La présente invention concerne la lutte contre la contrefaçon d’accessoires ou de consommables, ou plus généralement d’organes périphériques amovibles, conçus pour fonctionner avec des appareils particuliers. Ainsi, l’invention s’applique notamment aux cartouches d’encre et toners pour imprimantes, aux recharges pour diffuseurs de parfums ou cigarettes électroniques, aux batteries d’alimentation électrique, aux casques ou écouteurs audio, etc.

Il existe un besoin de protéger la distribution de tels organes périphériques, notamment pour empêcher l’utilisation d’organes périphériques de qualité insuffisante qui pourraient notamment endommager les appareils avec lesquels ils sont utilisés.

Pour contrôler la commercialisation et/ou l’utilisation de tels organes périphériques amovibles, certains appareils comprennent un dispositif permettant d’authentifier l’organe. Par ailleurs, certains organes périphériques amovibles sont conçus pour mettre en œuvre une procédure d’authentification avec l’appareil pour lequel ils sont adaptés. L’authentification de l’organe périphérique par l’appareil repose sur une donnée d’authentification inscrite ou mémorisée par l’organe périphérique. L’accès à cette donnée d’authentification doit donc être protégé. Or, le niveau de protection d’une telle donnée d’authentification correspond généralement au coût du dispositif mémorisant la donnée d’authentification, étant entendu que plus le niveau de protection est élevé, plus son coût est élevé.

On a proposé plusieurs techniques d’authentification de tels organes périphériques pour répondre à ce besoin. Ces techniques consistent notamment en des méthodes de marquage spéciales des organes périphériques authentiques, pouvant faire intervenir des hologrammes.

On a également proposé d’associer à un organe périphérique un microcircuit sécurisé pour mémoriser une donnée d’authentification, pouvant se connecter à un processeur de l’appareil, et mettant en œuvre des fonctions cryptographiques. L’usage d’un tel microcircuit est supposé offrir la sécurité la plus grande, étant donné qu’il peut être très difficile à copier. Un tel microcircuit est utilisé pour mettre en œuvre une procédure d’authentification, généralement basée sur un protocole de type "challenge- réponse" qui implique que des données secrètes et des fonctions cryptographiques soient partagées entre le microcircuit et le processeur de l’appareil devant recevoir l’organe périphérique. Cette solution apparaît sécurisée si le microcircuit et le processeur intervenant dans la procédure d’authentification sont tous deux sécurisés. Cependant, le processeur de l’appareil n’est généralement pas sécurisé. Il en résulte que si le programme exécuté par ce processeur est compromis (modifié par une personne non autorisée), l’authentification réalisée n’est pas fiable.

Par exemple, la fourniture des encres dans une imprimante à jet d’encre classique, est gérée par le processeur de l’imprimante qui n’est généralement pas sécurisé. Le programme exécuté par ce processeur comprend des fonctions cryptographiques pour authentifier les cartouches d’encre (ou un autre organe périphérique), et des fonctions de commande, envoyant de simples commandes aux cartouches et recevant de ces dernières des données d’état. Il en résulte que le programme exécuté par le processeur de l’imprimante peut être modifié pour exécuter les fonctions de commande des cartouches, sans exécuter au préalable la procédure d’authentification de celles-ci ou sans tenir compte du résultat fourni par cette procédure authentification.

Il est donc souhaitable de renforcer la sécurité lors de l’utilisation d’un organe périphérique amovible par un appareil, en particulier pour empêcher l’appareil d’utiliser un organe périphérique non authentifié. Il peut être également souhaitable d’empêcher le remplissage d’un organe périphérique consommable.

Des modes de réalisation concernent un procédé de commande d’un organe périphérique amovible, comprenant des étapes consistant à : intercepter, par un microcircuit sécurisé interne de l’organe périphérique, une commande reçue par l’organe périphérique et destinée à être exécutée par un circuit à commander de l’organe périphérique, exécuter une procédure d’authentification mutuelle entre le microcircuit sécurisé et un processeur d’un appareil placé en communication avec l’organe périphérique, et si l’authentification mutuelle se termine avec succès : transformer, par le microcircuit, une commande reçue en une commande exécutable par le circuit à commander, transmettre, par le microcircuit au circuit à commander, la commande transformée, et exécuter la commande transformée par le circuit à commander.

Selon un mode de réalisation, le procédé comprend des étapes consistant à : recevoir, par le microcircuit, une commande à traiter préalablement chiffrée à l’aide d’une première clé de chiffrement, déchiffrer, par le microcircuit, la commande chiffrée, en utilisant une seconde clé de chiffrement, la commande chiffrée étant correctement déchiffrée si la seconde clé de chiffrement correspond à la première clé de chiffrement, et transmettre, par le microcircuit, la commande déchiffrée au circuit à commander de l’organe périphérique.

Selon un mode de réalisation, les commandes reçues par l’organe périphérique sont systématiquement déchiffrées par le microcircuit.

Selon un mode de réalisation, la première clé de chiffrement et la seconde clé de chiffrement sont une même clé d’un algorithme de chiffrement symétrique, ou la première clé de chiffrement est une clé privée du processeur et la seconde clé de chiffrement est une clé publique formant avec la clé privée une paire de clés d’un algorithme de chiffrement asymétrique, ou la première clé de chiffrement comprend une clé privée du processeur et une clé publique du microcircuit, et la seconde clé de chiffrement comprend une clé publique du processeur, formant avec la clé privée du processeur une paire de clés d’un algorithme de chiffrement asymétrique, et une clé privée du microcircuit formant avec la clé publique du microcircuit une paire de clés d’un algorithme de chiffrement asymétrique.

Selon un mode de réalisation, le procédé comprend des étapes consistant à : chiffrer, par le microcircuit, une donnée d’état du circuit à commander, en utilisant une troisième clé de chiffrement, transmettre la donnée d’état chiffrée au processeur, et recevoir et déchiffrer, par le processeur, la donnée d’état chiffrée, en utilisant une quatrième clé de chiffrement, la donnée d’état chiffrée étant correctement déchiffrée si la quatrième clé de chiffrement correspond à la troisième clé de chiffrement.

Selon un mode de réalisation, la troisième clé de chiffrement et la quatrième clé de chiffrement sont une même clé d’un algorithme de chiffrement symétrique, ou la troisième clé de chiffrement est une clé privée du microcircuit et la quatrième clé de chiffrement est une clé publique formant avec la clé privée une paire de clés d’un algorithme de chiffrement asymétrique, ou la troisième clé de chiffrement comprend une clé privée du microcircuit et une clé publique du processeur, et la quatrième clé de chiffrement comprend une clé publique du microcircuit, formant avec la clé privée du microcircuit une paire de clés d’un algorithme de chiffrement asymétrique, et une clé privée du processeur, formant avec la clé publique du processeur une paire de clés d’un algorithme de chiffrement asymétrique.

Selon un mode de réalisation, l’organe périphérique est un consommable, le procédé comprenant des étapes consistant à : déterminer, par le microcircuit, si une ressource fournie par l’organe périphérique, de type consommable, est épuisée, et si la ressource est déterminée épuisée, rejeter, par le microcircuit, une commande à traiter destinée au circuit à commander de l’organe périphérique, visant à utiliser la ressource.

Selon un mode de réalisation, le procédé comprend des étapes consistant à : transmettre, par le processeur au microcircuit, une fonction sous la forme de code exécutable à exécuter par le microcircuit, et exécuter, par le microcircuit, la fonction reçue.

Des modes de réalisation peuvent également concerner un organe périphérique amovible comprenant un circuit à commander susceptible de traiter des commandes reçues depuis l’extérieur de l’organe périphérique, et un microcircuit d’authentification de l’organe périphérique, intégré dans l’organe périphérique, l’organe périphérique étant configuré pour que des commandes destinées au circuit à commander soient interceptées par le microcircuit, le microcircuit étant configuré pour : exécuter une procédure d’authentification mutuelle avec un processeur d’un appareil, placé en communication avec le microcircuit, et si la procédure d’authentification mutuelle se termine avec succès, transformer une commande reçue par l’organe périphérique, en une commande exécutable par le circuit à commander, et transmettre la commande transformée au circuit à commander.

Selon un mode de réalisation, le microcircuit est configuré pour mettre en œuvre le procédé précédemment défini.

Selon un mode de réalisation, au moins une partie du circuit à commander est enveloppée dans un espace sécurisé, sous la surveillance du microcircuit, le microcircuit étant configuré pour rejeter une commande lorsqu’une atteinte à l’espace sécurisé est détectée.

Selon un mode de réalisation, le microcircuit et au moins une partie du circuit à commander sont associés ensemble au sein d’un composant intégré.

Selon un mode de réalisation, une fonction normalement exécutée par le processeur de l’appareil, est au moins partiellement déportée dans le microcircuit, le microcircuit étant alors configuré pour recevoir des commandes aptes à déclencher la fonction au moins partiellement déportée.

Des exemples de réalisation de l’invention seront décrits dans ce qui suit, à titre non limitatif en relation avec les figures jointes parmi lesquelles : la figure 1 est une vue schématique d’une imprimante classique comportant une ou plusieurs cartouches d’encre amovibles,

la figure 2 est une vue schématique d’un processeur de commande d’un appareil associé à un organe périphérique amovible classique,

la figure 3 est une vue schématique d’un processeur de commande d’un appareil associé à un organe périphérique amovible classique, selon un mode de réalisation,

les figures 4 et 5 représentent schématiquement des étapes exécutées par le processeur de commande et le microcircuit de l’organe périphérique amovible, selon plusieurs modes de réalisation.

La figure 1 représente un appareil 1 comprenant un processeur de commande DPR, et un ou plusieurs organes périphériques amovibles P1 , P2. L’appareil 1 peut être une imprimante, un diffuseur de parfum, un ordinateur personnel, un téléphone mobile, une cigarette électronique, etc. L’organe périphérique peut être une cartouche d’encre, une recharge de parfum ou de liquide à vaporiser, une batterie d’alimentation électrique, un câble de liaison avec un appareil externe, une mémoire externe, un casque audio, un clavier, etc.

Le processeur DPR comprend classiquement une unité de traitement DMC, par exemple de type microprocesseur ou microcontrôleur, qui gère les fonctions de l’appareil. L’unité DMC peut être connectée à une mémoire vive RAM et une mémoire non volatile MEM, par exemple de type EEPROM (Electrically Erasable Programmable Read-Only Memory) ou Flash. Pour authentifier un organe périphérique amovible P1 , P2 , l’unité de traitement DMC est de préférence configurée pour coopérer avec un microcircuit AMC intégré dans chaque organe P1 , P2 à authentifier. L’unité DMC peut être reliée à l’organe périphérique P1 , P2, par l’intermédiaire d’un bus ADB et d’un connecteur CX. Le bus ADB peut être par exemple de type I2C, ou un bus spécifique. La liaison entre l’unité DMC et le microcircuit AMC peut alternativement être une liaison sans fil, telle qu’une liaison de type RFID ou radio.

La figure 2 représente le processeur DPR relié à un microcircuit AM1 d’un organe périphérique amovible P1’, selon une architecture classique. Selon cette architecture, une partie W3 des liaisons du bus ADB est connectée au microcircuit AM1 , et une autre partie W1 , W2 des liaisons du bus ADB est connectée à un ou plusieurs autres circuits ADV de l’organe périphérique P1’, par exemple des circuits électromécaniques permettant de produire des jets d’encre dans une cartouche d’encre pour imprimante. Une fois que le processeur DPR a authentifié le microcircuit AM1 , il commande directement le circuit ADV de l’organe P1’. Il en résulte que le programme exécuté par le processeur DPR peut être facilement modifié pour supprimer la procédure d’authentification mutuelle avec le microcircuit AM1 ou faire exécuter des commandes par le circuit ADV même si l’exécution de la procédure d’authentification a échoué.

En pratique, l’unité de traitement DMC peut comprendre un microprocesseur connecté à un microcircuit rassemblant les données confidentielles et les fonctions cryptographiques. L’unité DMC peut se comporter en maître vis-à-vis du microcircuit AMC, AM1.

Le circuit ADV peut comprendre un circuit de commande d’une ou plusieurs vannes ou d’une pompe, dans un dispositif d’éjection d’encre d’une cartouche d’encre ou dans un dispositif de diffusion de liquide ou de gaz d’une recharge de parfum ou une recharge pour cigarette électronique. Dans le cas d’une batterie d’alimentation électrique, le circuit ADV peut comprendre un circuit de contrôle de recharge de la batterie et/ou un circuit d’alimentation électrique à partir des cellules de la batterie. Dans le cas d’une mémoire externe (carte SD - Secure Digital, clé USB - Universal Serial Bus), ce circuit peuvent comprendre un circuit d’horloge ou de génération de signaux de commande ou d’adressage de cellules mémoire de la mémoire. Dans le cas d’un câble (par exemple un câble USB) rassemblant plusieurs liaisons électriques, le circuit ADV peut comporter un ou plusieurs interrupteurs (par exemple un ou plusieurs transistors) interposés sur les liaisons électriques. Ainsi, le circuit ADV peut comporter un simple transistor ou un dispositif électromécanique commandé par un unique signal issu du microcircuit AMC.

La figure 3 représente le processeur DPR relié à un organe périphérique P1 , selon un mode de réalisation. L’organe périphérique P1 diffère de l’organe périphérique P1’ en ce qu’au moins une liaison W2 du bus ADB n’est pas connectée directement au circuit ADV de l’organe périphérique, mais par l’intermédiaire du microcircuit AMC intégré dans l’organe périphérique. Ainsi, pour pouvoir commander directement une partie du circuit ADV de l’organe P1 , il est nécessaire de modifier le cheminement des liaisons électriques à l’intérieur de l’organe P1.

L’identification de l’organe P1 par l’unité DMC peut être effectuée à l’aide d’un identifiant mémorisé par le microcircuit AMC. L’authentification de l’organe périphérique est assurée par une fonction de cryptographie symétrique et une donnée d’authentification secrète commune, ou une fonction de cryptographie asymétrique et une paire de clés privée et publique certifiée par une autorité commune. Pour empêcher des accès non autorisés aux données secrètes, le microcircuit AMC comporte des éléments de sécurité dépendant des techniques employées pour assurer cette protection et de contraintes de coût.

La liaison entre l’unité DMC et le microprocesseur AMC peut être filaire ou non filaire. Dans ce dernier cas, l’appareil 1 et l’organe périphérique P1 comprennent chacun des circuits de transmission sans fil connectés respectivement à l’unité DMC et au microcircuit AMC.

La figure 4 représente des étapes exécutées par l’unité de traitement DMC, et le microcircuit AMC d’un organe périphérique, par exemple P1. La figure 4 représente également le circuit ADV à commander de l’organe périphérique, qui est classiquement commandé directement par l’unité de traitement DMC. Durant une étape S1 , l’unité de traitement DMC et le microcircuit AMC réalisent une procédure d’authentification mutuelle. L’étape S1 peut être déclenchée par la mise sous tension de l’appareil 1 , et/ou à la suite de la connexion de l’organe périphérique P1 à l’unité de traitement DMC, par exemple. L’unité de traitement DMC envoie au microcircuit AMC de l’organe P1 , une commande d’authentification et un challenge d’authentification (par exemple un nombre choisi aléatoirement). Dans le cas d’une infrastructure symétrique, le microcircuit AMC peut envoyer en réponse le challenge d’authentification chiffré à l’aide d’une clé secrète SK partagée avec l’unité de traitement DMC. La clé secrète SK peut être par exemple obtenue à l’aide d’une fonction cryptographique de dérivation de clé appliquée à un identifiant ID du microcircuit AMC et à une clé secrète maître, la fonction de dérivation et la donnée secrète maître étant connues de l’unité DMC et du microcircuit AMC. L’identifiant ID du microcircuit AMC peut être transmis par ce dernier avec le challenge chiffré.

Dans le cas d’une infrastructure asymétrique, le microcircuit AMC peut par exemple chiffrer le challenge reçu avec une clé privée SKA et envoyer le résultat chiffré obtenu à l’unité DMC, accompagné de la clé publique PKA associée à la clé privée SKA, éventuellement signée par un certificat émis par une autorité de confiance (par exemple le fabriquant de l’appareil 1 et/ou de l’organe périphérique). L’unité DMC vérifie le challenge chiffré reçu en le déchiffrant à l’aide de la clé publique PKA et en le comparant au challenge qu’elle a envoyé au microcircuit AMC. L’unité DMC peut également vérifier l’authenticité de la clé publique PKA à l’aide du certificat. Le microcircuit AMC est considéré authentique si le challenge déchiffré correspond au challenge transmis au microcircuit AMC. En cas d’échec de l’authentification du microcircuit AMC par l’unité DMC, l’unité DMC peut prendre toute mesure appropriée, telle que refuser de fonctionner, fonctionner d’une manière dégradée, et/ou avertir l’utilisateur.

Le microcircuit AMC demande également à authentifier l’unité DMC, soit d’une manière analogue, soit d’une autre manière. En cas d’échec de l’authentification de l’unité DMC, le microcircuit AMC peut refuser de fournir des informations qu’il contient, et/ou rejeter tout ou partie des commandes reçues, et/ou prendre toute autre mesure appropriée.

Selon un mode de réalisation, toutes les commandes reçues par l’organe périphérique P1 et destinées au circuit ADV sont interceptées par le microcircuit AMC. L’unité DMC ne peut donc pas commander directement le circuit ADV de l’organe périphérique P1 , mais par l’intermédiaire du microcircuit AMC. A cet effet, l’unité DMC et le microcircuit AMC exécutent des étapes S2 à S5 pour transmettre une commande CMD au circuit ADV. A l’étape S2, l’unité DMC, chiffre la commande CMD à l’aide de la clé secrète SSK ou de la clé privée SKD du microcircuit AMC. A l’étape S3, la commande chiffrée ECM ainsi obtenue est transmise à l’organe périphérique P1. A l’étape S4, le microcircuit AMC reçoit et déchiffre la commande chiffrée ECM à l’aide de la clé secrète SSK ou de la clé publique PKD. A l’étape S5, la commande CMD ainsi déchiffrée est transmise par le microcircuit AMC au circuit ADV.

Ainsi, seul le microcircuit AMC peut faire exécuter la commande CMD par le circuit ADV. Sans la connaissance de la clé secrète SSK ou de la clé privée SKD, l’unité DMC ne peut pas chiffrer la commande CMD à transmettre au circuit ADV. Si la commande CMD est transmise à l’organe périphérique P1 sans être chiffrée, ou bien chiffrée à l’aide d’une autre clé, le microcircuit AMC va tenter de la déchiffrer avec la clé SSK ou PKD, ce qui produira une commande invalide pour le circuit ADV. Si la commande CMD est transmise, correctement chiffrée à l’organe périphérique P1 , mais que le microcircuit AMC ne dispose pas de la clé secrète SSK ou de la clé publique PKD correspondant à la clé secrète SKD utilisée, le microcircuit AMC ne pourra pas déchiffrer la commande chiffrée ECM, et donc la faire exécuter par le circuit ADV.

Selon un mode de réalisation, les commandes transmises entre l’unité DMC et le microcircuit AMC sont également chiffrées à l’aide de la clé publique PKA du microcircuit AMC, afin que seul ce dernier puisse les déchiffrer, à l’aide de la clé privée SKA.

Selon un mode de réalisation, les données d’état de l’organe périphérique P1 ne sont pas transmises directement de ce dernier à l’unité DMC, mais par l’intermédiaire du microcircuit AMC. A cet effet, l’unité DMC et le microcircuit AMC exécutent des étapes S6 à S9 pour transmettre des données d’état STS de l’organe périphérique P1 à l’unité DMC. A l’étape S6, le microcircuit AMC reçoit des données d’état STS de l’organe périphérique P1 , par exemple suite à la transmission d’une commande transmise à l’organe P1. A l’étape S7, le microcircuit AMC chiffre les données d’état STS à l’aide de la clé secrète SSK ou de la clé privée SKA du microcircuit AMC. A l’étape S8, les données chiffrées EST ainsi obtenues sont transmises à l’unité DMC. A l’étape S9, l’unité DMC reçoit et déchiffre les données chiffrées EST à l’aide de la clé secrète SSK ou de la clé publique PKA correspondant à la clé privée SKA.

Selon un mode de réalisation, les données d’état STS transmises entre le microcircuit AMC et l’unité DMC sont également chiffrées à l’aide de la clé publique PKD de l’unité DMC, afin que seule cette dernière puisse les déchiffrer à l’aide de la clé privée SKD.

Le microcircuit AMC peut être configuré pour contrôler l’utilisation de l’organe périphérique P1 , à partir des commandes CMD exécutées et/ou des données d’état STS. Ainsi, dans le cas où l’organe P1 est un consommable, le microcircuit AMC peut contrôler l’épuisement de la ressource (encre, parfum, etc.) fournie par le consommable, et bloquer l’utilisation du consommable lorsque la ressource est censée être épuisée. De cette manière, il est possible d’empêcher le remplissage du consommable, en particulier avec un produit inadéquat.

Selon un mode de réalisation, tout ou partie des fonctions sensibles de commande du circuit ADV, normalement exécutées par l’unité DMC sont implémentées par le microcircuit AMC, l’unité DMC étant configurée pour envoyer au microcircuit des commandes permettant de déclencher ces fonctions. Ce déport de fonctions dans le microcircuit AMC conduit à modifier le jeu de commandes susceptibles d’être émises par l’unité DMC à l’organe périphérique P1. Il en résulte qu’un organe périphérique classique (sans le microcircuit AMC ou avec un microcircuit utilisé seulement pour l’authentification de l’organe périphérique) ne peut pas fonctionner avec l’unité DMC. Dans ce cas, il peut ne pas être nécessaire de chiffrer les commandes CMD émises par l’unité DMC à destination de l’organe périphérique P1.

Selon un mode de réalisation illustré par la figure 5, l’unité de traitement DMC est configurée pour transmettre à l’organe périphérique P1 le code exécutable d’une fonction FCT à exécuter par le microcircuit AMC après la réalisation de l’étape S1 d’authentification mutuelle avec succès. A cet effet, l’unité DMC et le microcircuit AMC exécutent des étapes S11 à S15. A l’étape S11 , l’unité DMC chiffre le code exécutable de la fonction FCT à l’aide de la clé secrète SSK ou de la clé secrète SKD de l’unité DMC. A l’étape S12, l’unité DMC transmet le code exécutable chiffré EFT au microcircuit AMC. A l’étape S13, le microcircuit AMC reçoit et déchiffre le code exécutable chiffré EFT à l’aide de la clé SSK ou de la clé publique PKD correspondant à la clé SKD. Si le code exécutable de la fonction FCT a bien été transmis au microcircuit AMC, et si l’unité DMC et le microcircuit AMC ont utilisé des clés correspondantes pour chiffrer et déchiffrer ce code exécutable, le microcircuit peut réaliser la fonction FCT. A l’étape S14, le microcircuit AMC exécute le code exécutable ainsi transmis de la fonction FCT. L’exécution de la fonction FCT produit une ou plusieurs commandes CMD qui sont transmises au circuit ADV (étape S15). A l’étape S16, le circuit ADV peuvent transmettre en réponse un ou plusieurs message d’état STS qui sont transmis au microcircuit AMC. Ces messages d’état STS peuvent être retraités par le microcircuit et retransmis sous une autre forme à l’unité DMC. Les messages transmis à l’unité DMC peuvent également être chiffrés en exécutant par exemple les étapes S6 à S9.

De cette manière, pour contrôler un organe périphérique ne comportant pas le microcircuit AMC, il est nécessaire de modifier en profondeur le programme exécuté par l’unité DMC. De même le programme exécuté par l’unité DMC doit être adapté en profondeur aux caractéristiques décrites précédemment de l’organe périphérique P1.

L’unité DMC peut être sécurisée d’une manière analogue au microcircuit AMC, ou bien être associée à un microcircuit sécurisé assurant tout ou partie des opérations cryptographiques réalisées avec le microcircuit AMC, comme l’authentification mutuelle et les opérations de chiffrement et déchiffrement.

Selon un mode de réalisation, tout ou partie du circuit ADV peut être protégé dans un environnement sécurisé, par exemple par un maillage de fils conducteurs, relié au microcircuit AMC. Le microcircuit AMC est alors configuré pour détecter une atteinte physique à ce maillage, et prendre toute mesure appropriée contre une telle attaque, comme par exemple ne plus exécuter tout ou partie des commandes reçues.

Selon un mode de réalisation, le circuit ADV comprend un composant intégré de type MEMS (MicroElectroMechanical System) et le microcircuit AMC est intégré dans ce composant. Ainsi le microcircuit AMC et le composant forment une unité sécurisée qu’il est très difficile de modifier pour pouvoir par exemple commander directement le composant sans passer par le microcircuit AMC. Il apparaîtra clairement à l'homme de l'art que la présente invention est susceptible de diverses variantes de réalisation et diverses applications. En particulier, l’invention n’est pas limitée au chiffrement des commandes émises par l’unité DMC. Il importe simplement que ces commandes diffèrent dans leur forme des commandes susceptibles d’être traitées par le circuit ADV de l’organe périphérique, le microcircuit AMC étant configuré pour transformer les commandes reçues en commandes exécutables par le circuit ADV. Comme précédemment mentionné, le transfert de fonctions normalement réalisées par l’unité DMC dans le microcircuit AMC nécessite de modifier le jeu de commandes susceptibles d’être transmises par l’unité DMC au microcircuit AMC. Ainsi, si l’organe périphérique associé à l’appareil 1 ne comporte pas le microcircuit AMC, il est nécessaire de modifier en profondeur le programme exécuté par l’unité DMC pour qu’il émette les commandes attendues par le circuit ADV. Si l’unité DMC est sécurisée ou associée à un élément sécurisé, il peut être prévu de sécuriser le programme chargé dans le processeur DPR, par exemple à l’aide d’une signature portant sur le programme exécutable, calculée à l’aide d’une clé de chiffrement du fabriquant de l’appareil, afin que le programme ne puisse pas être modifié par une personne non autorisée. Si l’élément sécurisé de l’appareil 1 n’authentifie pas le programme exécuté par l’unité DMC, l’élément sécurisé peut prendre toute mesure appropriée, comme bloquer l’utilisation de l’appareil.

Il n’est pas non plus nécessaire que toutes les commandes susceptibles d’être transmises à l’organe périphérique P1 soient transformées ou chiffrées, certaines de ces commandes pouvant être retransmises directement au circuit ADV par le microcircuit AMC, sans transformation préalable. Ainsi, les commandes transmises sans transformation au circuit ADV peuvent être par exemple des commandes accessoires non nécessaires à l’exécution d’une fonction principale de l’organe périphérique P1.

Par ailleurs, la commande CMD transmise au circuit ADV peut comprendre un ou plusieurs signaux numériques ou analogiques, adaptés à commander le circuit ADV.