de l’étape 190, un nouveau vecteur VI est tiré aléatoirement ou pseudo- aléatoirement puis, ce nouveau vecteur VI est transmis au terminal 22. Par exemple, le nouveau vecteur VI est incorporé au message de défi transmis au terminal 22. L'étape 192 est exécutée qu'après avoir reçu le nouveau vecteur VI. L'étape 192 est identique à l'étape 140 sauf qu'elle utilise le nouveau vecteur VI reçu pour construire chacune des clés Kdi _,22 .

[0073] Grâce à cela, à chaque nouvelle exécution de l'étape 116, les clés KS _k,20 construites sont différentes de celles construites lors des précédentes exécutions de l'étape 116. Dès lors, il n’est plus possible d'essayer d'exploiter le fait que les clés KS _k,20 restent inchangées à chaque itération des étapes 102 à 116 pour obtenir la clé KA ₂₀ alors que les terminaux 20 et 22 ne sont pas à proximité l'un de l'autre. En effet, dans le cas où les clés KS _k,20 restent inchangées tant que son environnement électromagnétique reste inchangé, un terminal pirate peut essayer d’enregistrer les clés KS _m ,22 construites lors d'une précédente itération de l'étape 152. Puis, pour les exécutions suivantes de l'étape 152, au lieu de construire les clés KS _m ,22 à partir des données caractéristiques extraites de l'environnement électromagnétique actuel de ce terminal pirate, il utilise les clés KS _m ,22 enregistrées afin de déchiffrer les cryptogrammes KA* _k,20 reçus. Une telle fraude, bien que très difficile à mettre en œuvre, permettrait au terminal pirate d’établir la clé KA ₂₂ partagée même si celui-ci a été éloigné du terminal 20 et à condition que les émetteurs sans fil à la portée du terminal 20 restent inchangés.

[0074] La figure 7 représente un procédé identique au procédé de la figure 5 sauf que l'étape 166 est remplacée par une étape 200 et une étape 202 est insérée entre les étapes 150 et 172. Dans ce mode de réalisation, les seconds jeux de critères de sélection préenregistrés dans les terminaux 20 et 22 sont identiques et comportent chacun plusieurs critères de sélection possibles.

[0075] Lors de l’étape 200, un nombre N _a est tiré aléatoirement ou pseudo- aléatoirement. Ensuite, toujours lors de cette étape 200, ce nombre N _a est utilisé pour choisir dans le second jeu de critères de sélection, le critère qui va être utilisé pour sélectionner les sous-ensembles utilisés pour construire les clés KS _k,20 . Ce nombre N _a est également transmis au terminal 22 avant que débute l’exécution de l'étape 172.

[0076] Ensuite, à partir du nombre N _a reçu et en appliquant le même algorithme de choix que celui mis en œuvre par le terminal 20, lors de l'étape 202, le terminal 22 choisit, dans le second jeu de critères de sélection, un critère de sélection. Ensuite, ce critère de sélection est mis en œuvre lors de l'opération 178 pour sélectionner les sous-ensembles utilisés pour construire les clés KS _m, 22. Étant donné que le terminal 22 utilise le même nombre N _a et le même algorithme de choix, il choisit le même critère de sélection que celui utilisé par le terminal 20. Comme dans le procédé de la figure 6, cela permet de faire varier les clés KS _k,20 même si l'environnement électromagnétique du terminal 20 reste inchangé lors de chaque réitération de l'étape 200.

[0077] Chapitre II : Variantes :

[0078] Dans l'ensemble des variantes décrites ici, l'homme du métier comprend que lorsque des modifications du procédé exécuté par le terminal maître sont proposées, généralement, des modifications correspondantes doivent être réalisées sur le terminal esclave. Ainsi, dans la suite de ce chapitre, seules les modifications soit du terminal maître soit du terminal esclave sont décrites.

[0079] Chapitre II .1 : Variantes des opérations de chiffrement :

[0080] Il existe de nombreuses fonctions de chiffrement et de déchiffrement utilisables dans les modes de réalisation décrits ici. Par exemple, dans un mode de réalisation simplifié, la fonction de chiffrement est simplement un « ou exclusif » entre la clé KA ₂₀ et les données caractéristiques Id, extraites ou les clés Kd _{i 20} ou la clé KS _k,20 .

[0081] De nombreuses méthodes sont possibles pour générer la clé KS _k,20 à partir des données caractéristiques Id, extraites. Par exemple, dans un mode de réalisation simplifié, chaque clé KS _k,20 est construite à l’aide de la relation suivante : KS _k,20 = Id _ü XOR ld _i2 XOR ... XOR Id _ÎNS - Dans ce cas, les clés intermédiaires Kd _,2o ne sont pas utilisées et la clé K _ma et le vecteur VI peuvent être omis. Dans une autre variante, la clé KS _k,20 est construite à l’aide de la relation suivante : KS _k,20 = f _Ch (ldii XOR ld _i2 XOR ... XOR Id _ÎNS ! K _ma ). Dans ce cas, les étapes de construction des clés intermédiaires Kd i _,2o peuvent être omises.

[0082] La clé K _ma peut être commune à tous les terminaux.

[0083] La clé intermédiaire Kd _{i 20} peut être construite différemment. Par exemple, la clé Kd i _,2 o peut aussi être construite à l’aide de la relation suivante ! Kd _k2 o— f _ch (K _ma ; VI XOR Id,). Dans ce cas, c’est la clé K _ma qui est chiffrée en utilisant comme clé le résultat de l’opération VI XOR Id,. Il existe bien sûr de nombreuses autres possibilités pour obtenir la clé Kdi _,20 à partir de la donnée caractéristique Id, et d'une information secrète. Par exemple, l’utilisation du vecteur VI peut être omise.

[0084] Dans tous les modes de réalisation, l’opération XOR peut être remplacée par n’importe quelle opération commutative comme par exemple l’opération NAND.

[0085] L’étape 110 peut être omise. Dans ce cas, les clés KS _k,20 sont directement construites à partir des données caractéristiques Id, sans qu’une information secrète, telle que la clé K _ma ou le vecteur VI, soit utilisée.

[0086] En variante, la clé KA ₂₀ est obtenue différemment. Par exemple, au lieu d’être générée par tirage aléatoire ou pseudo-aléatoire, elle est préenregistrée dans une mémoire non volatile du premier terminal. Dès lors, l’obtention de la clé KA ₂₀ consiste simplement à lire la clé KA ₂₀ dans cette mémoire non volatile. Dans une autre variante, la clé KA ₂₀ est générée à partir des données caractéristiques Id, extraites. En fait, les procédés de partage de la clé KA ₂ o décrits ici s’appliquent quelle que soit la méthode d’obtention de la clé KA ₂₀ .

[0087] Variantes des jeux de critères de sélection :

[0088] D’autres modes de réalisation du premier jeu de critères de sélection sont possibles. Le premier jeu peut comporter d’autres critères de sélection en plus ou à la place du critère de sélection en fonction de l'indicateur RSSI. Par exemple, en variante, il comporte un critère de sélection qui exclut de la liste Le _20r tous les émetteurs sans fil fabriqués par un fabricant particulier. Dans un autre exemple, il comporte un critère de sélection tel que le terminal sélectionne de préférence les données caractéristiques Id, d’émetteurs sans fil dont les fabricants appartiennent à une liste préenregistrée de fabricants connus. De même, plusieurs critères de sélection différents peuvent être combinés. Dans ce dernier cas, les différents critères de sélection peuvent être pondérés, les uns par rapport aux autres, à l’aide de coefficients de pondération.

[0089] Le premier jeu peut aussi comporter un critère de sélection qui élimine systématiquement chaque donnée caractéristique Id, extraite d’une onde électromagnétique reçue dont la puissance est inférieure à un seuil prédéterminé P _f . Par exemple, le seuil P _f est égal à -70 dBm.

[0090] Lors de la mise en œuvre du critère de sélection du second jeu, pour sélectionner les N _s - N _h clés Kdi _,20 , le critère de sélection peut être de sélectionner les N _s - N _h clés Kd i _,20 construites à partir de données caractéristiques Id, extraites d’ondes électromagnétiques reçues de puissance comprise dans [P _m ; P _h [, où P _m est un seuil prédéterminé strictement inférieur à P _h . Pour sélectionner les N _h clés Kd _{i 20} , le critère de sélection peut être de sélectionner ces N _h clés Kd _{i 20} dans un sous-ensemble contenant uniquement les N _h clés Kdi _,20 associées aux N _h adresses MAC les plus grandes. N _h est strictement inférieur à N _s et, de préférence, supérieur à deux. Ce critère de sélection est un premier exemple de critère de sélection qui ne dépend pas de la puissance des ondes électromagnétiques reçues. De façon plus générale, toute autre méthode susceptible de mener de manière déterministe à la même sélection de clés Kdi _,20 par les terminaux 20 et 22 lorsque ces terminaux 20 et 22 sont situés au même emplacement est acceptable.

[0091] En variante, le nombre N _h est une constante préenregistrée dans chaque terminal, par exemple lors de la fabrication. Dans ce cas, le nombre N _h n’a pas besoin d’être transmis au terminal 22.

[0092] Dans d’autres variantes, les critères de sélection du second jeu ne prennent pas en compte la puissance des ondes électromagnétiques reçues. Par exemple, les clés Kdi _,20 sont classées par ordre croissant ou décroissant d’adresse MAC et seuls les sous-ensembles contenant exclusivement des clés Kd _{i 20} appartenant à la première moitié de ce classement sont sélectionnées. Les clés Kd _{i 20} peuvent aussi être classées par ordre croissant ou décroissant d’une empreinte numérique f _H (@MACi) au lieu d'utiliser directement leur adresse MAC, où @MAC, est l’adresse MAC associée à la clé Kdi _,20 . Dans une autre variante, après avoir été classé par ordre croissant ou décroissant d’adresses MAC ou d’indicateur RSSI, seules les sous-ensembles contenant uniquement des clés Kdi _,20 de rang pair ou de rang impair dans ce classement sont sélectionnés.

[0093] Le second jeu de critères de sélection peut comporter, en plus ou à la place, d’autres critères de sélection que ceux déjà décrits précédemment. Par exemple, à la place de comporter un critère de sélection qui sélectionne uniquement les sous- ensembles qui ont N _h clés Kd _,20 obtenues à partir de données caractéristiques ld, extraites d’ondes électromagnétiques de forte puissance, le second jeu comporte un critère de sélection qui sélectionne uniquement les sous-ensembles dans lesquels :

- N _sh clés Kdi _,20 sont obtenues à partir de données caractéristiques Id, extraites d’ondes électromagnétiques de puissance supérieure à -50 dBm ;

- N _sb clés Kdi _,20 sont obtenues à partir de données caractéristiques Id, extraites d’ondes électromagnétiques de puissance comprise entre -60 dBm et -50 dBm ;

- N _sm clés Kdi _,20 sont obtenues à partir de données caractéristiques ld, extraites d’ondes électromagnétiques de puissance comprise entre -70 dBm et -60 dBm, et

- N _sf clés Kdi _,20 sont obtenues à partir de données caractéristiques Id, extraites d’ondes électromagnétiques de puissance inférieure à -70 dBm.

[0094] Variantes de la détermination du nombre N. :

[0095] Le nombre N _s peut être déterminé différemment. Par exemple, dans un mode de réalisation simplifié, N _s est une constante égale à un.

[0096] En variantes, le terminal 20 ne transmet pas au terminal 22 le nombre N _s . Dans ce cas, le terminal 22 doit en plus essayer successivement les différentes valeurs possibles du nombre N _s . Cela conduit le terminal 22 à construire des clés KS _{m, 22} successivement à partir d’une seule clé Kd ₂₂ , puis de deux clés Kd ₂₂ , puis de trois clés Kd _{i 22} jusqu’à un seuil N _smax prédéterminé pour le nombre N _s .

[0097] Dans une autre variante, le nombre N _s est une constante. Par exemple, le nombre N _s peut être enregistré dans tous les terminaux lors de la fabrication. Dans ce mode de réalisation, il n’est pas nécessaire de transmettre le nombre N _s au terminal 22 lors de l’étape 124. Ce mode de réalisation est notamment utilisable dans le cas où le nombre d’émetteurs sans fil dans l’environnement de chacun des terminaux est une constante connue à l’avance.

[0098] Autres variantes :

[0099] L'étape 100 peut être omise. Dans ce cas, le déclenchement des étapes 102, 104 et 132, 134 se fait de manière asynchrone, c'est-à-dire sans que ces déclenchements soient synchronisés temporellement entre eux.

[00100] Dans une autre variante, c'est le message de défi qui remplit en plus la fonction de signal de synchronisation. Dans ce cas, les étapes 132 à 144 sont déclenchées uniquement en réponse à la réception du message de défi.

[00101] Le procédé ci-dessus peut aussi être utilisé pour partager une clé entre plus de deux terminaux. Pour cela, le terminal 20 transmet le message de défi à un troisième terminal en plus du terminal 22. Ensuite, ce troisième terminal exécute les mêmes opérations et mêmes étapes que le terminal 22 pour établir la clé KA ₂₀ partagée avec les terminaux 20 et 22.

[00102] Les modes de réalisation décrits ici peuvent facilement être adaptés pour exploiter la présence, à proximité des terminaux d’autres émetteurs sans fil que ceux d’un réseau WIFI. Par exemple, ce qui a été décrit ici s’applique à des réseaux Bluetooth ou LoRa ou tout autre réseau support de l’IoT (pour « Internet of Things », en anglais), ou Internet des objets. En particulier, un même ensemble peut comporter des émetteurs sans fil compatibles avec différents standards. Par exemple, dans un même ensemble d'émetteur sans fil, il peut exister à la fois des émetteurs WIFI et des émetteurs Bluetooth. Dans ce cas, les terminaux sont équipés à la fois d’un émetteur- récepteur WIFI et d’un émetteur-récepteur Bluetooth de sorte qu’une partie des clés Kd i, ₂ o est construite à partir de données caractéristiques d’émetteurs WIFI et une autre partie des clés Kd _{i 2} o est construite à partir de données caractéristiques d’émetteurs Bluetooth. Ainsi, dans ce mode de réalisation, la présence simultanée de plusieurs émetteurs sans fil conforme à des standards différents est exploitée pour s’assurer de la proximité des terminaux.

[00103] En variante, en réponse à la réception du message de défi, le terminal 22 déclenche une minuterie qui décompte une durée Dl. Lorsque la durée DI s’est écoulée, le cryptoprocesseur du terminal 22 interrompt systématiquement l’exécution de l’étape 152 même si la clé KA ₂₂ partagée n’a pas encore été obtenue. De préférence, la durée Dl est initialisée en fonction du nombre N _s .

[00104] Les clés KS _k , ₂₀ peuvent aussi être construites en prenant en compte d’autres informations locales. Par exemple, dans le cas où les terminaux 20 et 22 sont également raccordés à un même réseau local filaire, le terminaux 20 et 22 relèvent les adresses MAC de tous les appareils raccordés à ce réseau filaire local. Ensuite, le terminal 20 génère chaque clé KS _k,2 o en prenant en compte en plus, par exemple, les adresses MAC relevées. Par exemple, à cet effet, le cryptoprocesseur additionne les unes aux autres les adresses MAC relevées. Ensuite, il combine la somme ainsi obtenue avec chacune des clés KS _k , ₂₀ construite, par exemple à l’aide d’une opération « ou exclusif », pour obtenir une nouvelle clé KS _k , ₂₀ qui est ensuite utilisée à la place de la précédente clé KS _k,20 . Dès lors, le terminal 22 ne peut déchiffrer correctement le cryptogramme KA* _k , ₂₀ que s’il se trouve en plus raccordé au même réseau filaire que le terminal 20.

[00105] Un émetteur sans fil peut être un répéteur de signaux sans fil émis par un autre émetteur sans fil source. Dans ce cas, les signaux émis par le répéteur comportent la même étiquette SSID que ceux émis par l'émetteur sans fil source. Par contre, l'adresse MAC du répéteur est différente de celle de l'émetteur sans fil source.

[00106] En variante, le cryptoprocesseur 56 est omis. Dans ce cas, l'ensemble des étapes est exécuté par le microprocesseur 50.

[00107] En variante, le terminal 20 est uniquement configuré pour jouer le rôle de terminal maître et le terminal 22 est uniquement configuré pour jouer le rôle de terminal esclave. Ainsi, dans ce mode de réalisation, les rôles des terminaux 20 et 22 ne peuvent pas être interchangés.

[00108] En variante, les terminaux 20 et 22 communiquent entre eux par l’intermédiaire des émetteurs sans fil. Dans ce cas, le réseau 24 est le réseau WIFI supporté par le signal émis par l’un des émetteurs sans fil qui est à la fois à la portée des terminaux 20 et 22. Dans une autre variante, le réseau 24 est un réseau WIFI supporté par un signal émis par l'un des terminaux 20, 22.

[00109] Les sensibilités de tous les terminaux ne sont pas nécessairement identiques. Par exemple, en variante, les seuils P _min des terminaux 20 et 22 sont différents. Dans, ce cas, le seuil de sensibilité du terminal 20 est noté P _min 2o et le seuil de sensibilité du terminal 22 est noté P _min 22.

[00110] Le seuil L _max utilisé par terminal 22 peut être différent du seuil L _max utilisé par le terminal 20. Dans ce cas, les seuils L _max des terminaux 20 et 22 sont notés, respectivement, Lm _axi et Lm _ax2 -

[00111] D’autres données caractéristiques que l’adresse MAC des émetteurs sans fil sont utilisables pour mettre en œuvre les procédés décrits ici. Par exemple, en variante, la donnée caractéristique ne comporte pas l'adresse MAC mais l'identifiant du réseau connu sous l’acronyme SSID et/ou le nom du fabricant de l’émetteur sans fil. La donnée caractéristique peut aussi être une combinaison de plusieurs données caractéristiques extraites des ondes électromagnétiques reçues.

[00112] De préférence, le nombres K est inférieur aux nombres N. Toutefois, dans les modes de réalisation où N _s est supérieure à deux ou trois, le nombre K peut être supérieur au nombre N.

[00113] Chapitre III : Avantages des modes de réalisation décrits ici

[00114] Dans les procédés décrits ici, les terminaux 20 et 22 ne peuvent réussir à établir une clé cryptographique partagée que si ces terminaux sont à proximité l’un de l’autre. En effet, s’ils sont éloignés l’un de l’autre, les émetteurs sans fil situés à la portée du terminal 20 sont alors différents de ceux situés à la portée du terminal 22. Dans ces conditions, les données caractéristiques Id, extraites des ondes électromagnétiques émises par les émetteurs sans fil à la portée du terminal 20 ne sont pas les mêmes que celles extraites par le terminal 22. Dans ce cas, le terminal 22 ne peut pas construire une clé KS _m ,22 identique à l’une des clés KS _k, 2o construites par le terminal 20. Dès lors, le terminal 22 est incapable de déchiffrer correctement le cryptogramme KA* _k20 reçu et ne peut donc pas obtenir la clé KA ₂₀ partagée.

[00115] Ce procédé présente également de nombreux autres avantages. En particulier, ce procédé est fiable car pour déterminer la proximité des terminaux :

- il n’est pas nécessaire de mesurer le temps de propagation des signaux échangés entre ces terminaux,

- il n’est pas nécessaire d’exploiter un paramètre des trames d’informations échangées entres les terminaux représentatifs du nombre de nœuds que traverse cette trame d’informations avant d’atteindre l’autre terminal. Un tel paramètre est souvent connu sous le terme de « time to live » dans le protocole IP. - il n’est pas nécessaire d’exploiter l’adresse IP affectée aux terminaux.

[00116] Le temps de propagation, les paramètres des trames d’informations échangées entre les terminaux ainsi que les adresses IP de ces terminaux sont des éléments qui peuvent facilement être modifiés pour laisser croire que ces terminaux sont à proximité l’un de l’autre.

[00117] Les procédés décrits permettent aussi d’établir une clé cryptographique partagée entre plus de deux terminaux. Il n’est pas non plus nécessaire qu’un canal de communication soit établi entre les deux terminaux avant que la clé partagée soit générée.

[00118] Le fait de synchroniser l’extraction par les terminaux des données Id, permet de rendre le procédé moins sensible à l’ajout ou à la suppression d’émetteurs sans fil.

[00119] L’utilisation de l’adresse MAC en tant que donnée caractéristique augmente la fiabilité du procédé car l’adresse MAC d’un émetteur sans fil est difficilement modifiable et, en tout état de cause, plus difficilement modifiable qu’une étiquette SSID.

[00120] Limiter le nombre de données caractéristiques Id, utilisées permet d’accélérer l’exécution des étapes suivantes.

[00121] Limiter le nombre de clé KS _k,20 en fonction d’un critère de sélection qui tient compte de la puissance des ondes électromagnétiques reçues permet de limiter encore plus la distance maximale D _max qui peut séparer deux terminaux pour que ceux-ci soient encore considérés comme étant à proximité l’un de l’autre. En effet, dans ce cas, non seulement les terminaux 20 et 22 doivent détecter les mêmes émetteurs sans fil mais en plus les puissances des ondes électromagnétiques reçues de ces émetteurs sans fil doivent être similaires.

[00122] Le fait de construire le cryptogramme KA* _k, 2o uniquement à partir d’une combinaison de plusieurs données caractéristiques extraites impose que pour pouvoir établir la clé partagée, le terminal 22 doit aussi être à proximité de ces N _s émetteurs sans fil. Cela diminue la distance maximale D _max . Cela rend également plus difficiles les attaques qui consisteraient à essayer de reproduire l’environnement du terminal 20 autour du terminal 22.

[00123] Imposer l'utilisation de N _h données caractéristiques ld, extraites d’ondes électromagnétiques de puissance supérieure à P _h , et N _s - N _h données caractéristiques extraites d’ondes électromagnétiques de puissance inférieure à P _f diminue encore plus la distance D _max . De plus, cela diminue le nombre de clés KS _k,20 , ce qui accélère l’exécution du procédé.

[00124] Choisir les critères de sélection du premier ou du second jeu en fonction d’un nombre aléatoire ou pseudo-aléatoire permet de renouveler les clés KS _k,20 même si les émetteurs sans fil dans l’environnement du terminal 20 restent inchangés.