1/ invention concerne un premier procédé pour administrer une communication sécurisée entre deux dispositifs électroniques, ledit premier procédé étant mis en œuvre par un serveur gestionnaire de communications bilatérales entre une pluralité de dispositifs susceptibles d'échanger des messages de données et/ou d' actions .

L' invention concerne en outre un deuxième procédé pour mettre en œuvre une telle communication bilatérale sécurisée par chacun des deux dispositifs électroniques autorisés à établir une communication bilatérale sécurisée. Un tel deuxième procédé est mis en œuvre par une unité de traitement de chaque dispositif électronique communiquant avec l'un de ses pairs, avantageusement, mais de manière non limitative, au travers d'un réseau de communication sans fil.

L' invention concerne en outre troisième procédé pour adapter un tel dispositif électronique, consistant à lui associer éventuellement un module électronique afin que ledit dispositif électronique délègue, audit module de sécurité, tout ou partie des opérations nécessaires à la mise en œuvre d'une telle communication bilatérale sécurisée. Un tel module de sécurité peut consister en une entité physiquement distincte du dispositif électronique auquel il est associé, lesdites entités coopérant par toute liaison filaire ou sans fil ou bien, en un ensemble d'extensions logicielles et/ou matérielles de ressources d'enregistrement et/ou de ressources calculatoires d'ores et déjà intégrées dans ledit dispositif électronique ainsi adapté .

L' invention concerne également un système comportant une pluralité de dispositifs électroniques, voire une pluralité de modules de sécurité respectivement associés à tout ou partie desdits dispositifs électroniques, mettant en œuvre un tel deuxième procédé afin d'assurer une communication bilatérale sécurisée et au moins un serveur gestionnaire de telles communications bilatérales sécurisées entre dispositifs électroniques.

A titre d'exemple d'application préféré mais non limitatif, l'invention sera décrite au travers d'un exemple d'application relatif à la collecte de grandeurs physiques, telles que, par exemple, une température, un taux d'humidité, une intensité lumineuse, une fréquence de vibration, un choc, etc., en lien avec un environnement interne et/ou un environnement externe d'un lieu de vie, tel qu'une maison dotée d'un système assurant un service de domotique pilotant des actionneurs à commandes électroniques, comme par exemple un moteur d'un volet roulant, un groupe de chauffage et/ou compresseur d'une climatisation. L'invention pourra toutefois s'appliquer à tout autre domaine d'application, comme, selon un exemple non limitatif, le domaine de l'automobile ou plus généralement du transport de personnes ou de marchandises, pour lequel différents organes électroniques d'un véhicule sont mis en relation pour délivrer un service d'assistance au conducteur dudit véhicule.

Il existe d'ores et déjà différentes solutions pour mettre en œuvre une communication sécurisée entre deux dispositifs électroniques. Toutefois, celles-ci présentent des inconvénients et/ou des limitations.

Selon un premier exemple de solution, ladite solution étant connue sous la terminologie de « chiffrement/déchiffrement asymétrique », un identificateur unique IDi et une paire, ou un couple, de clés SKi et PKi, respectivement secrète et privée sont dédiés à tout premier dispositif électronique Di apte à échanger avec un deuxième dispositif électronique Dj , ledit premier dispositif électronique étant le i ^ème dispositif électronique dans un écosystème comportant une pluralité de n dispositifs électroniques, tel que i est un entier strictement supérieur à 1. Ledit deuxième dispositif électronique Dj comporte lui aussi un identificateur unique IDj et une paire de clés SKj et PKj , respectivement secrète ou privée.

Il suffit alors qu'un premier dispositif électronique Di publie sa clé publique PKi au sein de l'écosystème pour pouvoir, par exemple, signer un message destiné à tout autre deuxième dispositif électronique Dj à l'aide de sa clé privée SKi. Un tel deuxième dispositif électronique Dj réceptionnant un tel message signé, si ce dernier connait la clé publique PKi du premier dispositif électronique Di émetteur dudit message signé, peut alors vérifier la signature dudit premier dispositif électronique Di à l'aide de la valeur de ladite clé publique PKi, et ainsi s'assurer que ledit premier dispositif électronique Di est bien l'éditeur dudit message.

En outre, si ledit premier dispositif électronique Di connaît, réciproquement, la clé publique PKj d'un deuxième dispositif électronique Dj , il peut adresser un message que seul se dernier pourra décoder, ledit message étant éventuellement signé comme évoqué précédemment. Pour cela, ledit premier dispositif électronique Di peut chiffrer le contenu dudit message en exploitant la valeur de ladite clé publique PKj . Ledit deuxième dispositif électronique Dj , destinataire dudit message chiffré par le premier dispositif électronique Di, pourra seul déchiffrer ledit message à l'aide de la valeur de sa clé secrète SKj connue de lui-seul.

Bien que permettant de prévenir la lecture de certains messages par des dispositifs non destinataires, une telle première solution présente différents inconvénients.

Tout d'abord, la transmission ou la diffusion des clés publiques, telle que les clés PKi et PKj précédemment citées, n'est pas sécurisée ou restreinte à certains dispositifs électroniques, lesdites clés publiques étant publiées à tout dispositif électronique en capacité d'écoute. Dans certains cas, lesdites clés peuvent même être retransmises à des dispositifs électroniques tiers. Ainsi, un tiers malveillant peut se positionner entre un premier dispositif électronique Di émetteur de sa clé publique PKi et les dispositifs électroniques DI à Dn qui sont supposés être les seuls à connaître la valeur de ladite clé publique PKi, et diffuser de fausses clés publiques à ces derniers. Ledit tiers malveillant peut ainsi intercepter des communications, en usurpant l'identité du premier dispositif électronique Di diffuseur de sa clé publique PKi, créant ainsi une attaque connue de l'homme du métier, spécialiste en cryptographie, sous le terme « d'homme du milieu ». Pour résoudre cet inconvénient, une deuxième solution connue consiste à transmettre la valeur de ladite clé publique PKi et l'identificateur unique IDi d'un premier dispositif électronique Di à un ou plusieurs deuxièmes dispositifs électroniques Dj , sous la forme d'un certificat électronique établi par un tiers de confiance, en l'espèce un serveur gestionnaire ou plus généralement une autorité de certification réputée fiable et sûre. De tels certificats peuvent être stockés sur un ou plusieurs serveurs de clés. Ainsi, contrairement à la première solution, lorsqu'un premier dispositif électronique Di souhaite communiquer la valeur de sa clé publique PKi à un ou plusieurs deuxième dispositifs électroniques Dj , ledit premier dispositif électronique Di s'adresse, dans un premier temps, à l'autorité de certification en lui communiquant son identificateur unique IDi et la valeur de sa clé publique PKi. Ladite autorité de certification peut comporter elle aussi une clé secrète SKac et une clé publique PKac. Ledit message transmis par le premier dispositif électronique Di peut donc être chiffré par ce dernier à l'aide de la valeur de ladite clé publique PKac, de ladite autorité ou bien simplement signé pour en vérifier l'intégrité. Cette dernière peut ainsi, selon le mode de réalisation précédemment évoqué, déchiffrer le message, à l'aide de la valeur de sa propre clé secrète SKac, et connaître les valeurs IDi et PKi transmises par ledit premier dispositif électronique Di. L'autorité de certification encode celles-ci sous la forme d'un certificat électronique signé et transmet ce dernier à tout deuxième dispositif électronique Dj qui en ferait la demande, voire publie à tous deuxièmes dispositifs électroniques Dj qui lui sont connectés. En variante, ledit premier dispositif électronique Di peut lui-même si celui- ci le connaît, transmettre à un deuxième dispositif électronique Dj ledit certificat, en lieu et place de l'autorité de certification.

Cette deuxième solution répond à l'attaque de l'homme du milieu. Toutefois, tout deuxième dispositif électronique Dj ayant eu connaissance, quel qu'en soit le moment, du certificat encodant des données d'indentification IDi et PKi notamment d'un premier dispositif électronique Di, peut établir une communication avec ce dernier. En outre, la bande passante nécessaire à la transmission desdits certificats est conséquente et peut être pénalisante pour certaines applications, notamment si les moyens de communication des différents acteurs qui échangent un grand nombre d' informations ont des ressources limitées. Par ailleurs, les dispositifs électroniques échangeant des messages de données et/ou d' actions en exploitant le principe du chiffrement/déchiffrement asymétrique, une fois en connaissance des données d'identification des pairs, grèvent encore ladite bande passante au sein du réseau de communication .

Une troisième solution consiste à alléger ladite bande passante en permettant à des premier et deuxième dispositifs électroniques Di et Dj de communiquer entre eux selon un procédé de chiffrement/déchiffrement symétrique, à l'issue d'un procédé d'échange de certificats tel qu'évoqué précédemment. Un tel procédé de chiffrement/déchiffrement symétrique se substitue au procédé de chiffrement/déchiffrement asymétrique utilisant directement les clés publique et secrète PKi, SKi, ou encore PKj , SKj pour chiffrer et déchiffrer les messages échangés entre des premier et deuxième dispositifs électroniques Di et Dj . Pour cela, selon ladite troisième technique connue sous l'appellation Diffie-Hellman, résultant de l'association des patronymes de ses créateurs, il est possible, sans échanger directement entre les deux dispositifs électroniques partenaires Di et Dj , une clé secrète SKij commune, d'élaborer, par chacun desdits premier et deuxième dispositifs électroniques Di et Dj , une telle clé secrète SKij commune, de sorte que la valeur de ladite clé secrète et partagée SKij soit calculée par le premier dispositif électronique Di, à partir des valeurs de sa clé secrète SKi et de la clé publique PKj du deuxième dispositif électronique et que ladite valeur de ladite clé partagée SKij soit calculée par ledit deuxième dispositif électronique Dj , à partir des valeurs de sa clé secrète SKj et de la clé publique PKi dudit premier dispositif électronique Di.

Les premier et deuxième dispositifs électroniques Di et Dj peuvent ainsi échanger des messages chiffrés selon une technique conventionnelle connue sous la terminologie de chiffrement/déchiffrement symétrique préservant davantage la bande passante nécessaire à l'échange de messages confidentiels. Tout message peut ainsi être chiffré et déchiffré par lesdits dispositifs électroniques Di et Dj à l'aide de cette clé secrète SKij élaborée par lesdits deux dispositifs électroniques.

Quelle que soit la solution retenue parmi les trois solutions précédemment évoquées, aucune d'entre elles ne permet toutefois d'autoriser une première communication sécurisée entre un premier dispositif électronique Di et un deuxième dispositif électronique Dj et de concomitamment, interdire une deuxième communication sécurisée entre ledit premier dispositif électronique Di et un troisième dispositif électronique Dk, alors que ledit troisième dispositif électronique Dk a pu recueillir et lire préalablement un certificat encodant les données d'identification, telles que l'identificateur IDi et la clé publique PKi, dudit premier dispositif électronique Di .

En effet, ledit troisième dispositif électronique Dk, peut s'adresser audit premier dispositif électronique Di et instaurer une communication sécurisée, telle qu'évoquée précédemment .

En conséquence et en conclusion, une telle politique de sécurité, quand bien même celle-ci exploite la notion de certificats émis par une autorité de certification, se révèle également insuffisante ou limitée. Par exemple, ladite politique se trouve par exemple mise à mal, si un premier dispositif électronique Di est d'une part, « rattaché » à une première autorité de certification pilotant un premier écosystème de dispositifs électroniques, et d'autre part, à une deuxième autorité de certification pilotant un deuxième écosystème de dispositifs électroniques communicant. Il devient alors illusoire de prévenir ou contenir un phénomène de contagion selon lequel des dispositifs électroniques appartenant au deuxième écosystème pourront connaître des données d'identification, telles que des identificateurs et/ou clés publiques de dispositifs électroniques appartenant au premier écosystème, dès qu'un certificat encodé par l'une des deux entités de certification sera lu et décodé par l'un desdits dispositifs électroniques appartenant au deuxième écosystème. Une deuxième limitation de cette politique de sécurité, basée essentiellement sur la notion de certificats, se fait jour dès qu'un dispositif électronique, appartenant à un écosystème de dispositifs électroniques rattachés à une autorité de certification, partage en outre une communication avec une application tierce ou un dispositif électronique externe audit écosystème. Cette application ou dispositif électronique externe pourra, par le même phénomène de contagion, connaître des données d' identification, comme par exemple des identificateurs et/ou clés publiques, de dispositifs électroniques appartenant audit écosystème.

L' invention permet de répondre à tout ou partie des inconvénients soulevés par les solutions connues. En constituant un réseau de communication, de manière préférée mais non limitative sans fil, par exemple mettant en œuvre des solutions ou protocoles de communication de type Bluetooth, Wi-Fi, Lora ou tout autre forme de réseau permettant à deux entités électroniques de pouvoir interagir entre elles, l'invention permet de maîtriser l'établissement et/ou la révocation de toutes communications sécurisées bilatérales entre des dispositifs électroniques d'un écosystème. Seules lesdites communications bilatérales sécurisées qui sont préalablement administrées et autorisées, par un serveur gestionnaire des communications, ne sont possibles au sein dudit écosystème. Il devient ainsi impossible à un dispositif électronique tiers audit écosystème de pouvoir établir une communication sécurisée avec l'un des dispositifs électroniques dudit écosystème, si ladite communication n'est pas autorisée par ledit serveur gestionnaire des communications, et à fortiori avec un dispositif électronique n' appartenant pas audit écosystème .

Parmi les nombreux avantages apportés par l'invention, nous pouvons mentionner que celle-ci permet notamment :

de mettre en œuvre un protocole de confiance, c'est-à-dire un service d'échanges de messages de données et/ou d'actions entre différents objets ou dispositifs électroniques à un niveau que nous pourrions qualifier d'applicatif, c'est-à-dire sans qu'il soit nécessaire de modifier la conception de certains desdits objets électroniques et sans qu'il soit nécessaire de constituer un tiers de confiance qui aurait accès à la teneur en clair desdits messages de données et/ou d'actions ; de constituer un réseau d'objets électroniques communicants ou nœuds permettant à chacun desdits nœuds de mettre en œuvre une communication directe et privée avec un nœud pair en toute confidentialité, c'est-à-dire de constituer un réseau de confiance ;

de faciliter le déploiement d'une solution conforme à l'invention par l'intégration de modules de sécurité coopérant éventuellement et respectivement avec des dispositifs électroniques communicants d'ores et déjà mis en œuvre sur le terrain, ces derniers assurant essentiellement un rôle de passerelle, de collecte d'informations et/ou de pilotage d'actionneurs et/ou de moyens de communication avec les autres nœuds d'un réseau auquel lesdits dispositifs électroniques appartiennent, sous- traitant ainsi auxdits modules de sécurité des traitements à des fins calculatoire et/ou de conservation de secrets propres à l'invention ; de tirer le meilleur, en termes de sécurité et de performances de schémas de chiffrement/déchiffrement symétriques et asymétriques, sans pénaliser la bande passante du réseau de communication nécessaire à la mise en œuvre de communications bilatérales sécurisées et administrées entre objets électroniques, et ainsi minimiser les coûts de déploiement d'une solution conforme à l ' invention .

A cet effet, l'invention concerne tout d'abord un premier procédé pour administrer une communication bilatérale sécurisée entre deux dispositifs électroniques parmi une pluralité. Un tel procédé est destiné à être mis en œuvre par une unité de traitement d'un serveur gestionnaire de communications bilatérales sécurisées, ledit serveur gestionnaire de communications bilatérales sécurisées comportant outre ladite unité de traitement, une mémoire de données, des moyens de communication assurant une communication le monde extérieur, ladite mémoire de données et lesdits moyens de communication coopérant avec ladite unité de traitement. La mémoire de données comporte des valeurs respectives de données d' identification publiques et de données d' identification secrètes, lesdites données d'identification secrètes et publiques étant propres audit serveur gestionnaire de communications bilatérales sécurisées. Pour administrer les communications entre les dispositifs électroniques de sorte que des paires de dispositifs électroniques puissent échanger des messages de données et/ou d'actions de manière sécurisée, l'invention prévoit que :

- la mémoire de données comporte en outre :

^■ une première structure de données, dite « table des dispositifs », comportant des enregistrements respectivement associés à des dispositifs électroniques parmi ceux appartement à ladite pluralité de dispositifs électroniques, chaque enregistrement stockant des données d' identification publiques du dispositif électronique qui lui est associé ;

^■ une deuxième structure de données, dite « table des liens », comprenant un enregistrement associé à toute mise en relation autorisée entre deux dispositifs électroniques associés respectivement à des enregistrements dans la table des dispositifs, ledit enregistrement de la table des liens comportant les valeurs respectives de tout ou partie des données d' identification publiques desdits deux dispositifs électroniques autorisés à être mis en relation.

En outre l'invention prévoit que ledit procédé comporte :

- une étape pour lire des données d' identification de deux dispositifs électroniques dans la table des dispositifs électroniques ; - une étape pour :

^■ élaborer un premier message encodant une requête de mise en relation, ledit premier message comportant tout ou partie des données d' identification de deux dispositifs électroniques lues dans la table des dispositifs électroniques ;

^■ déclencher l'émission par les moyens de communication dudit premier message encodant une requête de mise en relation, à destination des deux dispositifs électroniques concernés par ladite requête de mise en relation ;

- une étape pour recevoir, via lesdits moyens de communication, et décoder deux messages accusant réception et traitement dudit premier message par lesdits deux dispositifs électroniques concernés par ladite requête de mise en relation ;

- une étape pour créer et mettre à jour un enregistrement dans la table des liens pour que ledit enregistrement mémorise les valeurs respectives de tout ou partie des données d' identification desdits deux dispositifs électroniques ainsi autorisés à être mis en relation, si et seulement si lesdits deux messages accusant réception et traitement par lesdits deux dispositifs électroniques dudit premier message encodant la requête de mise en relation ont été bien préalablement reçus et décodés . Pour établir une communication bilatérale sécurisée entre un tel serveur gestionnaire des communications bilatérales sécurisées et un dispositif électronique avec lequel il souhaite transmettre des messages ou requêtes, un tel procédé peut comporter une étape pour produire et inscrire dans ladite mémoire de données, la valeur d'une clé secrète exploitée pour mettre en œuvre une communication bilatérale sécurisée avec ledit premier ou ledit deuxième dispositif électronique, à partir de valeurs issues desdites données d' identification secrètes du serveur gestionnaire des communications bilatérales sécurisées et de valeurs issues des données d' identification publiques dudit premier ou dudit deuxième dispositif électronique.

Pour adapter les modalités de futurs échanges sécurisés entre deux dispositifs électroniques à la fonction assurée par les deux dispositifs électroniques, voire à la nature des échanges entre ces dernier, l'invention prévoit que le premier message encodant une requête de mise en relation puisse comporter en outre une donnée décrivant une modalité de mise en œuvre d'une communication bilatérale sécurisée entre les dispositifs électroniques autorisés à être mis en relation.

Une telle mise en relation peut être initiée par un serveur gestionnaire des communications bilatérales sécurisées ou par un objet tiers. Pour cela, un tel premier procédé conforme à l'invention peut comporter une étape, préalable à l'étape pour élaborer un message encodant une requête de mise en relation de deux dispositifs électroniques, pour recevoir, via les moyens de communication, et pour décoder un message de consigne de mise en relation des deux dispositifs électroniques, ledit message de consigne étant émis par un objet électronique tiers agissant en tant que gestionnaire de la sécurité des dispositifs électroniques coopérant avec ledit serveur gestionnaire de communications bilatérales sécurisées, et comportant des données d' identification publiques des deux dispositifs électroniques à mettre en relation, l'étape pour lire dans la table des dispositifs des données d' identifications de deux dispositifs électroniques consistant à rechercher les enregistrements comportant les valeurs respectives desdites données d' identification véhiculées dans le message de consigne.

Selon ce mode de réalisation avantageux, afin que ledit serveur gestionnaire des communications bilatérales sécurisées puisse rendre compte audit objet émetteur de consigne, un tel premier procédé peut comporter une étape, postérieure à l'étape pour créer et mettre à jour un enregistrement dans la table des liens pour :

élaborer un message accusant réception et traitement, par ledit serveur gestionnaire de communications bilatérales sécurisées, de la consigne de mise en relation des deux dispositifs électroniques ;

l'émission dudit message à destination de l'objet électronique agissant en tant que gestionnaire de la sécurité des dispositifs électroniques .

Pour ne pas autoriser une relation entre des premier et deuxième dispositif communicants alors, que l'exploitation de l'un des deux peut être suspendue, l'invention prévoit que :

le ou les enregistrement, respectivement associés à des dispositifs électroniques, de la table des dispositifs puissent stocker chacun, outre des données d' identification publiques du dispositif électronique qui lui est associé, une donnée décrivant un statut d'enrôlement dudit dispositif électronique, ledit statut d'enrôlement pouvant décrire un ensemble de valeurs prédéterminées caractérisant respectivement des statuts parmi lesquels un statut « dispositif valide », un statut « dispositif bloqué » ;

l'étape pour lire des données d'identification de deux dispositifs électroniques dans la table des dispositifs électroniques puisse consister en outre en la lecture desdits statuts d'enrôlement desdits dispositifs électroniques ;

- l'étape pour élaborer un message encodant une requête de mise en relation ne soit réalisée que si lesdits deux statuts d'enrôlement desdits deux dispositifs électroniques décrivent un statut « dispositif valide ».

Une telle mise en relation peut faire l'objet d'une annulation. Pour cela, l'invention prévoit que le premier procédé pour administrer une communication bilatérale sécurisée entre deux dispositifs électroniques puisse éventuellement être adapté de sorte qu' il comporte :

une étape pour :

^■ élaborer un deuxième message encodant une requête d'annulation de mise en relation de deux dispositifs électroniques, ledit deuxième message comportant tout ou partie des données d' identification publiques desdits deux dispositifs électroniques préalablement lues dans la table des dispositifs électroniques ;

■ déclencher l'émission par les moyens de communication dudit deuxième message encodant une requête d'annulation de mise en relation, à destination de chacun des deux dispositifs électroniques concernés par ladite requête d'annulation de mise en relation ;

une étape pour recevoir, via lesdits moyens de communication, et décoder deux messages accusant réception et traitement dudit deuxième message encodant une requête d'annulation de mise en relation, par lesdits deux dispositifs électroniques concernés par ladite requête d'annulation de mise en relation ;

une étape pour supprimer l'enregistrement dans la table des liens, ledit enregistrement mémorisant les valeurs respectives de tout ou partie des données d' identification desdits deux dispositifs électroniques préalablement autorisés à être mis en relation, si et seulement si lesdits deux messages, accusant réception et traitement dudit deuxième message encodant la requête d'annulation de mise en relation par lesdits deux dispositifs électroniques, ont été bien préalablement reçus et décodés. Pour pouvoir suspendre la capacité d'un dispositif électronique à pourvoir communiquer avec un deuxième dispositif électronique partenaire, l'invention prévoit qu'un premier procédé pour administrer selon l'invention puise comporter :

une étape pour :

^■ élaborer un troisième message encodant une requête de blocage d'un dispositif électronique, ledit troisième message comportant tout ou partie des données d' identification publiques dudit dispositif électronique ;

^■ déclencher l'émission par les moyens de communication dudit troisième message encodant une requête de blocage du dispositif électronique à destination dudit dispositif électronique concerné par la présente requête de blocage ;

une étape pour recevoir, via lesdits moyens de communication, et décoder, un message accusant réception et traitement dudit troisième message par ledit dispositif électronique concerné par ladite requête de blocage ;

une étape pour mettre à jour, dans la table des dispositifs, l'enregistrement mémorisant les valeurs respectives de tout ou partie des données d' identification dudit dispositif électronique de sorte que le statut d'enrôlement, au sein dudit enregistrement, décrive la valeur prédéterminée caractérisant un statut « dispositif bloqué », si et seulement si ledit message, accusant réception et traitement dudit troisième message encodant la requête de blocage, a bien été reçu et décodé par ledit dispositif électronique.

Pour pouvoir éventuellement lever une telle suspension ou un tel blocage d'un dispositif électronique, un premier procédé pour administrer une communication bilatérale sécurisée entre deux dispositifs électroniques selon l'invention peut comporter :

une étape pour :

^■ élaborer un quatrième message encodant une requête de déblocage d'un dispositif électronique, ledit quatrième message comportant tout ou partie des données d' identification publiques dudit dispositif électronique ;

^■ déclencher l'émission par les moyens de communication dudit quatrième message encodant une requête de déblocage du dispositif électronique à destination dudit dispositif électronique concerné ;

une étape pour recevoir, via lesdits moyens de communication, et pour décoder, un message accusant réception et traitement dudit quatrième message encodant une requête de déblocage par ledit dispositif électronique concerné ;

une étape pour mettre à jour, dans la table des dispositifs , l'enregistrement mémorisant les valeurs respectives de tout ou partie des données d' identification dudit dispositif électronique de sorte que le statut d'enrôlement, au sein dudit enregistrement, décrive une valeur prédéterminée caractérisant un statut « dispositif valide », si et seulement si ledit message, accusant réception et traitement dudit quatrième message encodant la requête de déblocage, a bien été reçu et décodé par ledit dispositif électronique.

Pour pouvoir éventuellement révoquer un dispositif électronique, c'est-à-dire en suspendre définitivement son exploitation, un premier procédé pour administrer une communication bilatérale sécurisée entre deux dispositifs électroniques selon l'invention peut comporter :

une étape pour :

■ élaborer un cinquième message encodant une requête de révocation d'un dispositif électronique, ledit cinquième message comportant tout ou partie des données d' identification publiques dudit dispositif électronique ;

^■ déclencher l'émission par les moyens de communication dudit cinquième message encodant une requête de révocation du dispositif électronique à destination dudit dispositif électronique concerné par présente requête de révocation ;

une étape pour supprimer, dans la table des dispositifs, l'enregistrement mémorisant les valeurs respectives de tout ou partie des données d' identification dudit dispositif électronique ; une étape pour supprimer tout enregistrement dans la table des liens, ledit enregistrement mémorisant les valeurs respectives de tout ou partie des données d' identification dudit dispositif électroniques.

1/ invention concerne en outre un produit programme d'ordinateur comportant des instructions de programme qui, lorsqu'elles sont exécutées ou interprétées par un ordinateur, provoquent la mise en œuvre d'un procédé pour administrer une communication bilatérale sécurisée entre deux dispositifs électroniques conforme à ladite invention .

Selon un deuxième objet, l'invention concerne un serveur gestionnaire de communications bilatérales sécurisées comportant une unité de traitement, une mémoire de données, une mémoire de programmes, des moyens de communication assurant une communication le monde extérieur, ladite mémoire de données et lesdits moyens de communication coopérant avec ladite unité de traitement, la mémoire de données comportant des valeurs respectives de données d' identification propres audit serveur gestionnaire de communications bilatérales sécurisées. Un tel serveur gestionnaire de communications bilatérales sécurisées comporte dans la mémoire de programmes, les instructions d'un produit programme d'ordinateur tel qu'exprimé précédemment.

Selon un troisième objet, l'invention concerne un système comportant une pluralité de dispositifs électroniques coopérant avec un tel serveur gestionnaire de communications bilatérales sécurisées conforme à ladite invention . Selon un quatrième objet, l'invention concerne un deuxième procédé pour mettre en œuvre une communication bilatérale sécurisée avec un deuxième dispositif électronique, ledit procédé étant destiné à être mis en œuvre par une unité de traitement d'un premier dispositif électronique, lesdits premier et deuxième dispositifs électroniques appartenant à un système conforme à 1 ' invention . Pour cela, ledit premier dispositif électronique comporte outre ladite unité de traitement, une mémoire de données, des moyens de communication assurant une communication le monde extérieur, ladite mémoire de données et lesdits moyens de communication coopérant avec ladite unité de traitement, la mémoire de données comportant des valeurs respectives de données d' identification publiques et de données d' identification secrètes, lesdites données d'identification secrètes et publiques étant propres audit premier dispositif électronique, parmi lesquelles un couple de clés, respectivement secrète et publique. Un tel deuxième procédé comporte :

une étape pour recevoir, via les moyens de communication, et pour décoder, un premier message encodant une requête de mise en relation, ledit premier message comportant tout ou partie des données d' identification publiques des premier et deuxième dispositifs électroniques et étant émis par un serveur gestionnaire de communications bilatérales sécurisées conforme à l'invention ; une étape pour inscrire dans la mémoire de données tout ou partie des données d' identification publiques du deuxième dispositif électronique et pour produire, puis inscrire dans ladite mémoire de données, la valeur d'une clé secrète exploitée pour mettre en œuvre une communication bilatérale sécurisée avec ledit deuxième dispositif électronique, à partir de valeurs issues desdites données d' identification secrètes du premier dispositif électronique et de valeurs issues desdites données d' identification publiques du deuxième dispositif électronique ;

une étape pour élaborer un message accusant réception et traitement de la requête de mise en relation à destination du serveur gestionnaire de communications bilatérales sécurisées ;

une étape pour recevoir, via les moyens de communication, et décoder, ou pour élaborer, encoder puis émettre via lesdits moyens de communication, un message de données et/ou d'action, la teneur dudit message étant chiffrée à l'aide de la valeur de ladite clé secrète, exploitée pour mettre en œuvre une communication bilatérale sécurisée, préalablement produite par ledit premier dispositif électronique.

Pour établir une communication bilatérale sécurisée entre un tel dispositif électronique et le serveur gestionnaire des communications bilatérales sécurisées avec lequel il souhaite transmettre des messages ou requêtes, un tel procédé peut comporter une étape pour produire et inscrire dans ladite mémoire de données, la valeur d'une clé secrète exploitée pour mettre en œuvre une communication bilatérale sécurisée avec le serveur gestionnaire des communications bilatérales sécurisées, à partir de valeurs issues de données d' identification publiques dudit serveur gestionnaire des communications bilatérales sécurisées, lesdites données d'identification publiques étant préalablement inscrites dans la mémoire de données du premier dispositif électronique, et de valeurs issues des données d' identification secrètes dudit premier dispositif électronique.

Selon un cinquième objet, l'invention concerne un deuxième produit programme d' ordinateur comportant des instructions de programme qui, lorsqu'elles sont exécutées ou interprétées par un ordinateur, provoquent la mise en œuvre par ledit ordinateur d'un deuxième procédé pour mettre en œuvre une communication bilatérale sécurisée avec l'un des dispositifs électroniques d'un système selon 1 ' invention .

Selon un sixième objet, l'invention concerne un dispositif électronique comportant une unité de traitement, une mémoire de données, une mémoire de programmes, des moyens de communication assurant une communication assurant une communication le monde extérieur, ladite mémoire de données et lesdits moyens de communication coopérant avec ladite unité de traitement, la mémoire de données comportant des valeurs respectives de données d' identification propres audit dispositif électronique, ce dernier comportant dans la mémoire de programmes, les instructions d'un deuxième produit programme d'ordinateur selon l'invention. Pour faciliter le déploiement de l'invention, celle- ci prévoit qu'un tel dispositif électronique comporte ou coopère avantageusement avec un module de sécurité, ce dernier comportant la mémoire de données et une unité de traitement agencée pour mettre en œuvre l'étape pour produire puis inscrire dans ladite mémoire de données la valeur d'une clé secrète et partagée, avec un deuxième dispositif électronique, d'un deuxième procédé selon 1 ' invention .

D'autres caractéristiques et avantages apparaîtront plus clairement à la lecture de la description qui suit, se rapportant à un exemple de réalisation donné à titre indicatif et non limitatif, et à l'examen des figures qui l'accompagnent parmi lesquelles :

- les figures IA et IB illustrent respectivement deux exemples de configurations d'un dispositif électronique adapté selon l'invention pour mettre en œuvre une communication sécurisée avec un deuxième dispositif électronique ainsi qu'avec un serveur gestionnaire de communications bilatérales sécurisées ;

- la figure 2 présente l'architecture fonctionnelle d'un serveur gestionnaire de communications bilatérales sécurisées conforme à l'invention ;

- la figure 3 décrit une procédure d'enrôlement, au sein d'un écosystème, d'un dispositif électronique adapté pour mettre en œuvre une communication bilatérale sécurisée, à l'initiative d'un serveur gestionnaire de communication bilatérales sécurisées conforme à l'invention ; - la figure 4 décrit une procédure visant à autoriser, voire à en spécifier les modalités, une communication bilatérale sécurisée entre des premier et deuxième dispositifs électroniques, ladite procédure étant déclenchée par un serveur gestionnaire de communications bilatérales sécurisées conformément à l'invention ;

- la figure 5 décrit une procédure visant à annuler l'autorisation préalable d'une communication bilatérale sécurisée entre des premier et deuxième dispositifs électroniques, ladite procédure étant déclenchée à l'initiative d'un serveur gestionnaire de communications bilatérales sécurisées conformément à l'invention ;

- les figures 6 et 7 décrivent respectivement des procédures de blocage et de réhabilitation, déclenchées par un serveur gestionnaire de communications bilatérales sécurisées, d'un premier dispositif électronique adapté pour que ce dernier puisse mettre en œuvre ou cesser une communication bilatérale sécurisée avec un deuxième dispositif électronique, conformément à l'invention ;

- la figure 8 décrit une procédure de révocation d'un dispositif électronique, annulant ainsi un processus préalable d'enrôlement de ce dernier, à l'initiative d'un serveur gestionnaire de communications bilatérales sécurisées conformément à l'invention ;

- la figure 9 présente des étapes d'un procédé pour communiquer de manière bilatérale et sécurisée, mis en œuvre par toute paire de dispositifs électroniques, adaptés pour être membres d'un écosystème comportant une pluralité de dispositifs électroniques dont les communications sont administrées par un serveur gestionnaire de communications bilatérales sécurisées selon l'invention ;

- les figures 10A et 10B présentent des étapes d'un procédé pour administrer des communications bilatérales et sécurisées au sein d'un écosystème comportant une pluralité de dispositifs électroniques, ledit procédé étant mis en œuvre par un serveur gestionnaire de telles communications selon l'invention.

Les échanges de messages au sein d'un écosystème comportant une pluralité de dispositifs électroniques peuvent être réalisés par voies radio et/ou filaires. Une telle communication entre de tels dispositifs électroniques sera décrite ci-après selon un mode de communications préféré mais non limitatif, sans fil. Pour cela, lesdits dispositifs électroniques sont agencés avantageusement pour mettre en œuvre des technologies et/ou des protocoles de communication sélectionnés parmi ceux connus sous les appellations Bluetooth, Wi-Fi, Lora, Sigfox, ou parmi toutes autres solutions sensiblement équivalentes .

Comme l'indique à titre d'exemple préféré la figure IA, un premier exemple de dispositif électronique Di comporte, généralement et principalement, une unité de traitement 11, par exemple, sous la forme d'un microcontrôleur ou d'un microprocesseur. Ladite unité de traitement 11 coopère avec une mémoire de données 12, éventuellement avec une mémoire de programmes 14, lesdites mémoires 12 et 14 constituant éventuellement deux éléments physiques distincts ou bien une seule et même entité physique. Dans ce dernier cas, une séparation d'ordre « logique » peut être mise en œuvre pour en régir des accès en lecture et surtout en écriture, éventuellement différents, pour et/ou par ladite unité de traitement 11.

Un tel dispositif électronique Di peut en outre comporter un ou plusieurs capteurs de mesure 15 d'une grandeur physique en lien avec l'environnement dudit dispositif électronique Di. Un tel capteur 15 peut mesurer de manière non exhaustive une température environnante, la présence et/ou l'absence de luminosité ambiante. En variante ou en complément, un tel exemple de dispositif électronique Di peut comporter une interface 18 de pilotage d'un actionneur Ai, tel que, par exemple, un moteur à commande numérique d'un volet roulant, une pompe, ou encore un compresseur d'un climatiseur, etc.

Un dispositif électronique Di selon la figure IA peut également comporter des premiers moyens de communication 13 coopérant avec l'unité de traitement 11 et assurant une communication de proximité ou de longue portée, préférentiellement sans fil, avec tout autre deuxième dispositif électronique Dj situé à portée de communication. Ledit dispositif électronique Di peut en outre comporter des deuxièmes moyens de communication 16 de types filaires ou sans fil. Dans ce cas, lesdits moyens de communication 13 et 16 peuvent ne constituer qu'une seule et même entité physique. Ces deuxièmes moyens de communication 16 permettent, à un tel dispositif électronique Di, de pouvoir échanger notamment avec un serveur gestionnaire de communications bilatérales sécurisées ESM, par exemple, sous la forme d'un ordinateur comportant une unité de traitement propre, sous la forme d'un ou plusieurs microprocesseurs, associée à des moyens de mémorisation intégrés audit serveur gestionnaire ESM et/ou distants de ce dernier, comme nous l'étudierons ultérieurement en liaison avec la figure 2. Une telle liaison entre un dispositif électronique Di et ledit serveur de communications bilatérales sécurisées ESM peut être réalisée au travers d'un réseau de communication N filaire ou sans fil exploitant des technologies et/ou protocoles de communications connus, tels que de manière non exhaustive, Lora, Sigfox, Wi-fi, Bluetooth, ou en variante, Internet ou Ethernet.

Pour fonctionner, notamment pour que l'unité de traitement 11 mette en œuvre un procédé de communication bilatérale sécurisé conforme à l'invention, un exemple non limitatif et préféré d'un tel procédé étant décrit ultérieurement en liaison avec le procédé 100 de la figure 9, la mémoire de programmes 14 d'un dispositif électronique Di selon la figure IA et adapté selon l'invention peut comporter des instructions d'un programme d'ordinateur PI, dont l'interprétation ou l'exécution par ladite unité de traitement 11 provoque la mise en œuvre, par le dispositif électronique Di, d'un tel procédé de communication bilatérale sécurisé conforme à l'invention, tel que le procédé 100 de la figure 9.

Un dispositif électronique Di selon la figure IA peut également comporter une source d'énergie électrique 17, par exemple sous la forme d'une ou plusieurs batteries, qui lui sont propres. Une telle source d'énergie électrique 17 peut ainsi alimenter en énergie électrique les différents organes électroniques dudit dispositif électronique Di. En variante, une telle source énergétique peut être extérieure à ce dernier. L'unité de traitement 11 d'un dispositif électronique Di selon la figure IA coopère avec lesdites mémoires 12 et/ou 14, les moyens de communication 13 et/ou 16, le ou les capteur 15, voire encore l'interface de pilotage d' actionneur 18, au moyen de bus de communication internes, représentés en figure IA par des doubles flèches en trait simple. La fourniture en énergie électrique par l'éventuelle source d'énergie électrique interne 17 est représentée par un bus en alimentation électrique symbolisé par une flèche en trait double, ledit bus étant connecté, par mesure de simplification, uniquement à l'unité de traitement 11 sur les figures IA et IB. Il est évident qu'un tel bus en alimentation électrique dessert tout organe électronique qui le nécessiterait.

La figure IB décrit un deuxième exemple de dispositif électronique Di adapté pour être conforme à l'invention. Celui-ci est très similaire à celui présenté en lien avec la figure IA. Toutefois, le dispositif électronique Di selon la figure IB comporte en outre des troisièmes moyens de communication 19 permettant à un tel dispositif électronique Di de transmettre, à un module de sécurité SMi, sous la forme par exemple d'un objet sécurisé comme une carte à puce, des données au travers d'une liaison par couplage électromagnétique ou encore une liaison sans fil dite de proximité, voire en variante, via une liaison filaire, par exemple à titre non limitatif, une liaison conforme à la norme internationale ISO-7816, afin de sous- traiter, audit module de sécurité SMi, le stockage de données secrètes ou certains calculs dont le traitement ne doit pas être corrompu. Ce type d'association est bien connue de l'homme de l'art dans le domaine des objets électroniques communicants. Un tel module de sécurité SMi est parfois désigné par l'appellation anglo-saxonne « Secure Application (or Access) Module ». Il est chargé principalement de réaliser des calculs cryptographiques et/ou de mémoriser des secrets non échangés avec le monde extérieur. Une telle association permet de ne pas modifier le fonctionnement interne de dispositifs électroniques Di ou Dj , qui seraient d'ores et déjà en service avant leur adaptation conformément à l'invention. Par la suite et par mesure de simplification, nous considérerons qu'un module de sécurité SMi constitue une extension matérielle et/ou logicielle de l'unité de traitement 11, voire des mémoires 12 et/ou 14 dudit dispositif électronique Di, à l'instar de celui décrit en lien avec la figure IA. Ainsi, à l'instar du dispositif électronique Dj présent dans les figures 2 à 8, nous ne parlerons par la suite que de dispositif électronique Di, Dj , au sens large, que celui- ci comporte un module de sécurité SMi, à l'instar du dispositif électronique Di au sein desdites figures 2 à 8, ou n'en comporte pas, comme c'est le cas du dispositif Dj décrit au sein des mêmes figures 2 à 8.

Lorsque qu'un module de sécurité SMi est associé à un dispositif électronique Di et que ledit module de sécurité SMi consiste ainsi en une entité physiquement dissociée de ce dernier, comme c'est par exemple le cas lorsque ledit module de sécurité SMi consiste en une carte à puce ou en tout autre facteur de forme adapté, ledit module SMi comporte sa propre unité de traitement 31, sous la forme d'un microcontrôleur ou d'un microprocesseur comportant des ressources matérielles et/ou logicielles particulièrement optimisées pour une mise en œuvre de traitements cryptographiques. A l'instar de l'unité de traitement 11 précédemment décrite, l'unité de traitement 31 coopère avec une mémoire de programmes 33 pour comporter des instructions d'un programme d'ordinateur P3 destiné à adapter le fonctionnement dudit module de sécurité SMi . En outre, ladite unité de traitement 31 coopère généralement avec une mémoire de données 32, dont certains accès en lecture et/ou en écriture sont particulièrement restreints depuis le monde extérieur, voire proscrits. Pour interagir avec le dispositif électronique Di selon la figure IB, le module de sécurité SMi comporte des moyens de communication 34, complémentaires aux moyens de communication 19 précédemment évoqués, pour assurer les échanges entre ledit dispositif électronique Di et le module de sécurité SMi .

Un dispositif électronique Di, selon la figure IA ou IB, comporte dans la mémoire de données 12, voire par extension dans la mémoire 32 lorsque ledit dispositif électronique Di est associé à un module de sécurité SMi, des données particulières dont certaines sont propres au dispositif électronique Di. Tout ou partie de celles-ci sont avantageusement enregistrées dans une ou plusieurs sections des mémoires de données 12 et/ou 32, lesdites mémoires étant généralement électriquement effaçables et inscriptibles , lesdites sections étant classiquement non effaçables, à l'exception d'un mode d'effacement d'urgence, pour que toute mise à jour puisse être proscrite après initialisation desdites données particulières.

Un tel accès en modification de telles sections des mémoires de données 12 et/ou 32 peut, en variante, requérir la satisfaction d'une procédure d'authentification forte. Par la suite du document et par mesure de simplification, nous considérerons la mémoire de données 12 comme englobant éventuellement la mémoire 32, si celle-ci existe, quand bien même lesdites mémoires 12 et 32 soient physiquement dissociées. Nous parlerons ainsi par extension de mémoire de données 12.

Une telle section de ladite mémoire de données 12, dont l'accès en modification est avantageusement restreint, permet de consigner notamment la valeur d'un identifiant IDi dédié à tout dispositif électronique Di. De manière préférée mais non obligatoire, un dispositif électronique Di peut en outre comporter, dans la mémoire de données 12, des valeurs respectives d'un couple de clés PKi et SKi lui permettant de mettre en œuvre un procédé de chiffrement/déchiffrement asymétrique. Ainsi, la valeur d'une première clé PKi, destinée à être rendue publique, permet par exemple de signer un message à destination d'un deuxième objet électronique. Ce dernier, si celui-ci connaît la valeur de la clé publique PKi, peut chiffrer les données d'un message confidentiel que seul le dispositif électronique Di pourra déchiffrer à l'aide de la clé SKi, dont la valeur est secrète et uniquement connue du premier dispositif électronique Di. Comme évoqué précédemment, la valeur de la clé secrète SKi, peut servir à l'élaboration, en combinaison avec la valeur d'une clé publique PKj d'un deuxième dispositif électronique Dj , d'une clé secrète et « virtuellement » partagée SKij entre les dispositifs électroniques Di et Dj , pour que ces deniers puissent mettre en œuvre une communication bilatérale sécurisée SCij par chiffrement/déchiffrement symétrique. Dans ce cas, ladite clé secrète SKij pourra être avantageusement établie selon le procédé Diffie- Helmann, par exemple. La valeur de la clé SKij peut être enregistrée dans la mémoire de données 12 ou recalculée à la volée, préalablement ou lors de chaque échange de données. Elle pourra également faire l'objet d'une diversification, par l'élaboration d'une clé temporaire ou dite de session, en exploitant la valeur d'une graine partagée entre deux dispositifs électroniques, par exemple un compteur, conformément à l'état de l'art.

Pour administrer, c'est-à-dire autoriser, mais aussi éventuellement suspendre ou récuser, une ou plusieurs communications bilatérales sécurisées entre des paires de dispositifs électroniques parmi un ensemble éventuellement dynamique de dispositifs électroniques Dl, ...Di, ... Dj , ... Dn, l'invention prévoit un serveur gestionnaire de telles communication dont un exemple d'architecture fonctionnelle est décrit par la figure 2. Ainsi, un serveur ESM gestionnaire des communications bilatérales sécurisées entre des dispositifs électroniques, que nous nommerons par la suite « serveur gestionnaire des communications » par mesure de concision, consiste, par exemple, en un ordinateur comportant sa propre unité de traitement 21. Cette dernière comporte un ou plusieurs microprocesseurs et/ou coprocesseurs arithmétiques optimisés pour effectuer notamment des calculs cryptographiques. Ladite unité de traitement 21 coopère, par exemple par un bus de données, avec une mémoire de données 22 et une mémoire de programmes 23, lesdites mémoires 22 et 23 pouvant être des entités physiquement plurielles et dissociées, ou ne constituer qu'une seule et même entité physique. Ladite mémoire de programmes 23 est agencée pour enregistrer les instructions de programme d'un programme d'ordinateur P2. Lesdites instructions de programme sont alors agencées pour provoquer, lors de leur interprétation ou exécution par ladite unité de traitement 21, la mise en œuvre d'un procédé de gestion de communications bilatérales sécurisées, tel que le procédé 200 décrit ultérieurement en lien avec les figures 10A et 10B.

Un tel serveur ESM gestionnaire des communications comporte des moyens de communication 23 lui permettant d'échanger avec des dispositifs électroniques DI à Dn conformes à la figure IA ou IB, par voie radio ou filaire au travers d'un réseau N, conformément à toute technologie connue permettant à deux objets électroniques d'échanger des messages de données et/ou d'actions. De tels moyens de communication 23 permettent au serveur gestionnaire des communications ESM d' interagir avec un deuxième serveur DSM gestionnaire de la sécurité des dispositifs électroniques, que nous nommerons par la suite « serveur de sécurité », par mesure de concision. La nature ou les architectures logicielle et/ou matérielle d'un tel deuxième serveur de sécurité DSM peuvent être proches ou similaires à celles du serveur gestionnaire des communications ESM. Un tel deuxième serveur de sécurité DSM peut, par exemple, selon l'invention, être opéré et/ou administré par un agent garant d'une politique de sécurité desdits dispositifs électroniques DI à Dn . En variante, une telle liaison N entre les serveurs ESM et DSM pourrait être mise en œuvre par des moyens de communication complémentaires et additionnels au regard des moyens de communication 23, pour assurer une liaison de type Ethernet, Internet ou toute autre forme de liaison dite de longue portée équivalente.

Nous étudierons, en lien avec les figures 3 à 8, comment se traduit notamment l'évolution du contenu de la mémoire de données 22 au gré de la gestion des enrôlements, voire des révocations, de dispositifs électroniques parmi les dispositifs électroniques DI à Dn, ainsi que durant l'établissement ou la suspension de communications bilatérales sécurisées entre de tels dispositifs électroniques DI à Dn .

Toutefois, la figure 2 présente succinctement le contenu type d'une telle mémoire de données 22. Ainsi, à l'instar de chaque dispositif électronique DI à Dn, la mémoire de données 22 d'un serveur gestionnaire des communication ESM peut comporter tout d' abord des données caractéristiques et propres audit serveur ESM. De telles données caractéristiques sont exploitées pour mettre en œuvre un procédé de chiffrement/déchiffrement asymétrique avec le monde extérieur. Ainsi, la mémoire de données 22 peut comporter les valeurs respectives d'un identificateur unique IDesm, d'une clé publique PKesm et d'une clé secrète SKesm associée à la précédente.

La figure 2 décrit en outre une mémoire de données 22 pouvant comporter une première table de données, que nous nommerons « table des dispositifs électroniques enrôlés » ou plus simplement par mesure de concision « table des dispositifs ». Cette dernière est référencée DT en figure 2 et comporte un ou plusieurs enregistrements ou structures de données DTi, DTj , DTn, respectivement associés aux dispositifs électroniques enrôlés, c'est-à-dire, en l'espèce en figure 2, aux dispositifs électroniques Di, Dj et Dn qui sont connus du serveur gestionnaire des communications ESM. Ainsi, la figure 2 décrit un premier enregistrement DTi associé au dispositif électronique Di, un deuxième enregistrement DTj associé au dispositif électronique Dj et un troisième enregistrement DTn associé au n ^lème dispositif électronique Dn . Selon l'exemple de la figure 2, nous pouvons constater qu'aucun enregistrement actuellement associé au dispositif électronique DI n'existe dans ladite table des dispositifs DT. Cette absence traduit le fait que le serveur gestionnaire ESM ne connaît pas, à cette heure, l'existence du dispositif électronique Dl, ou plus précisément, que ce dernier n'a pas encore fait l'objet d'une procédure d'enrôlement.

Un enregistrement, tel que l'enregistrement DTi, de ladite table des dispositifs DT peut comporter principalement, à titre d'exemples non limitatifs :

un premier champ enregistrant la valeur de l'identificateur IDi du dispositif électronique Di auquel il est associé ;

un deuxième champ enregistrant la valeur de la clé publique PKi dudit dispositif électronique Di ;

un troisième champ comportant la teneur d'un certificat Ci élaboré par le serveur se sécurité DSM, voire par le serveur gestionnaire des communications ESM, à partir desdites valeurs de l'identificateur IDi et de la clé publique PKi ; un quatrième champ encodant un statut Si en lien avec l'enrôlement et/ou l'état dudit enrôlement dudit dispositif électronique Di.

Il en est de même pour l'enregistrement DTj associé au dispositif électronique Dj qui peut englober les champs mémorisant l'identificateur IDj, la clé publique PKj , un certificat Cj encodant les deux précédentes valeurs IDj et PKj, voire un statut Sj de l'enrôlement dudit dispositif électronique Dj . De la même manière, l'enregistrement DTn associé au dispositif électronique Dn peut englober des champs mémorisant l'identificateur IDn, la clé publique PKn, un certificat Cn encodant les deux précédentes valeurs IDn et PKn, voire un statut Sn de l'enrôlement dudit dispositif électronique Dn .

La mémoire de données 22 du serveur gestionnaire des communications ESM peut comporter en outre une deuxième table, que nous nommerons « table des liens », ladite table des liens étant référencée BT dans l'exemple non limitatif de la figure 2. Une telle table BT permet de matérialiser une ou plusieurs mises en relation autorisées de deux dispositifs électroniques, en l'espèce dans le cadre de l'exemple de la figure 2, l'unique lien entre les dispositifs électroniques Di et Dj , de sorte que les dispositifs électroniques ainsi liés puissent échanger des messages d'actions et/ou de données dans le cadre d'une communication bilatérale sécurisée.

Chaque lien constitué par le serveur gestionnaire ESM est associé à un enregistrement propre dans ladite table BT. Ainsi, la mise en relation autorisée des dispositifs électroniques Di et Dj se manifeste par l'enregistrement BTij dans la table des liens BT, ledit enregistrement BTij comportant, de manière préférée mais non limitative, deux premiers champs pour mémoriser respectivement les identificateurs IDi et IDj des deux dispositifs électroniques liés, un champ supplémentaire BPij pour encoder éventuellement un type particulier de mise en relation ou, autrement dit, pour encoder une politique régissant les échanges de messages entre lesdits dispositifs électroniques (chiffrement, signature, authentification, etc.) et enfin éventuellement un champ complémentaire pour encoder un statut BSij du lien ainsi créé, ledit lien pouvant être éventuellement validé, suspendu, en-cours d'établissement, etc. Toute autre champ complémentaire pourrait être prévu dans un enregistrement BTij de la table des liens BT pour enrichir les modalités d'une mise en relation entre deux dispositifs électroniques .

L'administration et la mise en œuvre de communications bilatérales sécurisées entre différents dispositifs électroniques DI à Dn d'un système, décrit en lien avec la figure 2, seront à présent illustrées à titre non limitatif par les figures 3 à 10A et 10B.

Ainsi, la figure 9 présente successivement les différents traitements mis en œuvre par une unité de traitement 11, voire 31, d'un premier dispositif électronique, tel que le dispositif électronique Di préalablement décrit en lien avec les figures IA et IB, lorsque ladite unité de traitement 11 et/ou 31 met en œuvre un procédé 100 pour mettre en œuvre une communication bilatérale sécurisée SCij , conformément à l'invention, avec un deuxième dispositif électronique Dj . Pour cela, et préalablement à l'établissement d'une telle communication sécurisée SCij , les figures 10A et 10B décrivent quant à elles, les traitements d'un procédé 200 pour administrer une communication bilatérale sécurisée entre lesdits premier et deuxième dispositifs électroniques Di et Dj , ledit procédé 200 étant mis en œuvre par une unité de traitement 21 d'un serveur gestionnaire ESM, conforme à l'invention et tel que décrit par la figure 2.

Lesdits procédés 100 et 200, ou les traitements particuliers mis en œuvre dans le cadre desdits procédés 100 et 200, sont illustrées par les figures 3 à 8, au travers d'un exemple d'application non limitatif mettant en scène certains objets électroniques mentionnés en lien avec la figure 2, en mettant en exergue les échanges nécessaires, à différents instants référencés de EO à E57, pour administrer un réseau de dispositifs électroniques conforme à l'invention.

Lesdites figures 3 à 8 mettent ainsi plus particulièrement en situation deux dispositifs électroniques Di et Dj appartenant à une pluralité de dispositifs communicants. Par mesure de concision, seuls deux dispositifs Di et Dj sont représentés en figures 3 à 8. Ces deux dispositifs Di et Dj sont agencés respectivement à l'instar des dispositifs électroniques décrits en lien avec la figure IA pour le dispositif électronique Dj et la figure IB pour le dispositif électronique Di. Nous pouvons remarquer que, selon l'exemple illustré par les figures 3 à 8, le dispositif Di est associé à un module de sécurité SMi, contrairement au dispositif électronique Dj . Les figures 3 à 8 mettent en outre en scène un serveur ESM, gestionnaire des communications bilatérales entre dispositifs électroniques de ladite pluralité, en l'espèce éventuellement les dispositif électroniques Di et Dj précédemment mentionnés.

Enfin, lesdites figures 3 à 8 décrivent un deuxième serveur DSM, gestionnaire de la sécurité des dispositifs électroniques. Comme évoqué précédemment, la nature ou les architectures logicielle et/ou matérielle d'un tel deuxième serveur de sécurité DSM peuvent être proches ou similaires à celles du serveur gestionnaire des communications ESM. Selon l'invention, un tel deuxième serveur de sécurité DSM peut, par exemple, être opéré et/ou administré par un agent garant d'une politique de sécurité desdits dispositifs électroniques. Les figures 3 à 8 décrivent des sections des mémoires de données du serveur gestionnaire ESM ou des dispositifs électroniques Di et Dj , telles que les tables des dispositif DT ou encore la table des liens BT d'ores et déjà décrites en lien avec les figures IA, IB et/ou 2, lorsque leurs contenus sont modifiés .

La chronologie des instants d' intérêts est matérialisée, sur lesdites figures 3 à 8, par des références Ex, x étant un entier croissant compris entre 0 et 57, cerclées d'un ovale.

La figure 3 décrit une étape optionnelle et préalable à l'établissement d'une communication bilatérale sécurisée, un tel établissement étant décrit ultérieurement en lien avec la figure 4.

Selon ladite figure 3, lorsqu'un module de sécurité SMi est associée à un dispositif électronique Di, l'invention prévoit que ledit module de sécurité SMi puisse mettre en œuvre un traitement spécifique, tel que l'étape 111 d'un traitement 110 du procédé 100 décrit à titre d'exemple par la figure 9, de sorte que des données d' identification, notamment le couple de clés respectivement secrète et publique SKi et PKi, soient générées ou initialisées automatiquement par ledit module de sécurité SMi, afin qu'aucune autre entité physique ne puisse connaître la valeur de ladite clé secrète SKi. Une telle étape préliminaire 111 est destinée à être mise en œuvre une seule et unique fois, en un instant E0, lors de la première utilisation dudit module de sécurité SMi par exemple. D'une manière générale, dans la suite du présent document, nous ferons une distinction parmi lesdites données d'identification d'un dispositif électronique ou d'un serveur gestionnaire de communications bilatérales sécurisées, entre des données d'identification dites « publiques », c'est-à-dire des données qui ont vocation à être échangées ou transmises à un équipement tiers et des données d' identification dites « secrètes » ou « privées », c'est-à-dire des données uniquement connues de l'équipement concerné et qui n'ont pas vocation à être transmises à un équipement tiers. De manière avantageuse, l'invention prévoit que des données d'identification, bien que « publiques » soient préférentiellement transmises, entre deux équipements dans le cadre d'une communication bilatérales sécurisée au sens de l'invention.

Au-delà de cette étape préliminaire 111, la figure 3 illustre un processus d'enrôlement permettant à tout dispositif électronique d'être enrôlé ou connu par ledit serveur gestionnaire des communications ESM. Un tel processus d'enrôlement permet également audit dispositif enrôlé de connaître certaines données d' identification publiques du serveur gestionnaire des communications ESM, notamment l'identificateur IDesm de celui-ci, voire en outre une clé publique PKesm de ce dernier. L'inscription, dans la mémoire de données 12 et/ou 32 d'un dispositif électronique, desdites données d'identification du serveur gestionnaires des communications ESM de sorte que ledit dispositif électronique puisse interagir avec ledit serveur ESM, peut faire l'objet du traitement spécifique d'initialisation, tel que l'étape 111 d'un traitement 110 du procédé 100, ou bien d'une opération de préparation de ladite mémoire de données 12 et/ou 32 avant toute première utilisation dudit dispositif électronique. Ledit processus d'enrôlement permet en outre au serveur de sécurité DSM de connaître un dispositif électronique enrôlé par le gestionnaire des communications ESM et de produire un certificat numérique propre au dispositif électronique enrôlé, afin que ledit serveur gestionnaire des communications ESM puisse in fine transmettre à un tiers un tel certificat numérique, en lieu et place de la clé publique dudit dispositif électronique enrôlé, prévenant ainsi toute attaque de l'homme du milieu.

Au sens de l'invention, tout message échangé entre deux objets électroniques, par exemple deux dispositifs électroniques Di, Dj ou un serveur des communications ESM, voire un serveur de sécurité DSM, se traduit avantageusement par une trame de données comportant un ou plusieurs champs, au format connu sous l'acronyme anglo- saxon TLV (« Tag, Length, Value » selon une terminologie anglo-saxonne) selon lequel chaque champ comporte un marqueur (Tag) , une valeur (Value) et une longueur (Length) de cette dernière, exprimée par exemple en nombre d'octets. Chaque message peut comporter un entête, permettant à son destinataire d'en reconnaître la forme ou la signification et/ou un suffixe, pouvant exprimer un code de redondance pour en vérifier l'intégrité par exemple. Lorsqu'un message est destiné à un objet électronique destinataire en particulier, un tel message peut comporter un premier élément en la valeur d'une donnée d'identification publique dudit objet électronique destinataire, telle qu'un identificateur IDi, IDj, IDesm, par exemple. Lorsque le message est transmis en mode de diffusion, mode connu également sous le terme anglo-saxon « broadcast », c'est- à-dire transmis à tout destinataire en capacité de réceptionner ou recevoir ledit message, ce dernier ne comporte pas de données d'identification d'un destinataire en particulier. Enfin, avantageusement, tout message peut comporter ou encoder la valeur d'une donnée d'identification permettant d'identifier le géniteur et/ou l'émetteur d'un message.

L'invention prévoit en outre, lorsqu'un message comporte un suffixe exprimant un code de redondance, que ledit suffixe du message puisse ne comporter qu'une partie dudit code de redondance, par exemple les quatre premiers octets, si ledit code de redondance s'exprime sous une forme de huit octets. Le destinataire peut alors vérifier l'intégrité dudit message original en calculant, de son côté, ledit code de redondance, puis comparer le code partiel véhiculé par ledit message original avec les quatre premiers octets dudit code de redondance calculé. Si lesdits octets sont identiques, le message original est jugé intègre. Dans le cas contraire, le message original peut être ignoré. En réponse, c'est-à-dire, en guise d'accusé de réception, un message de réponse ACK peut être à son tour encodé par le destinataire dudit message original puis transmis par ledit objet destinataire, à destination cette fois-ci, de l'objet émetteur et/ou géniteur dudit message original. Ledit message ACK peut comporter par exemple, les quatre derniers octets dudit code de redondance ainsi calculé par le destinataire du message original. A réception du message ACK, l'émetteur du message original peut comparer les octets reçus avec les quatre derniers octets du code de redondance dudit message original élaboré lors de l'émission de ce dernier. Si lesdits octets sont identiques, alors l'objet émetteur dudit message original sait que l'objet destinataire de ce dernier a bien réceptionné son message original et que celui-ci fait l'objet d'un traitement. En liaison avec les figures 3, 9 et 10A, un tel premier processus d'enrôlement se traduit par les mises en œuvre respectives de procédés interdépendants, d'une part, par le dispositif électronique Di requérant un enrôlement et d'autre part, par le serveur gestionnaire des communications ESM. Ainsi, ledit dispositif électronique Di requérant un enrôlement met en œuvre un procédé de mise en œuvre d'une communication sécurisée, plus précisément un premier sous-procédé 110 d'un procédé global 100 illustré à titre d'exemple non limitatif par la figure 9. De son côté, ledit serveur gestionnaire des communications ESM déroule un procédé pour administrer une communication bilatérale sécurisée, plus précisément un sous-procédé de ce dernier visant à traiter une telle requête en enrôlement. Un tel procédé 200 est illustré, à titre d'exemple non limitatif, par la figure 10A.

Un premier processus d'enrôlement, selon l'invention, peut ainsi consister en une première phase, matérialisée par l'instant El sur ladite figure 3, selon laquelle un premier dispositif électronique Di élabore et transmet, en une étape 112 du procédé 100, par exemple sous la forme d'une diffusion, un premier message encodant une requête en enrôlement RR, véhiculant des valeurs respectives de données d' identification publiques dudit premier dispositif électronique Di, parmi lesquelles, les valeurs respectives de l'identificateur IDi et de la clé publique PKi . En réponse à la réception par ledit serveur gestionnaire des communications ESM en une étape 211 d'un procédé 200 mis en œuvre par ledit serveur ESM, ce dernier peut transmettre, en une étape 212, un message ACK adressé audit premier dispositif électronique Di ayant émis la requête en enrôlement RR, tel qu'évoqué précédemment. De manière avantageuse mais non obligatoire, un serveur gestionnaire des communications ESM peut transmettre, à son tour en un instant E2, un message encodant une requête en autorisation d'enrôlement ARR à destination d'un serveur de sécurité DSM. Une telle élaboration d'un message ARR, suivie de l'émission de ce dernier, constitue une étape 213 du sous-procédé 220 mis en œuvre par ledit serveur gestionnaire des communications ESM. Un tel message encodant une requête en autorisation d'enrôlement ARR véhicule tout ou partie des données d' identification publiques du premier dispositif électronique Di requérant un enrôlement. En réponse à une telle sollicitation, ledit serveur de sécurité DSM peut élaborer un certificat numérique Ci, encodant tout ou partie desdites données d' identification dudit premier dispositif électronique Di et l'adresser au serveur gestionnaire des communications ESM. Ce dernier réceptionne un tel certificat numérique Ci en une étape 214 et crée, en une étape subséquente 215, une entrée ou un enregistrement DTi dans la table des dispositifs DT stockée dans la mémoire de données 22 dudit serveur gestionnaire des communications ESM. Ledit enregistrement DTi comporte alors ledit certificat numérique Ci et/ou les valeurs respectives de l'identificateur IDi et de la clé publique PKi dudit dispositif électronique Di requérant 1 ' enrôlement .

Le premier processus d'enrôlement du dispositif électronique Di peut être considéré à ce stade comme finalisé. De manière avantageuse, l'invention prévoit toutefois, que ledit premier processus se poursuive par l'élaboration puis l'émission d'un message RA de finalisation d'enrôlement, en une étape 216 par ledit serveur gestionnaire des communications ESM à destination dudit dispositif électronique requérant Di. Cette étape correspond à l'instant référencé E4 en figure 3.

Un tel message RA peut comporter, outre des données d' identification publiques des deux entités Di et ESM, telles que les identificateurs IDi et IDesm, des données complémentaires AI, telles que, par exemple, un code de blocage et/ou un code de révocation dudit premier dispositif électronique Di, ou toute autre information complémentaire de nature à éventuellement conditionner ou limiter dans le temps l'enrôlement dudit premier dispositif électronique Di, voire encore la clé publique PKesm du serveur gestionnaire ESM. De tels codes de blocage et/ou de révocation pourront être exploités par ledit premier dispositif électronique Di, en réponse à des requêtes en blocage ou en révocation émises par ledit serveur gestionnaire des communications ESM, comme nous le détaillerons ultérieurement et notamment en lien avec les figures 6 et 8. Tout ou partie des données d' indentification publiques du serveur gestionnaire des communications ESM ainsi que desdites informations additionnelles AI peuvent faire l'objet, en une étape 114, d'une opération de consignation, dans la mémoire de données 12 et/ou 32 du premier dispositif électronique Di.

L'invention prévoit que ladite étape 114 puisse en outre consister en l'élaboration puis la transmission, par les moyens de communication 13 ou 16 dudit premier dispositif électronique Di, d'un message ACK accusant réception et traitement du message RA à destination du serveur gestionnaire des communications ESM. Ce dernier, alors en attente dudit message, en une étape 217, peut avantageusement déclencher la mise en œuvre d'une étape 218 pour mettre à jour l'enregistrement DTi dans la table des dispositifs DT, afin que ce dernier inscrive un champ de statut d'enrôlement Si prenant pour valeur courante, une première valeur prédéterminée attestant que le processus d'enrôlement a été intégralement réalisé par ledit premier dispositif électronique Di et par le serveur gestionnaire des communications ESM. Une telle première valeur inique ainsi un statut « dispositif valide ». Dans le cas contraire, ledit statut d'enrôlement Si maintient pour valeur courante, une deuxième valeur déterminée, autre que celle attestant que le premier processus d'enrôlement a été intégralement réalisé, ladite deuxième valeur courante ayant été initialisée lors de la création de l'enregistrement DTi à l'étape 215. La mise à jour dudit enregistrement correspond à l'instant référencé E5 sur la figure 3.

Ladite figure 3 décrit en parallèle des instants El à E5, une deuxième instance d'un tel premier processus d'enrôlement, instance similaire à celle du premier processus d'enrôlement du premier dispositif électronique Di, ladite deuxième instance du processus d'enrôlement étant initiée par un deuxième dispositif électronique Dj , de nature et/ou d'architecture fonctionnelle proches d'un dispositif Di décrit en lien avec la figure IA. Un tel deuxième dispositif électronique Dj , requérant un enrôlement, implémente un procédé de mise en œuvre d'une communication sécurisée similaire au procédé 100 tel que décrit précédemment en liaison avec la figure 9 et déroulé par le premier dispositif électronique Di. Les instants El' à E5' sont donc respectivement des instants « miroirs » et/ou correspondant aux instants El à E5 détaillés dans le cadre du processus d'enrôlement du premier dispositif électronique Di. A l'issue de la mise en œuvre du processus d'enrôlement dudit deuxième dispositif électronique Dj , la table DT, stockée dans la mémoire de données 22 du serveur de gestion des communications ESM comporte un deuxième enregistrement DTj associé et dédié audit deuxième dispositif électronique Dj .

Brièvement, un premier instant El' correspond à l'élaboration et la transmission (étape 112 du procédé 100) d'un premier message encodant une requête en enrôlement RR, véhiculant des valeurs respectives de données d' identification dudit deuxième dispositif électronique Dj , parmi lesquelles les valeurs respectives de l'identificateur IDj et de la clé publique PKj . En réponse à la réception par ledit serveur gestionnaire des communications ESM (étape 211 d'un procédé 200), ce dernier peut transmettre, en une étape 212, un message ACK adressé audit deuxième dispositif électronique Dj ayant émis la deuxième requête en enrôlement RR, tel qu'évoqué précédemment .

De manière avantageuse mais non obligatoire, un serveur gestionnaire des communications ESM conforme à l'invention peut transmettre, à son tour, en un instant E2', un message encodant une requête en autorisation d'enrôlement ARR à destination d'un serveur de sécurité DSM. Une telle élaboration d'un message ARR, suivie de l'émission de ce dernier, constitue une étape 213 du sous procédé 220 mis en œuvre par ledit serveur gestionnaire des communications ESM. Un tel message encodant une requête en autorisation d'enrôlement ARR véhicule tout ou partie des données d' identification du deuxième dispositif électronique Dj requérant un enrôlement. En réponse à une telle sollicitation, ledit serveur de sécurité DSM peut élaborer un certificat numérique Cj , encodant tout ou partie desdites données d' identification dudit deuxième dispositif électronique Dj et l'adresser au serveur gestionnaire des communications ESM. Ce dernier réceptionne un tel certificat numérique Cj en une étape 214 et crée, en une étape subséquente 215, une entrée ou un deuxième enregistrement DTj dans la table des dispositifs DT. Ledit enregistrement DTj comporte alors ledit certificat numérique Cj et/ou les valeurs respectives de l'identificateur IDj et de la clé publique PKj dudit deuxième dispositif électronique Dj requérant un enrôlement. Selon l'exemple décrit par la figure 3, ledit processus d'enrôlement du deuxième dispositif électronique Dj , de manière avantageuse, se poursuit par l'élaboration puis l'émission d'un message RA de finalisation d'enrôlement, en une étape 216 par ledit serveur gestionnaire des communications ESM à destination dudit dispositif électronique requérant Dj . Cette étape correspond à l'instant référencé E4' en figure 3.

Un tel message RA peut comporter, outre des données d' identification publiques des deux entités Dj et ESM, telles que les identificateurs IDj et IDesm, des données complémentaires AI, telles que, par exemple, un code de blocage et/ou un code de révocation dudit deuxième dispositif électronique Dj , ou toute autre information complémentaire de nature à éventuellement conditionner ou limiter dans le temps l'enrôlement dudit deuxième dispositif électronique Dj . Tout ou partie des données d' identification du serveur gestionnaire des communications ESM ainsi que desdites informations additionnelles AI peuvent faire l'objet, en une étape 114, d'une opération de consignation, dans la mémoire de données 12 du deuxième dispositif électronique Dj .

L'invention prévoit que ladite étape 114 puisse en outre consister en l'élaboration puis la transmission, par les moyens de communication 13 ou 16 dudit deuxième dispositif électronique Dj , d'un message ACK accusant réception et traitement du message RA à destination du serveur gestionnaire des communications ESM. Ce dernier, alors en attente dudit message, en une étape 217, peut avantageusement déclencher la mise en œuvre d'une étape 218 pour mettre à jour l'enregistrement DTj dans la table des dispositifs DT pour que ce dernier inscrive un champ de statut d'enrôlement Sj prenant pour valeur courante, une première valeur prédéterminée attestant que le processus d'enrôlement a été intégralement réalisé par ledit deuxième dispositif électronique Dj et par le serveur gestionnaire des communications ESM. Dans le cas contraire, ledit statut d'enrôlement Sj maintient pour valeur courante, une deuxième valeur déterminée autre que celle attestant que le premier processus d'enrôlement a été intégralement réalisé, ladite deuxième valeur courante ayant été initialisée lors de la création de l'enregistrement DTj à l'étape 215. La mise à jour dudit enregistrement correspond à l'instant référencé E5' sur la figure 3.

La figure 4, en lien avec les figures 9 et 10A, décrit un deuxième processus visant à autoriser des premier et deuxième dispositifs électroniques à établir une communication bilatérale directe et sécurisée SCij , en l'espèce les dispositifs électroniques Di et Dj précédemment décrits en lien avec la figure 3, ayant donc fait l'objet de processus d'enrôlement. Selon l'exemple non limitatif de la figure 4, un tel processus visant à autoriser une communication bilatérale sécurisée consiste principalement en deux sous-procédés référencés 120 et 220, respectivement en figures 9 et 10A, et mis en œuvre par les dispositifs électroniques Di et Dj et par le serveur gestionnaire des communications ESM.

Un tel deuxième processus est majoritairement opéré par un serveur gestionnaire des communications ESM conforme à l'invention, et tel que celui décrit en lien avec la figure 2. Ce dernier met ainsi un sous-procédé visant à autoriser une communication bilatérale sécurisée entre deux dispositifs électroniques ayant fait l'objet préalablement d'un premier processus d'enrôlement. Un exemple préféré mais non limitatif sous la forme d'un sous- procédé 220 visant à autoriser une telle communication est illustré par la figure 10A. Ce dernier comporte une étape 222, et correspond aux instants Eli et Eli' en figure 4, pour lire des données d'identification IDi, IDj, Ci, PKi, Cj ou encore PKj de premier et deuxième dispositifs électroniques Di et Dj dans la table des dispositifs électroniques DT. Plus précisément, une telle étape 222 comporte une lecture du contenu des deux enregistrements DTi et DTj associés respectivement auxdits dispositifs électroniques Di et Dj et initialisés par la mise en œuvre du sous-procédé 210 évoqué précédemment en lien avec un premier processus d'enrôlement conforme à l'invention.

Pour administrer une future communication bilatérale sécurisée SCij entre les deux dispositifs électroniques Di et Dj , le sous-procédé 220 comporte une étape 224, correspondant à l'instant E12 ou E12' en figure 4, pour élaborer un premier message encodant une requête de mise en relation BR, ledit premier message comportant tout ou partie des données d'identification publiques, telles que les valeurs des identificateurs IDi, IDj, et/ou les clés publiques PKi et PKj , voire les certificats numériques Ci et Cj associés aux deux dispositifs électroniques, lesdites données étant tirées ou lues à l'étape 222 dans la table des dispositifs électroniques DT.

Une telle étape 224 consiste en outre à déclencher l'émission, par les moyens de communication 23, dudit premier message encodant une requête de mise en relation BR, à destination des deux dispositifs électroniques Di et Dj concernés par ladite requête de mise en relation BR.

Ledit sous-procédé 220 comporte à présent une étape d'attente 225 d'une réponse émanant de chacun desdits deux dispositifs électroniques, en l'espèce un message ACK accusant réception et traitement de ladite requête BR de mise en relation.

Ainsi, chaque dispositif électronique Di ou Dj , ou plus précisément leur propre unité de traitement 11 et/ou 31, met en œuvre un sous-procédé 120 d'un procédé de mise en œuvre d'une communication sécurisée 100 tel que décrit en lien avec la figure 9. Ce dernier comporte une première étape 121 pour recevoir, via leurs moyens de communication 13 respectifs, le message encodant une requête de mise en relation BR émis par le serveur gestionnaire des communications ESM, en des instants E12 et E12' en figure 4, respectivement pour les dispositifs électroniques Di et Dj .

Ladite étape 121 consiste en outre à décoder un tel message encodant une requête de mise en relation BR pour collecter tout ou partie des données d' identification publiques IDi, IDj, Ci, PKi, Cj et/ou PKj , des premier et deuxième dispositifs électroniques Di, Dj . Ainsi, par la lecture desdites données d' identification, les deux dispositifs électroniques Di et Dj peuvent chacun vérifier que ledit message BR reçu leur est bien destiné et connaître certaines données d'indentification d'un futur partenaire de communication. Les deux dispositifs électroniques Di et Dj , en des instants respectifs E13 et E13' , mettent en œuvre une étape 122 subséquente dudit sous-procédé 120, pour inscrire dans leurs mémoires de données 12 et/ou 32, tout ou partie des données d'identification dudit dispositif électronique partenaire. Ainsi, l'étape 122 consiste, pour le premier dispositif électronique Di, à mémoriser, par exemple, les valeurs respectives de l'identificateur IDj et de la clé publique PKj propres au deuxième dispositif électronique Dj . Ces valeurs peuvent être immédiatement déduites de la teneur du message encodant une requête de mise en relation BR transmis du serveur gestionnaire des communications ESM ou bien déduites du certificat électronique Cj , si celui-ci est véhiculé par ledit message en lieu et place desdits identificateur IDj et clé publique PKj . Réciproquement, l'étape 122 du sous-procédé mis en œuvre par l'unité de traitement du deuxième dispositif électronique Dj consiste à mémoriser, par exemple, les valeurs respectives de l'identificateur IDi et de la clé publique PKi propres au premier dispositif électronique Dj . Ces valeurs peuvent être immédiatement déduites de la teneur du message encodant une requête de mise en relation BR transmis du serveur gestionnaire des communications ESM ou bien déduites du certificat électronique Ci, si celui-ci est véhiculé par ledit message en lieu et place desdits identificateur IDi et clé publique PKi .

Pour pouvoir mettre en œuvre une communication bilatérale sécurisée SCij préservant d'une part, la bande passante du réseau de communication N véhiculant les futurs messages de données et/ou d'actions que pourront s'échanger lesdits premier et deuxième dispositifs électroniques Di et Dj , l'invention prévoit en outre que ladite étape 122, mise en œuvre par lesdits deux dispositifs électroniques Di et Dj , consiste à produire une valeur de clé SKij secrète et partagée, bien que non échangée, entre lesdits deux dispositifs électroniques, en mettant par exemple en œuvre un procédé connu sous l'appellation Diffie-Helmann . D'autres techniques pourraient en variante et/ou en complément être mises en œuvre pour produire, chez chacun desdits deux dispositifs électroniques Di et Dj , une valeur d'une clé secrète SKij destinée à être exploitée dans le cadre d'un processus de communication par chiffrement/déchiffrement symétrique, symbolisé par l'instant E17, par la mise en œuvre avantageuse mais non limitative de l'algorithme AES (« Advanced Encryption Standard » selon une terminologie anglo-saxonne) ou standard de chiffrement avancé également connu sous le nom de Rijndael, couplé au mode d'opération de chiffrement par bloc GCM (« Galois/Counter » Mode selon une terminologie anglo-saxonne) . Un tel choix avantageux permet de privilégier efficacité et performances dans le cadre des futurs échanges chiffrés entre les deux dispositifs électroniques Di et Dj , sans que ces derniers disposent obligatoirement de ressources matérielles sophistiquées, réduisant ainsi le coût de déploiement de l'invention. Nous pouvons remarquer que chacun desdits premier et deuxième dispositifs électroniques peut enregistrer la clé secrète SKij produite, voire en dériver classiquement la valeur au cours de la communication sécurisée SCij , sans qu'aucune autre entité électronique ne connaisse ladite valeur secrète SKij, y compris le serveur gestionnaire des communications ESM.

Ladite valeur de la clé secrète SKij partagée entre les deux dispositifs électroniques Di et Dj , sans que ces derniers aient besoin de l'échanger, est ainsi avantageusement obtenue à partir des valeurs issues desdites données d' identification des premier et deuxième dispositifs électroniques. Ainsi, par exemple, à l'étape 122, le premier dispositif électronique Di élabore la clé SKij à partir des valeurs de sa clé secrète SKi et de la clé publique PKj du deuxième dispositif électronique et ledit deuxième dispositif électronique Dj élabore ladite clé SKij à partir des valeurs de sa clé secrète SKj et de la clé publique PKi dudit premier dispositif électronique Di .

L'invention prévoit qu'un mécanisme similaire puisse être mis en œuvre par le dispositif électronique Di et par le serveur gestionnaire des communication ESM pour établir une clé secrète SKiesm partagée, c'est-à-dire construite de part et d'autre, entre ledit dispositif électronique Di et le serveur gestionnaire des communications ESM, sans que ces derniers aient besoin de l'échanger. Le premier dispositif électronique Di peut élaborer la clé SKiesm à partir des valeurs de sa clé secrète SKi et de la clé publique PKesm du serveur gestionnaire des communications ESM. Ce dernier peut élaborer ladite clé SKiesm à partir des valeurs de sa clé secrète SKiesm et de la clé publique PKi dudit premier dispositif électronique Di. Il peut en être de même pour le deuxième dispositif électronique Dj . De cette manière, lesdits dispositifs électroniques Di et Dj peuvent interagir, respectivement par communications bilatérales sécurisées SCiesm ou SCjesm, avec le serveur gestionnaire des communications ESM via un protocole de chiffrement/déchiffrement symétrique par l ' exploitations respectives des clés secrètes SKiesm et SKjesm.

Le sous-procédé 120, mis en œuvre par les deux dispositifs électroniques Di et Dj , peut également comporter, dès l'élaboration de ladite clé secrète SKij , une étape 123 pour élaborer un message ACK accusant réception et traitement de la requête de mise en relation BR à destination du serveur gestionnaire de communications bilatérales sécurisées ESM.

A l'instant E14 ou E14' en figure 4, le procédé 200, mis en œuvre par le serveur gestionnaire ESM, alors en attente à l'étape 225, peut recevoir, via les moyens de communication 23, et décoder deux messages ACK, accusant réception et traitement de la requête en mise en relation BR, respectivement par lesdits deux dispositifs électroniques Di et Dj concernés par ladite requête de mise en relation BR. Ledit procédé, plus précisément le sous-procédé 220 décrit à titre d'exemple par la figure 10A, peut comporter une étape 226, correspondant à l'instant E15 en figure 4, pour créer et mettre à jour un enregistrement BTij dans la table des liens BT, afin que ledit enregistrement BTij mémorise les valeurs respectives de tout ou partie des données d' identification publiques desdits premier et deuxième dispositifs électroniques Di et Dj ainsi autorisés à être mis en relation. Une telle création dudit enregistrement BTij est avantageusement mise en œuvre par le serveur gestionnaire des communications ESM, si et seulement si (situation symbolisée par le lien 225y en figure 10A) lesdits deux messages ACK accusant réception et traitement par lesdits deux dispositifs électroniques Di et Dj dudit premier message encodant la requête de mise en relation BR ont été bien préalablement reçus et décodés à l'étape 225, aux instants E14, E14'.

De leurs côtés, lesdits premier et deuxième dispositifs Di et Dj , ainsi mis en relation ou « partenaires », peuvent entreprendre des échanges sécurisés, via une ou plusieurs itérations d'étapes 131, et 132, au-delà de l'instant E17, pour recevoir, via les moyens de communication 13, et décoder un message de données et/ou d'actions, émanant du dispositif électronique partenaire. Réciproquement, lesdits premier et deuxième dispositifs Di et Dj peuvent entreprendre des échanges sécurisés, via une ou plusieurs itérations d'étapes 135, et 136, au-delà de l'instant E17, pour élaborer, encoder puis émettre, via les moyens de communication 13, un tel message de données et/ou d'actions, à destination dudit dispositif électronique partenaire. La teneur de tels messages est chiffrée ou déchiffrée à l'aide de la valeur de ladite clé SKij seule connue des deux dispositifs partenaires. De telles étapes 131, 132, 135, 136, sont représentées en figure 9 comme appartenant à un même sous-procédé 130 du procédé 100 pour mettre en œuvre une communication sécurisée au sens de 1 ' invention .

L'invention prévoit en outre qu'un serveur gestionnaire de communications ESM, mettant en œuvre un procédé 200 tel qu'évoqué précédemment, puisse préciser certaines modalités conduisant des échanges chiffrés SCij entre deux dispositifs électroniques liés ou partenaires.

En effet, selon la fonction principale d'un dispositif électronique, par exemple si celui-ci est principalement agencé pour effectuer des mesures périodiques d'une température ou bien s'il contrôle un actionneur sensible, le niveau de sécurité et/ou de chiffrement des échanges peut être modulé et administré par ledit serveur gestionnaire des communications ESM. Ainsi, l'invention prévoit, par exemple, qu'une mise en relation de deux dispositifs électroniques puisse requérir une authentification mutuelle forte préalable à tout échange entre les deux dispositifs électroniques, une communication de message chiffrés sans authentification mutuelle préalable, voire même une communication requérant un faible niveau de protection ou une absence de protection sur certains messages, comme pour de la télémétrie par exemple. Pour cela, une politique de telle mise en relation, ou « binding policy » selon une terminologie anglo-saxonne, peut être encodée sous la forme d'un champ ou élément supplémentaire BP véhiculé dans un message encodant une requête en mise en relation BR, tel qu'évoquée précédemment (instants E14, E14' en figure 4) . Ainsi, ledit serveur gestionnaire des communications ESM peut décrire par ledit champ BP une modalité de mise en œuvre d'une communication sécurisée SCij entre deux dispositifs électroniques, tels que les dispositifs Di et Dj selon la figure 4, autorisés à être mis en relation.

Dans ce cas, l'invention prévoit qu'une l'étape 122 d'un procédé 100 de mise en œuvre d'une communication sécurisée par tout dispositif électronique Di, agencé pour être conforme à l'invention, puisse consister en outre à inscrire la valeur du champ BP ou d'en procéder en une transcription, dans la mémoire de données 12 ou 32 d'un tel dispositif électronique Di, si celui-ci est conforme à la figure Al. Les étapes du sous-procédé 130, évoqué précédemment pour mettre en œuvre la communication SCij , sont également adaptées pour satisfaire à la politique de mise en relation définie par le champ BP véhiculé par la requête en mise en relation BR émise par le serveur gestionnaire des communications ESM.

En liaison avec les figures 4, 9 et 10A, nous avons tout d'abord examiné une mise en œuvre d'une relation sécurisée SCij entre des premier et deuxième dispositifs électroniques Di et Dj , en réponse à l'émission d'un message encodant une requête de mise en relation BR par un serveur gestionnaire des communications ESM conforme à l'invention. Une telle requête BR peut être à l'initiative dudit serveur gestionnaire des communications ESM ou bien résulter d'une consigne venant d'un tiers, en l'espèce selon la figure 4, d'un serveur de sécurité des dispositifs électroniques DSM.

Pour cela, un tel serveur de sécurité DSM, ou plus généralement un objet électronique tiers agissant en tant que gestionnaire de la sécurité des dispositifs électroniques et coopérant avec ledit serveur gestionnaire de communications ESM, peut émettre à l'instant E10, un message de consigne B de mise en relation des premier et deuxième dispositifs électroniques Di et Dj . Un tel message de consigne B comporte avantageusement des données d' identification, telles que les valeurs des identificateurs IDi et IDj, des deux dispositifs électroniques Di et Dj à mettre en relation. L'étape 222 pour lire dans la table des dispositifs DT des données d' identification de deux dispositifs électroniques (correspondant aux instants Eli et Eli' en figure 4) d'un procédé pour administrer une communication bilatérale sécurisée selon l'invention, tel qu'illustré par la figure 10A, peut alors être adaptée pour rechercher les enregistrements DTi et DTj , comportant les valeurs respectives desdites données d' identification véhiculées dans le message de consigne B et reçu en une étape 221. Les étapes subséquentes 223 à 226, telles que détaillées précédemment, demeurent inchangées.

L' invention prévoit simplement de pouvoir adapter un procédé 200 en ajoutant une étape 227, subséquente à l'étape 226, pour créer et mettre à jour un enregistrement BTij dans la table des liens BT, afin que ladite étape 227 consiste à :

élaborer un message ACK accusant réception et traitement, par ledit serveur gestionnaire de communications ESM, de la consigne de mise en relation B des deux dispositifs électroniques Di et Dj ;

déclencher l'émission dudit message ACK à destination de l'objet électronique DSM agissant en tant que gestionnaire de la sécurité des dispositifs électroniques.

La mise en œuvre d'une telle étape 227 est symbolisée par l'instant E16 en figure 4.

La figure 4 nous a permis d'étudier comment, selon l'invention, un serveur gestionnaire de communications ESM peut, éventuellement sous la consigne d'un objet tiers, tel qu'un serveur de sécurité DSM, peut instaurer une mise en relation entre deux dispositifs électroniques appartenant à une pluralité, voire en préciser les modalités ou plus généralement une politique de sécurité régissant les futurs échanges SCij sécurisés entre les deux dispositifs électroniques partenaires.

La figure 5, en lien avec les figures 9 et 10A, permet d'illustrer qu'un tel serveur gestionnaire des communications ESM conforme à l'invention peut également interrompre une telle mise en relation, par exemple, lorsque que celle-ci n'est plus pertinente au regard d'un contexte d'ordre applicatif.

Ladite figure 5, en lien avec les figures 9 et 10A, décrit un troisième processus, visant quant à lui, à mettre ainsi un terme à un partenariat de communication bilatérale sécurisée SCij entre des premier et deuxième dispositifs électroniques, préalablement autorisés à établir une telle communication bilatérale directe et sécurisée SCij, en l'espèce les dispositifs électroniques Di et Dj précédemment décrits en lien avec la figure 4.

Selon l'exemple non limitatif illustré par la figure 5, un tel troisième processus visant à suspendre une communication bilatérale sécurisée SCij consiste principalement en deux sous-procédés référencés 140 et 230, respectivement en figures 9 et 10A, et mis en œuvre par les dispositifs électroniques Di et Dj et par le serveur gestionnaire des communications ESM.

Un tel troisième processus est majoritairement opéré par un serveur gestionnaire des communications ESM conforme à l'invention, et tel que celui décrit en lien avec la figure 2. Ce dernier met ainsi en œuvre un sous- procédé visant à annuler une relation préalablement autorisée. Un exemple préféré mais non limitatif sous la forme d'un sous-procédé 230 est illustré par la figure 10A. Ce dernier comporte une étape 232, et correspond aux instants E22 et E22' en figure 5, pour lire des données d'identification IDi, IDj, Ci, PKi, Cj ou encore PKj de premier et deuxième dispositifs électroniques Di et Dj dans la table des dispositifs électroniques DT. Plus précisément, une telle étape 232 comporte une lecture du contenu des deux enregistrements DTi et DTj associés respectivement auxdits dispositifs électroniques Di et Dj et initialisés par la mise en œuvre du sous-procédé 210 évoqué précédemment en lien avec un processus d'enrôlement conforme à l'invention.

Pour administrer une future fin de communication bilatérale sécurisée entre les deux dispositifs électroniques Di et Dj , encore faut-il qu'une mise en relation préalable ait eu lieu. L'invention prévoit ainsi que le sous-procédé 230 puisse comporter une étape optionnelle 233 visant à s'assurer d'un tel fait préalable. Ladite étape 233 consiste à lire la table des liens BT et à rechercher dans ladite table, un enregistrement associé à une telle mise en relation préalable. Un tel enregistrement BTij doit comporter, comme examiné dans le cadre d'une mise en relation, en l'espèce l'étape 226, tout ou partie des données d' identification publiques desdits premier et deuxième dispositifs électroniques Di et Dj autorisés à être mis en relation. En l'absence d'un tel enregistrement BTij (situation symbolisée par le lien 233n en figure 10A) , ledit sous-procédé 230 peut s'interrompre. Dans la situation contraire symbolisée par le lien 233y en figure 10A, ledit sous-procédé 230 comporte une étape 234, correspondant à l'instant E23 ou E23' en figure 5, pour élaborer un message encodant une requête d'annulation de mise en relation UBR, ledit message comportant tout ou partie des données d' identification, telles que les valeurs des identificateurs IDi, IDj, et/ou les clés publiques PKi et PKj , voire les certificats numériques Ci et Cj associés des deux dispositifs électroniques, lesdites données étant tirées ou lues à l'étape 232 dans la table des dispositifs électroniques DT .

Une telle étape 234 consiste en outre à déclencher l'émission, par les moyens de communication 23, dudit message encodant une requête d'annulation de mise en relation UBR, à destination des deux dispositifs électroniques Di et Dj concernés par ladite requête d'annulation de mise en relation UBR.

Ledit sous-procédé 230 comporte à présent une étape d'attente 235 d'une réponse émanant de chacun desdits deux dispositifs électroniques, en l'espèce un message ACK accusant réception et traitement de ladite requête d'annulation de mise en relation UBR.

Ainsi, chaque dispositif électronique Di ou Dj , ou plus précisément leur propre unité de traitement 11 et/ou 31, met en œuvre un sous-procédé 140, d'un procédé de mise en œuvre d'une communication sécurisée 100 tel que décrit en lien avec la figure 9. Ce dernier comporte une première étape 141 pour recevoir, via leurs moyens de communication 13 respectifs, le message encodant une requête d'annulation de mise en relation UBR émis par le serveur gestionnaire des communications ESM, en des instants E23 et E23' en figure 5 respectivement pour les dispositifs électroniques Di et Dj .

Ladite étape 141 consiste en outre à décoder un tel message encodant une requête d'annulation de mise en relation UBR pour collecter tout ou partie des données d'identification publiques IDi, IDj, Ci, PKi, Cj et/ou PKj , des premier et deuxième dispositifs électroniques Di, Dj . Ainsi, par la lecture desdites données d' identification, les deux dispositifs électroniques Di et Dj peuvent chacun vérifier que ledit message UBR reçu leur est bien destiné et connaître certaines données d'identification d'un futur ex-partenaire de communication. Les deux dispositifs électroniques Di et Dj , en des instants respectifs E24 et E24' en figure 5, mettent en œuvre une étape 142 subséquente dudit sous- procédé 140, pour supprimer dans leurs mémoires de données 12 et/ou 32, tout ou partie des données d'identification dudit dispositif électronique anciennement partenaire. Ainsi, l'étape 142 consiste, pour le premier dispositif électronique Di, à effacer, par exemple, les valeurs respectives de l'identificateur IDj et de la clé publique PKj propres au deuxième dispositif électronique Dj . Ces valeurs peuvent être immédiatement déduites de la teneur du message encodant la requête d'annulation de mise en relation UBR transmis du serveur gestionnaire des communications ESM ou bien déduites du certificat électronique Cj , si celui-ci est véhiculé par ledit message en lieu et place desdits identificateur IDj et clé publique PKj. Réciproquement, l'étape 142 du sous-procédé mis en œuvre par l'unité de traitement du deuxième dispositif électronique Dj consiste à effacer, par exemple, les valeurs respectives de l'identificateur IDi et de la clé publique PKi propres au premier dispositif électronique Dj . Ces valeurs peuvent être immédiatement déduites de la teneur du message encodant la requête d'annulation de mise en relation UBR transmis du serveur gestionnaire des communications ESM ou bien déduites du certificat électronique Ci, si celui-ci est véhiculé par ledit message en lieu et place desdits identificateur IDi et clé publique PKi .

Pour pouvoir mettre un terme à toute communication bilatérale sécurisée SCij interdisant tout futur message de données et/ou d'actions échangé par lesdits premier et deuxième dispositifs électroniques Di et Dj , l'invention prévoit en outre que ladite étape 142 mise en œuvre par lesdits deux dispositifs électroniques Di et Dj consiste à effacer la valeur de clé secrète et partagée SKij entre lesdits deux dispositifs électroniques.

Le sous-procédé 140 mis en œuvre par les deux dispositifs électroniques Di et Dj peut également comporter, dès la suppression de la valeur de ladite clé secrète SKij, une étape 143 pour élaborer un message ACK accusant réception et traitement de la requête d'annulation de mise en relation UBR à destination du serveur gestionnaire de communications bilatérales sécurisées ESM.

A l'instant E25 ou E25' en figure 5, le sous-procédé 230 du procédé 200, mis en œuvre par le serveur gestionnaire ESM, alors en attente à l'étape 235, peut recevoir, via les moyens de communication 23, et décoder deux messages ACK, accusant réception et traitement de la requête d'annulation de mise en relation UBR, respectivement par lesdits deux dispositifs électroniques Di et Dj concernés par ladite requête d'annulation de mise en relation UBR. Ledit procédé 200, plus précisément le sous-procédé 230, décrit à titre d'exemple par la figure 10A, peut comporter une étape 236, correspondant à l'instant E26 en figure 5, pour supprimer l'enregistrement BTij dans la table des liens BT, afin que lesdits premier et deuxième dispositifs électroniques Di et Dj ne soient plus autorisés à être mis en relation. Une telle suppression dudit enregistrement BTij est avantageusement mise en œuvre par le serveur gestionnaire des communications ESM, si et seulement si (situation symbolisée par le lien 235y en figure 10A) lesdits deux messages accusant réception et traitement par lesdits deux dispositifs électroniques Di et Dj dudit premier message encodant la requête d'annulation de mise en relation UBR ont été bien préalablement reçus et décodés à l'étape 235, aux instants E25, E25' .

De leurs côtés, lesdits premier et deuxième dispositifs Di et Dj , ne sont plus « partenaires » ou liés, et ne peuvent plus, dès la suppression de la valeur de la clé SKij , voire des données d'identification de l'ex partenaire, soit au premier des instants entre les instants E24 et E24', entreprendre des échanges sécurisés, via une ou plusieurs itérations d'étapes 131 et 132 pour recevoir, via les moyens de communication 13, et décoder un message de données et/ou d'actions, émanant du dispositif électronique ex-partenaire. Réciproquement, lesdits premier et deuxième dispositifs Di et Dj ne peuvent plus entreprendre des échanges sécurisés, via une ou plusieurs itérations d'étapes 135 et 136 pour élaborer, encoder puis émettre, via les moyens de communication 13, un tel message de données et/ou d'actions, à destination dudit dispositif électronique ex-partenaire.

En liaison avec les figures 5, 9 et 10A, nous avons tout d'abord examiné l'annulation d'une relation sécurisée, sous la forme d'une communication bilatérale sécurisée SCij , entre des premier et deuxième dispositifs électroniques Di et Dj , en réponse à l'émission d'un message encodant une requête d'annulation de mise en relation UBR par un serveur gestionnaire des communications ESM conforme à l'invention. Une telle requête UBR peut être à l'initiative dudit serveur gestionnaire des communications ESM ou bien résulter d'une consigne venant d'un tiers, en l'espèce sur la figure 5 d'un serveur de sécurité des dispositifs électroniques DSM .

Pour cela, un tel serveur de sécurité DSM, ou plus généralement un objet électronique tiers agissant en tant que gestionnaire de la sécurité des dispositifs électroniques et coopérant avec ledit serveur gestionnaire de communications ESM, peut émettre à l'instant E21, un message de consigne UB en annulation de mise en relation des premier et deuxième dispositifs électroniques Di et Dj . Un tel message de consigne UB comporte avantageusement des données d'identification publiques, telles que les valeurs des identificateurs IDi et IDj des deux dispositifs électroniques Di et Dj dont on souhaite mettre un terme à toute relation ou partenariat selon l'invention.

L'étape 232 pour lire, dans la table des dispositifs DT, DTi, DTj , des données d'identification publiques de deux dispositifs électroniques, correspondant aux E22 et E22' en figure 5, d'un procédé pour administrer une communication bilatérale sécurisée selon l'invention, tel qu'illustré par la figure 10A, peut alors être adaptée pour rechercher les enregistrements DTi et DTj , comportant les valeurs respectives desdites données d' identification véhiculées dans le message de consigne UB reçu en une étape 231. Les étapes subséquentes 233 à 236, telles que détaillées précédemment, demeurent inchangées.

L' invention prévoit simplement de pouvoir adapter un procédé 200 en ajoutant une étape 237, subséquente à l'étape 236, pour supprimer un enregistrement BTij dans la table des liens BT, afin que ladite étape 237 consiste à :

élaborer un message ACK accusant réception et traitement, par ledit serveur gestionnaire de communications ESM, de la consigne UB en annulation de mise en relation des deux dispositifs électroniques Di et Dj ;

déclencher l'émission dudit message ACK à destination de l'objet électronique DSM agissant en tant que gestionnaire de la sécurité des dispositifs électroniques.

La mise en œuvre d'une telle étape 237 est symbolisée par l'instant E27 en figure 5.

La figure 4 et nous a permis d'étudier comment, selon l'invention, un serveur gestionnaire des communications ESM, peut, éventuellement sous la consigne d'un objet tiers, tel qu'un serveur de sécurité DSM, instaurer ou annuler une mise en relation entre deux dispositifs électroniques appartenant à une pluralité.

Outre un premier processus d'enrôlement d'un dispositif électronique illustré par la figure 3, un deuxième processus pour autoriser une mise en relation sécurisée entre deux dispositifs électroniques illustré par la figure 4 et un troisième processus pour annuler une telle autorisation décrite en lien avec la figure 5, la figure 6, en liaison avec les figures 9 et 10B, permet d' illustrer une quatrième fonctionnalité ou processus qu'un serveur gestionnaire des communications ESM conforme à l'invention, peut également assurer.

Durant une exploitation d'une pluralité de dispositifs électroniques, quand bien même ces derniers aient individuellement satisfaits à leurs obligations imposées par ledit premier processus d'enrôlement, voire même que d'autres soient concernés par un processus de mise en relation bilatérale avec un pair, l'un desdits dispositifs électroniques peut nécessiter, par exemple, une opération de maintenance ou de calibrage, durant laquelle, il est souhaitable de suspendre provisoirement toute nouvelle tentative de mise en relation, voire toute communication sécurisée actuellement autorisée.

La figure 6, en lien avec les figures 9 et 10B, illustre ainsi un quatrième processus visant à bloquer ou suspendre un tel dispositif électronique, en l'espèce le dispositif Di, évoqué précédemment d'une part, dans le cadre d'un premier processus d'enrôlement puis d'un deuxième processus de mise en relation avec un deuxième dispositif électronique Dj , respectivement selon les figures 3 et 4. Selon l'exemple non limitatif de la figure 6, un tel quatrième processus consiste principalement en deux sous-procédés référencés 150 et 240, respectivement en figures 9 et 10B, et mis en œuvre par les dispositifs électroniques Di et Dj et par le serveur gestionnaire des communications ESM.

Un tel quatrième processus est majoritairement opéré par un serveur gestionnaire des communications ESM conforme à l'invention, tel que celui décrit en lien avec la figure 2. Ce dernier met ainsi en œuvre un sous-procédé 240 visant à suspendre ou bloquer l'exploitation d'un dispositif électronique ayant fait l'objet préalablement d'un processus d'enrôlement, en l'espèce le dispositif électronique Di. L'exemple préféré mais non limitatif d'un tel sous-procédé 240 comporte une étape 242, et correspond à l'instant E32 en figure 5, pour lire des données d'identification IDi, PKi, ou Ci du dispositif électronique Di dans la table des dispositifs électroniques DT. Plus précisément, une telle étape 242 comporte une lecture du contenu de l'enregistrement DTi associé audit dispositif électroniques Di et initialisé par la mise en œuvre du sous-procédé 210 évoqué précédemment en lien avec un premier processus d'enrôlement conforme à l'invention.

Pour suspendre l'exploitation du dispositif électronique Di, le sous-procédé 240 comporte une étape 244, correspondant à l'instant E33 en figure 6, pour élaborer un message encodant une requête de blocage d'un dispositif électronique BKR, ledit message comportant tout ou partie des données d'identification publiques, telles que les valeurs de l'identificateur IDi et/ou de la clé publique PKi, voire le certificat numérique Ci associé du dispositif électronique Di, et un code de blocage BC, lesdites données étant tirées ou lues à l'étape 242 dans la table des dispositifs électroniques DT.

Une telle étape 244 consiste en outre à déclencher l'émission, par les moyens de communication 23, dudit message encodant une requête de blocage d'un dispositif électronique BKR, à destination du dispositif électronique Di concerné par ladite requête de blocage BKR.

Ledit sous-procédé 240 comporte à présent une étape d'attente 245 d'une réponse émanant dudit dispositif électronique Di, en l'espèce un message ACK accusant réception et traitement de ladite requête de blocage BKR. Ainsi, le dispositif électronique Di, ou plus précisément sa propre unité de traitement 11 et/ou 31, met en œuvre un sous-procédé 150, d'un procédé de mise en œuvre d'une communication sécurisée 100, tel que décrit en lien avec la figure 9. Ce dernier comporte une première étape 151 pour recevoir, via les moyens de communication 13, le message encodant une requête de blocage d'un dispositif électronique BKR émis par le serveur gestionnaire des communications ESM, en un instant E33 en figure 5, pour le dispositif électronique Di.

Ladite étape 151 consiste en outre à décoder un tel message encodant une requête de blocage d'un dispositif électronique BKR pour collecter tout ou partie des données d'identification IDi, PKi et/ou Ci du dispositif électronique Di. Ainsi, par la lecture desdites données d' identification, le dispositif électronique Di peut vérifier que ledit message BKR reçu lui est bien destiné. Le dispositif électronique Di, en un instant E34 en figure 5, met en œuvre une étape 152 subséquente dudit sous- procédé 150, pour comparer la valeur ou teneur du code de blocage BC tiré dudit message avec celle mémorisée par ledit dispositif électronique Di lors du traitement 110 de la dernière requête en enrôlement de ce dernier (à l'étape 114 notamment) . Si une égalité est alors vérifiée, alors ladite étape 152 consiste à inscrire dans la mémoire de données 12 et/ou 32, une information, symbolisée par un panneau d'interdiction en figure 9, agissant tel un sémaphore exploité par l'unité de traitement 11 et/ou 31 pour notamment prévenir toute communication avec un pair. Le sous-procédé 150, mis en œuvre par le dispositif électronique Di, peut également comporter, dès l'inscription de la donnée sémaphore, une étape 153 pour élaborer un message ACK accusant réception et traitement de la requête de blocage BKR à destination du serveur gestionnaire des communications bilatérales sécurisées ESM .

A l'instant E35, le procédé 200, mis en œuvre par le serveur gestionnaire ESM, alors en attente à l'étape 245 peut recevoir, via les moyens de communication 23, et décoder le message ACK accusant réception et traitement de la requête de blocage BKR par ledit dispositif électronique Di concernés par ladite requête de blocage BKR. Ledit procédé 200, plus précisément le sous-procédé 240 décrit à titre d'exemple par la figure 10B, peut comporter une étape 246, correspondant à l'instant E36 en figure 6, pour mettre à jour l'enregistrement DTi dans la table des dispositifs DT, afin que ledit enregistrement DTi comporte la donnée décrivant un statut d'enrôlement Si dudit dispositif électronique Di, ledit statut d'enrôlement prenant comme valeur prédéterminée caractérisant le statut « dispositif bloqué » ou plus généralement une valeur autre que la valeur prédéterminée associée à un « dispositif valide » c'est-à-dire ayant suivi parfaitement un premier processus d'enrôlement et n'étant pas concerné par une procédure de blocage.

Une telle mise à jour de l'enregistrement DTi est avantageusement mise en œuvre par le serveur gestionnaire des communications ESM, si et seulement si, situation symbolisée par le lien 245y en figure 10B, le message accusant réception et traitement par ledit dispositifs électronique Di dudit message encodant la requête de blocage BKR a bien été préalablement reçu et décodé à l'étape 245, à l'instant E35 en figure 6. Pour que les communications avec un ou plusieurs dispositifs électroniques partenaires cessent, telle que la communication bilatérale sécurisée SCij avec le dispositif électronique Dj , les étapes du sous-procédé 130, mis en œuvre par ledit dispositif électronique Di, sont agencées pour exploiter ladite donnée sémaphore mouvementée lors de la mise en œuvre de l'étape 152, pour ne pas entreprendre d'échanges sécurisés, au-delà de l'instant E34, au moyen d'une ou de plusieurs itérations d'étapes 131 et 132 pour recevoir, via les moyens de communication 13, et décoder un message de données et/ou d'actions, émanant d'un dispositif électronique partenaire. Également, le dispositif électronique Di ne peut plus entreprendre d'échanges sécurisés, via une ou plusieurs itérations d'étapes 135 et 136, au-delà dudit instant E34, pour élaborer, encoder puis émettre, via les moyens de communication 13, un tel message de données et/ou d'actions, à destination d'un deuxième dispositif électronique partenaire.

Pour prévenir, durant une phase de blocage d'un premier dispositif Di, toute requête inutile en mise en relation dudit premier dispositif électronique Di avec un deuxième dispositif électronique Dj , l'invention prévoit d'adapter un procédé 200 pour administrer une communication sécurisée, mis en œuvre par un serveur gestionnaire des communications ESM, afin que l'étape 224 de celui-ci pour élaborer un message encodant une requête de mise en relation BR entre un premier dispositif électronique Di et un deuxième dispositif électronique Dj ne puisse être réalisée que si (situation symbolisée par le lien 223y en figure 10A) les deux statuts d'enrôlement Si et Sj associées aux deux dispositifs électroniques Di et Dj décrivent un statut « dispositif valide », c'est-à-dire ne faisant pas l'objet d'un processus d'enrôlement inachevé ou d'un processus de blocage. Un tel test de la valeur de chaque statut Si, Sj est symbolisée par l'étape 223 en figure 10A.

En liaison avec les figures 6, 9 et 10B, nous avons tout d'abord examiné l'élaboration et le traitement d'une requête en blocage d'un dispositif électronique BKR initiée par un serveur gestionnaire des communications ESM conforme à l'invention. Une telle requête BKR peut être à l'initiative dudit serveur gestionnaire des communications ESM ou bien résulter d'une consigne venant d'un tiers, en l'espèce sur la figure 6 d'un serveur de sécurité des dispositifs électroniques DSM. Pour cela, un tel serveur de sécurité DSM, ou plus généralement un objet électronique tiers agissant en tant que gestionnaire de la sécurité des dispositifs électroniques et coopérant avec ledit serveur gestionnaire de communications ESM, peut émettre à l'instant E31 en figure 6, un message de consigne BK de blocage d'un dispositif électronique Di. Un tel message de consigne BK comporte avantageusement des données d'identification publiques, telles que les valeurs de l'identificateur IDi du dispositif électronique Di dont l'exploitation en tant que nœud communicant dans un réseau administré selon l'invention doit être suspendue.

L'étape 242 pour lire dans la table des dispositifs DT des données d'identification du dispositif électronique, correspondant à l'instant E32 en figure 6, d'un procédé pour administrer une communication bilatérale sécurisée selon l'invention, tel qu'illustré par la figure 10B, peut alors être adaptée pour rechercher l'enregistrement DTi comportant les valeurs respectives desdites données d' identification véhiculées dans le message de consigne BK reçu en une étape 241. Les étapes subséquentes 243 à 246, telles que détaillées précédemment, demeurent inchangées.

L' invention prévoit simplement de pouvoir adapter un procédé 200 en ajoutant une étape 247, subséquente à l'étape 246, pour mettre à jour l'enregistrement DTi dans la table des dispositifs DT, afin que ladite étape 247 consiste à :

élaborer un message ACK accusant réception et traitement, par ledit serveur gestionnaire des communications ESM, de la consigne de blocage BK du dispositif électronique Di ;

déclencher l'émission dudit message ACK à destination de l'objet électronique DSM agissant en tant que gestionnaire de la sécurité des dispositifs électroniques.

La mise en œuvre d'une telle étape 247 est symbolisée par l'instant E37 en figure 6.

L'invention prévoit qu'un serveur gestionnaire des communications ESM ne transmette pas inutilement une requête en blocage à un dispositif électronique qui fait déjà l'objet d'une suspension provisoire. Dans ce cas, ledit sous-procédé 240, tel que décrit à titre d'exemple non limitatif en lien avec la figure 10B, peut comporter une étape optionnelle 243 visant à s'assurer d'un tel fait préalable. Ladite étape 243 consiste ainsi à lire la table des dispositifs DT et à rechercher dans ladite table, un enregistrement DTi associé à au dispositif électronique concerné par une éventuelle requête en blocage et, dans l'affirmative à lire la valeur du champ Si caractérisant le statut d'enrôlement dudit dispositif électronique Di. Un tel enregistrement DTi doit comporter tout ou partie des données d' identification dudit dispositif électronique Di. En l'absence d'un tel enregistrement DTi ou, lorsque celui-ci existe, mais que ledit statut Si indique une valeur autre que la valeur prédéterminée caractérisant un dispositif valide, situation symbolisée par le lien 243n en figure 10B, ledit sous-procédé 240 peut s'interrompre. Dans la situation contraire, symbolisée par le lien 243y en figure 10B, ledit sous-procédé 240 peut déclencher la mise en œuvre de l'étape 244 d'élaboration d'une requête en blocage d'un dispositif électronique, tel qu'évoqué précédemment .

A l'instar du deuxième processus permettant une autorisation de mise en relation entre deux dispositifs électroniques, ladite autorisation pouvant être annulée par la mise d'un œuvre d'un troisième processus conforme à l'invention, cette dernière prévoit que le blocage ou la suspension d'exploitation d'un dispositif électronique puisse être annulé par la mise en œuvre d'un cinquième processus visant à débloquer ou lever la suspension d'un tel dispositif électronique.

Un tel cinquième processus est illustré par la figure 7, en lien avec les figures 9 et 10B. Ledit processus vise à annuler les effets d'un traitement d'une requête en blocage BKR étudiée précédemment en lien avec la figure 6 et le dispositif électronique Di. Nous rappelons qu'un tel dispositif électronique Di a fait l'objet d'un premier processus d'enrôlement, puis éventuellement d'un deuxième processus de mise en relation avec un deuxième dispositif électronique Dj , respectivement selon les figures 3 et 4. Selon l'exemple non limitatif de la figure 7, considérons que ledit dispositif électronique Di a récemment fait l'objet d'un processus de blocage, illustré par la figure 6, et qu'il demeure donc dans un état de fonctionnement ne lui permettant ni d'être lié avec un deuxième dispositif électrique tel que le dispositif électronique Dj , ni d'échanger avec un tel deuxième dispositif électronique Dj , via une communication bilatérale sécurisée au sens de l'invention. Un tel cinquième processus consiste principalement en deux sous-procédés référencés 160 et 250, respectivement en figures 9 et 10B, et mis en œuvre par le dispositif électronique Di et par le serveur gestionnaire des communications ESM.

Un tel cinquième processus est majoritairement opéré par un serveur gestionnaire des communications ESM conforme à l'invention, tel que celui décrit en lien avec la figure 2. Ce dernier met ainsi en œuvre un sous-procédé 250 visant à réhabiliter, restaurer ou débloquer l'exploitation d'un dispositif électronique ayant fait l'objet préalablement d'un processus d'enrôlement, en l'espèce le dispositif électronique Di. L'exemple préféré mais non limitatif d'un tel sous-procédé 250 comporte une étape 252, correspondant à l'instant E42 en figure 7, pour lire des données d'identification IDi, PKi, ou Ci du dispositif électronique Di dans la table des dispositifs électroniques DT. Plus précisément, une telle étape 252 comporte une lecture du contenu de l'enregistrement DTi associé audit dispositif électronique Di et initialisé par la mise en œuvre du sous-procédé 210 évoqué précédemment en lien avec un premier processus d'enrôlement conforme à 1 ' invention .

Pour restaurer une exploitation du dispositif électronique Di, le sous-procédé 250 comporte une étape 254, correspondant à l'instant E43 en figure 7, pour élaborer un message encodant une requête de déblocage d'un dispositif électronique UBKR, ledit message comportant tout ou partie des données d'identification publiques, telles que les valeurs de l'identificateur IDi et/ou de la clé publique PKi, voire le certificat numérique Ci associé du dispositif électronique Di, et un code de déblocage UBC, lesdites données étant tirées ou lues à l'étape 252 dans la table des dispositifs électroniques DT.

Une telle étape 254 consiste en outre à déclencher l'émission, par les moyens de communication 23, dudit message encodant une requête de déblocage d'un dispositif électronique UBKR, à destination du dispositif électronique Di concerné par ladite requête de déblocage BKR .

Ledit sous-procédé 250 comporte à présent une étape d'attente 255 d'une réponse émanant dudit dispositif électronique Di, en l'espèce d'un message ACK accusant réception et traitement de ladite requête de déblocage UBKR.

Ainsi, le dispositif électronique Di, ou plus précisément sa propre unité de traitement 11 et/ou 31, met en œuvre un sous-procédé 160 d'un procédé de mise en œuvre d'une communication sécurisée 100, tel que décrit en lien avec la figure 9. Ce dernier comporte une première étape 161 pour recevoir, via ses moyens de communication 13, le message encodant une requête de déblocage d'un dispositif électronique UBKR émis par le serveur gestionnaire des communications ESM, en un instant E43 en figure 6, pour le dispositif électronique Di.

Ladite étape 161 consiste en outre à décoder un tel message encodant une requête de déblocage d'un dispositif électronique UBKR pour collecter tout ou partie des données d' identification IDi, PKi et/ou Ci du dispositif électronique Di. Ainsi, par la lecture desdites données d' identification, le dispositif électronique Di peut vérifier que ledit message UBKR reçu lui est bien destiné. Le dispositif électronique Di, en un instant E44, met en œuvre une étape 162 subséquente dudit sous-procédé 160, pour comparer la valeur ou teneur du code de déblocage UBC tiré dudit message avec celle mémorisée par ledit dispositif électronique Di lors du traitement 110 de la dernière requête en enrôlement de ce dernier (étape 114) . Si une égalité est alors vérifiée, alors ladite étape 162 consiste à effacer dans la mémoire de données 12 et/ou 32, l'information, symbolisée par un panneau d'interdiction en figure 9, agissant tel un sémaphore exploité par l'unité de traitement 11 et/ou 31 pour notamment prévenir toute communication avec un pair. Le sous-procédé 160 mis en œuvre par le dispositif électronique Di peut également comporter, dès l'effacement de la donnée sémaphore, une étape 163 pour élaborer un message ACK accusant réception et traitement de la requête de déblocage UBKR à destination du serveur gestionnaire des communications bilatérales sécurisées ESM.

A l'instant E45, le procédé 200, mis en œuvre par le serveur gestionnaire ESM, alors en attente à l'étape 255 peut recevoir, via les moyens de communication 23, et décoder le message ACK, accusant réception et traitement de la requête de déblocage UBKR par ledit dispositif électronique Di concerné par ladite requête de déblocage UBKR. Ledit procédé 200, plus précisément le sous-procédé 250 décrit à titre d'exemple par la figure 10B, peut comporter une étape 256, correspondant à l'instant E46 en figure 6, pour mettre à jour l'enregistrement DTi dans la table des dispositifs DT afin que ledit enregistrement DTi comporte la donnée décrivant un statut d'enrôlement Si dudit dispositif électronique Di, ledit statut d'enrôlement prenant comme valeur prédéterminée caractérisant le statut « dispositif valide », ou plus généralement une valeur autre que la valeur prédéterminée associée à un « dispositif bloqué », c'est-à-dire ayant suivi parfaitement un premier processus d'enrôlement et n'étant pas, en l'espèce plus, concerné par une procédure de blocage.

Une telle mise à jour de l'enregistrement DTi est avantageusement mise en œuvre par le serveur gestionnaire des communications ESM, si et seulement si, situation symbolisée par le lien 255y en figure 10B, le message ACK accusant réception et traitement par ledit dispositifs électronique Di dudit message encodant la requête de déblocage UBKR a été bien préalablement reçu et décodé à l'étape 255, à l'instant E55.

Les communications avec un ou plusieurs dispositifs électroniques partenaires reprennent, telle que la communication bilatérale sécurisée SCij avec le dispositif électronique Dj , par la mise en œuvre des étapes du sous- procédé 130, mis en œuvre par ledit dispositif électronique Di, dès que la donnée sémaphore a été mouvementée ou effacée lors de la mise en œuvre de l'étape 162, c'est-à- dire dès l'instant E44 en figure 7.

Un processus de déblocage d'un premier dispositif électronique Di permet également toute nouvelle requête en mise en relation dudit premier dispositif électronique Di avec un deuxième dispositif électronique dès l'instant E46, soit dès la mise à jour 256 du statut Si dans la table des dispositifs électroniques DT. En effet, comme évoqué précédemment en lien avec le précédent processus de blocage, l'invention prévoit d'adapter un procédé 200, pour administrer une communication sécurisée mis en œuvre par un serveur gestionnaire des communications ESM, pour que l'étape 224 pour élaborer un message encodant une requête de mise en relation BR entre un premier dispositif électronique Di et un deuxième dispositif électronique Dj ne puisse être réalisée que si (situation symbolisée par le lien 223y en figure 10A) les deux statuts d'enrôlement Si et Sj associées aux deux dispositifs électroniques Di et Dj décrivent un statut « dispositif valide », c'est-à- dire ne faisant pas l'objet d'un processus d'enrôlement inachevé ou d'un processus de blocage.

En liaison avec les figures 7, 9 et 10B, nous avons tout d'abord examiné l'élaboration et le traitement d'une requête en déblocage d'un dispositif électronique UBKR initiée par un serveur gestionnaire des communications ESM conforme à l'invention. Une telle requête UBKR peut, en variante ou en complément, résulter d'une consigne venant d'un tiers, en l'espèce sur la figure 7 d'un serveur de sécurité des dispositifs électroniques DSM. Pour cela, un tel serveur de sécurité DSM, ou plus généralement un objet électronique tiers agissant en tant que gestionnaire de la sécurité des dispositifs électroniques et coopérant avec ledit serveur gestionnaire de communications ESM, peut émettre à l'instant E41 en figure 7, un message de consigne UBK de déblocage d'un dispositif électronique Di. Un tel message de consigne UBK comporte avantageusement des données d' identification, telles que les valeurs de l'identificateur IDi du dispositif électronique Di dont l'exploitation en tant que nœud communicant dans un réseau administré selon l'invention ne doit plus être suspendue. L'étape 252 pour lire dans la table des dispositifs DT des données d'identifications du dispositif électronique, correspondant à l'instant E42 en figure 7, d'un procédé 200 pour administrer une communication bilatérale sécurisée selon l'invention, tel qu'illustré par la figure 10B, peut alors être adaptée pour rechercher l'enregistrement DTi comportant les valeurs respectives desdites données d' identification véhiculées dans le message de consigne UBK reçu en une étape 251. Les étapes subséquentes 253 à 256, telles que détaillées précédemment, demeurent inchangées.

L' invention prévoit simplement de pouvoir adapter un procédé 200 en ajoutant une étape 257, subséquente à l'étape 256, pour mettre à jour l'enregistrement DTi dans la table des dispositifs DT, afin que ladite étape 257 consiste à :

élaborer un message ACK accusant réception et traitement, par ledit serveur gestionnaire de communications ESM, de la consigne de déblocage UBK du dispositif électronique Di ;

déclencher l'émission dudit message ACK à destination de l'objet électronique DSM agissant en tant que gestionnaire de la sécurité des dispositifs électroniques.

La mise en œuvre d'une telle étape 257 est symbolisée par l'instant E47 en figure 7.

L'invention prévoit qu'un serveur gestionnaire des communications ESM ne transmette pas inutilement une requête en déblocage à un dispositif électronique non concerné par une suspension provisoire au sens du quatrième processus. Dans ce cas, ledit sous-procédé 250, tel que décrit à titre d'exemple non limitatif en lien avec la figure 10B, peut comporter une étape optionnelle 253 visant à s'assurer d'un tel fait préalable. Ladite étape 253 consiste ainsi à lire la table des dispositifs DT et à rechercher dans ladite table, un enregistrement DTi associé au dispositif électronique concerné par une éventuelle requête en déblocage et, dans l'affirmative à lire la valeur du champ Si caractérisant le statut d'enrôlement dudit dispositif électronique Di. Un tel enregistrement DTi doit comporter tout ou partie des données d'identification dudit dispositif électronique Di. En l'absence d'un tel enregistrement DTi ou, lorsque celui- ci existe, mais que ledit statut Si indique une valeur autre que la valeur prédéterminée caractérisant un dispositif bloqué, situation symbolisée par le lien 253n en figure 10B, ledit sous-procédé 250 peut s'interrompre. Dans la situation contraire, symbolisée par le lien 253y en figure 10B, ledit sous-procédé 250 peut déclencher la mise en œuvre de l'étape 254 d'élaboration d'une requête en déblocage d'un dispositif électronique, tel qu'évoqué précédemment .

Les quatrième et cinquième processus selon l'invention, tels que décrits en lien avec les figure 6 et 7, visent respectivement à suspendre et à rétablir la capacité de communication ou de mise en relation d'un dispositif électronique, lorsque ladite suspension est provisoire, par exemple durant une phase de maintenance dudit dispositif électronique ou pour des raisons d'ordre applicatif. Dans le cas où un serveur gestionnaire des communications ESM, voire un serveur de sécurité des dispositifs électroniques DSM, considérait qu'un dispositif électronique n'est plus en capacité d'agir correctement dans son réseau d'objets communicants, par exemple si la sécurité intrinsèque ou l'intégrité dudit dispositif électronique deviennent contestés ou suspectes, l'invention prévoit qu'un tel dispositif électronique puisse être définitivement révoqué. Celui-ci devra être retiré du réseau d'objets communicants, réinitialisé et devra procéder à un nouveau processus d'enrôlement.

Étudions à présent, en liaison avec les figures 8, 9 et 10B, comment mettre en application un tel sixième processus de révocation permanente d'un dispositif électronique, en l'espèce le dispositif électronique Di étudié précédemment avec les figures 3 à 7.

Selon l'exemple non limitatif de la figure 8, un tel sixième processus consiste principalement en deux sous- procédés référencés 170 et 260, respectivement en figures 9 et 10B, et mis en œuvre par tout dispositif électronique Di ou Dj et par le serveur gestionnaire des communications ESM .

Un tel sixième processus est majoritairement opéré par un serveur gestionnaire des communications ESM conforme à l'invention, tel que celui décrit en lien avec la figure 2. Ce dernier met ainsi un sous-procédé 260 visant à révoquer un dispositif électronique, c'est-à-dire suspendre l'exploitation d'un tel dispositif électronique ayant fait l'objet préalablement d'un premier processus d'enrôlement, en l'espèce le dispositif électronique Di, jusqu'à ce que dernier soit remplacé ou bien mette en œuvre un nouveau processus d'enrôlement. L'exemple préféré mais non limitatif d'un tel sous-procédé 260 comporte une étape 262, correspondant à l'instant E52 en figure 8, pour lire des données d'identification publiques IDi, PKi, ou Ci du dispositif électronique Di dans la table des dispositifs électroniques DT. Plus précisément, une telle étape 262 comporte une lecture du contenu de l'enregistrement DTi associé audit dispositif électronique Di et initialisé par la mise en œuvre du sous-procédé 210 évoqué précédemment en lien avec un premier processus d'enrôlement conforme à 1 ' invention .

Pour révoquer le dispositif électronique Di, le sous- procédé 260 comporte une étape 263, correspondant à l'instant E53 en figure 8, pour élaborer un message encodant une requête de révocation d'un dispositif électronique KR, ledit message comportant tout ou partie des données d' identification, telles que les valeurs de l'identificateur IDi et/ou de la clé publique PKi, voire le certificat numérique Ci associé du dispositif électronique Di, et un code de révocation KC, lesdites données étant tirées ou lues à l'étape 262 dans la table des dispositifs électroniques DT.

Une telle étape 263 consiste en outre à déclencher l'émission, par les moyens de communication 23, dudit message encodant une requête en révocation d'un dispositif électronique KR, à destination du dispositif électronique Di concerné par ladite requête en révocation KR.

Le dispositif électronique Di, ou plus précisément sa propre unité de traitement 11 et/ou 31, met en œuvre un sous-procédé 170 d'un procédé de mise en œuvre d'une communication sécurisée 100 tel que décrit en lien avec la figure 9. Ce dernier comporte une première étape 171 pour recevoir, via ses moyens de communication 13, le message encodant une requête en révocation d'un dispositif électronique KR émis par le serveur gestionnaire des communications ESM, en un instant E53, pour le dispositif électronique Di. Ladite étape 171 consiste en outre à décoder un tel message encodant une requête en révocation d'un dispositif électronique KR pour collecter tout ou partie des données d'identification IDi, PKi et/ou Ci du dispositif électronique Di. Ainsi, par la lecture desdites données d' identification, le dispositif électronique Di peut vérifier que ledit message BKR reçu lui est bien destiné. Le dispositif électronique Di, en un instant E54, met en œuvre une étape 172 subséquente dudit sous-procédé 170, pour comparer la valeur ou teneur du code de révocation KC tiré dudit message avec celle mémorisée par ledit dispositif électronique Di lors du traitement 110 de la dernière requête en enrôlement de ce dernier (étape 114) . Si une égalité est alors vérifiée, alors ladite étape 172 consiste à effacer la mémoire de données 12 et/ou 32, y compris les données d' indentification propres au dispositif électronique Di, rendant celui-ci inapte à fonctionner, du moins à mettre en œuvre toute communication avec un pair. Le sous-procédé 170 mis en œuvre par le dispositif électronique Di peut également comporter, préalablement à l'étape 173, une étape 172 pour élaborer un message ACK accusant réception et traitement de la requête en révocation KR à destination du serveur gestionnaire des communications bilatérales sécurisées ESM .

A l'instant E55 en figure 8, le procédé 200, mis en œuvre par le serveur gestionnaire ESM, plus précisément le sous-procédé 260 décrit à titre d'exemple par la figure 10B, peut comporter une étape 264 pour supprimer l'enregistrement DTi dans la table des dispositifs DT ainsi qu' éventuellement et avantageusement, en une étape 265, supprimer tout enregistrement BTij dans la table des liens, associé à une mise en relation dudit dispositif électronique Di avec un tiers. Une telle mise à jour des tables DT et/ou BT peut être avantageusement mise en œuvre par le serveur gestionnaire des communications ESM, si et seulement si, situation non représentée en figure 10B, un message ACK accusant réception et traitement par ledit dispositifs électronique Di dudit message encodant la requête en révocation KR a été bien préalablement reçu.

En liaison avec les figures 8, 9 et 10B, nous avons tout d'abord examiné l'élaboration et le traitement d'une requête en révocation d'un dispositif électronique KR initiée par un serveur gestionnaire des communications ESM conforme à l'invention. Une telle requête KR peut être à l'initiative dudit serveur gestionnaire des communications ESM ou bien résulter d'une consigne venant d'un tiers, en l'espèce sur la figure 8 d'un serveur de sécurité des dispositifs électroniques DSM. Pour cela, un tel serveur de sécurité DSM, ou plus généralement un objet électronique tiers agissant en tant que gestionnaire de la sécurité des dispositifs électroniques et coopérant avec ledit serveur gestionnaire de communications ESM, peut émettre à l'instant E51, un message de consigne K de révocation d'un dispositif électronique Di. Un tel message de consigne K comporte avantageusement des données d' identification, telles que les valeurs de l'identificateur IDi du dispositif électronique Di dont l'exploitation en tant que nœud communicant dans un réseau administré selon l'invention doit être irrémédiablement suspendue.

L'étape 262 pour lire dans la table des dispositifs DT des données d'identification du dispositif électronique, correspondant à l'instant E52 en figure 8, d'un procédé 200 pour administrer une communication bilatérale sécurisée selon l'invention, tel qu'illustré par la figure 10B, peut alors être adaptée pour rechercher l'enregistrement DTi comportant les valeurs respectives desdites données d' identification publiques véhiculées dans le message de consigne K reçu en une étape 261. Les étapes subséquentes 263 à 265, telles que détaillées précédemment, demeurent inchangées.

L' invention prévoit simplement de pouvoir adapter un procédé 200 en ajoutant une étape 266, subséquente aux étapes 264 et/ou 265, afin que ladite étape 267 consiste à :

élaborer un message ACK accusant réception et traitement, par ledit serveur gestionnaire de communications ESM, de la consigne de révocation K du dispositif électronique Di ;

déclencher l'émission dudit message ACK à destination de l'objet électronique DSM agissant en tant que gestionnaire de la sécurité des dispositifs électroniques.

La mise en œuvre d'une telle étape 266 est symbolisée par l'instant E56 dans la figure 8.