La présente invention se rapporte de manière générale aux domaines des télécommunications et de l’automobile, et concerne plus précisément la sécurisation des services télématiques fournis à un véhicule et des logiciels de ce véhicule.

Les services télématiques offerts par un constructeur sur un véhicule exposent et utilisent des données et des fonctions sensibles. Ces services sont en général réalisés grâce à d’une part une logique embarquée résidant dans le véhicule et d’autre part une logique débarquée résidant sur au moins un serveur distant du constructeur ou d’un tiers. Un enjeu fondamental de la sécurisation des services télématiques et du logiciel de la voiture en général tourne autour du lien de communication entre ces deux logiques. En effet, pour atteindre un bon niveau de sécurité le constructeur met en place des mécanismes de communication sécurisée entre la partie embarquée et la partie débarquée des logiciels de ces services télématiques. Il met également en place des centres d’administration de son parc de véhicules. Grâce à ces outils d’administration, le constructeur peut détecter des anomalies et déclencher des actions préventives ou correctrices au sein du véhicule pour répondre aux disfonctionnements ou aux potentielles cyber-attaques, en mettant à jour les logiciels du véhicule par exemple.

Mais cette stratégie de sécurisation s’avère inefficace lorsque le véhicule n’a pas de couverture réseau et ne peut dialoguer avec le serveur distant du constructeur, ou lorsque la communication entre le véhicule et le serveur distant ne peut plus être considérée comme fiable et de confiance. Un moyen de renforcer la sécurité de la connexion entre la partie embarquée d’un logiciel de service télématique dans le véhicule et sa partie débarquée est d’obtenir une protection supplémentaire ainsi que des capacités de contre-mesure supplémentaires mises en œuvre par l’opérateur de télécommunication auquel est abonné le constructeur du véhicule.

Mais parallèlement à la mise en place de ces services télématiques, on assiste à une émergence et une croissance du besoin d’amener internet aux utilisateurs des véhicules. Plus encore, il y a une forte demande pour que les utilisateurs de voitures puissent utiliser leur propre abonnement téléphonique cellulaire pour cette utilisation d’internet.

Or une connexion à internet ramène un ensemble de menaces et de failles potentielles qui peuvent permettre à des pirates de prendre le contrôle des pièces électroniques qui utilisent cette connexion. Qui plus est, le fait d’utiliser pour cette connexion internet un opérateur de télécommunications différent de celui du constructeur du véhicule concerné, avec un abonnement propre à l’utilisateur, empêche de bénéficier des protections et mesures correctrices que peut offrir l’opérateur de télécommunications du constructeur pour sécuriser les services télématiques utilisés par le véhicule.

Il existe donc un besoin de sécuriser la communication entre un véhicule et son centre d’administration distant, tout en permettant aux utilisateurs du véhicule de se connecter à internet via leur abonnement téléphonique cellulaire.

Une solution est de séparer les systèmes et connexions pour internet d’une part et pour les services télématiques d’autre part. Comme les utilisateurs utilisent leur propre abonnement téléphonique cellulaire, cela signifie qu’il faut dupliquer les systèmes physiques de communication cellulaire : soit avec deux modems cellulaires au lieu d’un seul, soit avec un modem cellulaire pouvant fonctionner avec deux cartes SIM (d’après l’anglais « Subscriber Identity Module ») actives en même temps, capacité appelée « active dual-SIM » en anglais. Dans les deux cas, cette duplication représente un surcoût très important (plusieurs dizaines de dollars par véhicule). Un des buts de l'invention est de remédier à au moins une partie des inconvénients de la technique antérieure en fournissant à moindres frais un véhicule, un système et un procédé qui garantissent une communication de confiance entre le véhicule et le centre de d’administration gérant la cyber sécurité du véhicule, tout en permettant à un utilisateur du véhicule d’accéder à internet via son propre abonnement téléphonique cellulaire. A cette fin, l'invention propose un véhicule comportant un module de communication apte à utiliser deux cartes d’identifiants de télécommunication, l’une relative à un abonnement entre le constructeur dudit véhicule et un opérateur de télécommunication, l’autre relative à un abonnement entre un utilisateur dudit véhicule et un opérateur de télécommunication, ledit véhicule comportant un environnement d’exécution de confiance dans lequel sont hébergées des fonctions sécuritaires du véhicule, et un environnement d’exécution d’un système multimédia hébergeant au moins une partie dudit module de communication, ledit véhicule étant caractérisé en ce que ledit environnement d’exécution de confiance comporte un module de supervision de la connexion entre ledit véhicule et un serveur distant de gestion dudit véhicule.

Grâce à l’invention, un seul modem utilise soit une connexion utilisant l’abonnement du véhicule, soit une connexion utilisant l’abonnement de l’utilisateur, mais la connexion entre le véhicule et le serveur distant est surveillée. Ainsi dès que la connexion utilisant l’abonnement utilisateur n’est plus considérée comme fiable ou de confiance, le modem peut par exemple commuter sur la carte SIM du constructeur du véhicule pour bénéficier des mesures de prévention et de correction contre les cyber-attaques, ces mesures étant fournies par l’opérateur lié au constructeur, sans nécessiter de modem coûteux « active dual-SIM ». Avantageusement, ledit module de supervision est apte à tester régulièrement ladite connexion par l’envoi et la réception de messages signés, uniques et prédéfinis, respectivement à destination dudit serveur distant de gestion et en provenance dudit serveur distant de gestion. Cette implémentation permet notamment une protection anti-rejeu. En variante de réalisation de l’invention, ledit module de supervision est apte à tester régulièrement ladite connexion par la réception de messages signés, uniques et prédéfinis, en provenance dudit serveur distant de gestion. Dans cette variante le module de supervision n’envoie donc pas de messages de test mais surveille la bonne réception de messages de test.

Avantageusement encore, ledit module de supervision est apte à détecter une anomalie de connexion lorsque :

- ledit module de communication indique que la connexion cellulaire du véhicule fonctionne alors que ledit module de communication ne confirme pas l’envoi d’un desdits messages audit serveur distant de gestion ou qu’il ne transmet pas l’un desdits messages envoyés par ledit serveur distant de gestion, - ou que ledit module de communication indique que la connexion cellulaire du véhicule est indisponible pendant une durée supérieure à un premier intervalle de temps prédéfini.

Cette implémentation permet de détecter simplement une anomalie du module de communication suspecte car non causée par une perte de couverture radio brève et limitée. On entend dans cette demande par « connexion cellulaire » du véhicule, la capacité de recevoir ou d’envoyer des messages par radio du fait notamment d’une couverture réseau téléphonique cellulaire suffisante.

Avantageusement encore, les messages envoyés par ledit module de supervision comportent une information représentative d’une détection d’anomalie de connexion entre ledit véhicule et ledit serveur distant de gestion, ou représentative de l’absence d’une telle détection. Cela permet au serveur distant de gestion d’intervenir pour infirmer ou confirmer l’anomalie lorsque cela est possible, et pour mettre en oeuvre des actions curatives telles qu’une mise à jour à distance de logiciels du véhicule.

Selon une autre caractéristique avantageuse, le véhicule selon l’invention comporte au moins un des moyens d’envoi choisis dans une liste comportant :

- un premier moyen d’envoi d’une instruction au module de communication, déclenchant l’inhibition des communications avec l’extérieur pour les applications non sécurisées du véhicule, - un deuxième moyen d’envoi d’une instruction au module de communication, déclenchant la sélection par le module de communication de la carte d’identifiant de télécommunication relative à l’abonnement du constructeur dudit véhicule comme seul moyen de connexion, et l’inhibition par le module de communication de toute communication autre qu’avec ledit serveur distant de gestion,

- un troisième moyen d’envoi d’une instruction au module de communication, déclenchant le redémarrage dudit module de communication, et d’une instruction provoquant le redémarrage dudit environnement d’exécution du système multimédia, tout en imposant une configuration sécurisée desdits redémarrages,

- et un quatrième moyen d’envoi d’une instruction déclenchant le redémarrage d’au moins une partie d’autres environnements d’exécution ou d’autres logiciels du véhicule en leur imposant une configuration sécurisée, ledit véhicule comportant en outre des moyens d’activation configurés pour activer tout ou partie desdits moyens d’envoi choisis sur détection d’une anomalie de connexion entre ledit véhicule et ledit serveur distant de gestion.

En intégrant l’un ou plus de ces quatre moyens d’envoi, le véhicule selon l’invention bénéficie d’une solution curative indépendante du serveur distant de gestion.

Avantageusement, le véhicule selon l’invention comporte au moins ledit premier moyen d’envoi, lesdits moyens d’activation étant configurés pour n’activer que ledit premier moyen d’envoi lorsque ledit module de communication indique que la connexion cellulaire du véhicule est indisponible pendant une durée supérieure audit premier intervalle de temps prédéfini. Ainsi on évite de trop dégrader l’expérience utilisateur en cas de fausse détection d’anomalie due à une perte de couverture radio.

Avantageusement encore, le véhicule selon l’invention comporte au moins ledit deuxième moyen d’envoi, lesdits moyens d’activation étant configurés pour activer ledit deuxième moyen d’envoi à l’exclusion des moyens d’envoi choisis parmi ledit troisième ou quatrième moyen d’envoi, lorsque ledit module de communication indique que la connexion cellulaire est indisponible pendant une durée supérieure à un deuxième intervalle de temps prédéfini supérieur au premier intervalle de temps prédéfini. Ainsi même si le véhicule selon l’invention intègre le troisième et /ou le quatrième moyen d’envoi, ceux-ci ne sont pas mis en œuvre dans un premier temps, notamment tant que le véhicule n’est pas à l’arrêt. Le serveur distant de gestion SG a ainsi le temps d’intervenir pour éviter la mise en œuvre des troisième et quatrième moyens d’envoi en cas de fausse détection. La dégradation de l’expérience utilisateur est ainsi peu dégradée tout en sécurisant le véhicule alors que la probabilité d’une anomalie suspecte devient plus importante.

Avantageusement encore, le véhicule selon l’invention comporte au moins ledit troisième ou ledit quatrième moyen d’envoi, lesdits moyens d’activation étant configurés pour activer ledit troisième ou quatrième moyen d’envoi seulement à l’arrêt dudit véhicule. Cela permet de ne dégrader l’expérience utilisateur pour sécuriser le véhicule qu’aux moments les plus opportuns notamment en dehors d’une phase de roulage du véhicule.

L'invention concerne aussi un système comportant un véhicule selon l’invention, ainsi que ledit serveur distant de gestion, caractérisé en ce que ledit serveur distant de gestion comporte :

- des moyens de réception d’un message envoyé par ledit module de supervision et comportant une information représentative d’une détection d’anomalie de connexion entre ledit véhicule et ledit serveur distant de gestion,

- des moyens de détection du fait que ladite détection d’anomalie n’est pas due à une cyber-attaque par corrélation entre la position dudit véhicule et des données de couverture radio,

- des moyens d’envoi d’un message indiquant que ladite anomalie n’est pas due à une cyber-attaque audit véhicule, en réponse audit message en provenance dudit module de supervision et remontant ladite détection d’anomalie.

Ainsi le serveur distant de gestion empêche le véhicule de mener des actions curatives dégradant l’expérience utilisateur lors d’une fausse détection due à une perte momentanée ou longue de couverture radio.

Avantageusement, ledit serveur distant de gestion comporte en outre : - un moyen de détection d’une cyber-attaque dès que des anomalies sont remontées par un nombre de véhicules supérieur à un seuil prédéfini,

- de moyens d’envoi audit véhicule d’un message activant une procédure de redémarrage sécurisé dudit module de communication et dudit environnement d’exécution multimédia et/ou de mise à jour dudit environnement d’exécution multimédia dès qu’une cyber-attaque est détectée par ledit moyen de détection. Cette caractéristique supplémentaire permet de protéger le véhicule contre une future cyber-attaque prédéfinie.

L'invention concerne enfin un procédé de sécurisation de la connexion entre un véhicule selon l’invention et ledit serveur distant de gestion dudit véhicule, comportant les étapes de :

- envoi et/ou réception de messages signés, uniques et prédéfinis, respectivement à destination dudit serveur distant de gestion et/ou en provenance dudit serveur distant de gestion,

- détection d’une anomalie de ladite connexion

- envoi d’une instruction audit module de communication, apte à faire basculer la communication entre ledit véhicule et ledit serveur distant de gestion sur une connexion utilisant la carte d’identifiant de télécommunication relative à l’abonnement du constructeur dudit véhicule.

Le système et le procédé selon l’invention présentent des avantages analogues à ceux du véhicule selon l’invention.

D'autres caractéristiques et avantages apparaîtront à la lecture d’un mode de réalisation préféré décrit en référence aux figures dans lesquelles :

- la figure 1 représente un véhicule et un système selon l'invention, dans ce mode de réalisation préféré de l’invention,

- la figure 2 représente des moyens curatifs du véhicule selon l’invention, dans ce mode de réalisation préféré de l’invention,

- la figure 3 représente des étapes d’un procédé selon l'invention, dans ce mode préféré de réalisation de l’invention, - et la figure 4 représente un diagramme d’état d’une logique curative implémentée dans le véhicule selon l’invention, dans ce mode préféré de réalisation de l’invention.

Selon un mode de réalisation préféré de l'invention représenté à la figure 1, un véhicule V selon l’invention comporte divers environnements d’exécution hébergeant divers logiciels. Notamment les logiciels sécuritaires du véhicule V tels que les logiciels de contrôle moteur ou d’aide à la conduite sont hébergés sur des calculateurs sécurisés, par exemple accessibles uniquement via une passerelle sécurisée intégrant un environnement d’exécution de confiance TEE (d’après l’anglais « Trusted Execution Environment ») Dans cet exemple de réalisation de l’invention, l’environnement de confiance TEE héberge des fonctions sécuritaires SF du véhicule V, ainsi qu’un module MR hébergeant des fonctions curatives déclenchées en cas de détection d’une cyber-attaque, et un module MS de supervision de la connexion entre le véhicule V et un serveur distant SG de gestion du véhicule V. L’environnement de confiance TEE est par exemple hébergé dans la passerelle sécurisée qui fait le lien entre la zone logicielle sécurisée du véhicule donnant accès aux calculateurs sécurisés du véhicule, et la zone logicielle incluant les fonctionnalités de communication multimédia communiquant avec l’extérieur du véhicule.

Le véhicule V comporte également au moins un environnement d’exécution non sécurisé, ici l’environnement d’exécution EESM d’un système multimédia hébergeant la partie d’information et de loisirs dite « infotainment » du véhicule V. L’environnement d’exécution EESM héberge donc des applications AC destinées à l’usage des utilisateurs du véhicule et qui sont exposées aux flux de données en provenance ou à destination d’internet, telles que des services de géolocalisation, des navigateurs embarqués, etc. L’environnement d’exécution EESM héberge également des fonctions BF peu sécuritaires du véhicule tels que des fonctions de réglage des sorties audio ou des interfaces graphiques du véhicule V. Enfin l’environnement d’exécution EESM héberge un module de communication MC. Le module de communication MC intègre un modem radio- cellulaire apte à convertir des signaux réseau Ethernet en signaux radio GSM (d’après l’anglais « Global System for Mobile Communications »), 3G, 4G, 5G (G comme génération de technologie de téléphonie mobile) ou Wi-Fi (d’après les normes IEEE 802.11 ) et inversement. En variante de réalisation le module de communication MC convertit d’autres types de protocoles filaires en d’autres types de protocoles radio, notamment suivant le pays d’utilisation du véhicule et son architecture électrique/électronique. Par exemple en variante le modem est utilisé pour convertir des signaux CAN (Controller Area Network) en signaux CDMA2000.

Bien que le module de communication MC soit intégré dans l’environnement d’exécution EESM, notamment pour permettre aux applications non sécurisées de communiquer avec l’extérieur, certaines de ses fonctions sont sécurisées. Ces fonctions sécurisées sont implémentées par un circuit électronique sécurisé, ou dans un calculateur sécurisé tel qu’un micro contrôleur. L’environnement d’exécution EESM comporte donc des logiciels non sécurisés mais aussi des logiciels et/ou des circuits matériels sécurisés. Ces fonctions permettent notamment à l’environnement d’exécution de confiance TEE de forcer le module de communication MC à commuter sur une carte d’identifiant de télécommunication propre au constructeur du véhicule V comme décrit plus loin. On peut bien sûr considérer en variante que la partie sécurisée du module de communication MC fait partie de l’environnement d’exécution de confiance TEE.

Le modem du module de communication MC a la capacité « dual-SIM » qui lui permet d’utiliser deux cartes SIM, qui sont dans cet exemple de réalisation :

- une carte SIM référencée UCA d’identifiant de télécommunication relative à l’abonnement entre un utilisateur du véhicule V et un opérateur de télécommunications, - une carte SIM référencée VCA d’ identifiant de télécommunication relative à l’abonnement entre le constructeur du véhicule V et un opérateur de télécommunication qui peut être différent de l’opérateur de télécommunications ayant fourni la carte UCA.

La carte UCA qu’utilise le module de communication MC est par exemple une SIM virtuelle, c’est-à-dire que l’utilisateur n’a pas besoin de mettre sa carte SIM dans un emplacement spécifique du modem du véhicule V, mais qu’il a simplement à entrer des données d’authentification de sa carte SIM personnelle dans le véhicule pour que celui-ci génère cette carte SIM virtuelle. En variante le module de communication MC présente un emplacement physique permettant à l’utilisateur d’y insérer sa carte SIM personnelle.

Dans ce mode de réalisation de l’invention, le modem du module de communication MC n’a pas la capacité d’utiliser à la fois les cartes UCA et VCA, mais a la capacité d’utiliser l’une ou l’autre de ces cartes à la fois, en commutant d’une carte à l’autre pour l’établissement d’une communication avec l’extérieur en fonction du contexte. Il n’a donc pas la capacité dite « active dual-SIM ». Par exemple lorsque l’utilisateur du véhicule V utilise l’environnement d’exécution EESM pour aller sur internet, le module de communication utilise la carte UCA pour établir une session de communication LSU avec le réseau internet INT. Cette session de communication s’établit avec un niveau de sécurité standard propre à un abonnement téléphonique cellulaire individuel, et peut être utilisée pour communiquer également avec le serveur distant de gestion SG. Lorsque le véhicule V est à l’arrêt, moteur éteint et portes fermées sans utilisateur dans l’habitacle, et communique avec le serveur de distant de gestion SG pour des raisons de maintenance, le module de communication MC utilise en revanche la carte VCA pour établir une session de communication LSV avec le serveur distant de gestion SG. Cette session de communication LSV bénéficie d’un niveau de sécurité éventuellement supérieur au niveau de sécurité de la session de communication LSU, par exemple elle utilise un APN (d’après l’anglais « Access Point Name ») sécurisé. Le module de communication MC a également la capacité de reporter l’état de la connexion cellulaire à l’environnement d’exécution TEE. Notamment il indique si la couverture réseau radio est trop faible ou manquante pour établir une session de communication avec l’extérieur. Le serveur distant de gestion SG comporte une logique VAL d’administration générale des véhicules du constructeur, ainsi qu’un module de supervision SMM de la liaison de communication entre le véhicule V et le serveur distant de gestion SG. Le risque principal lors de l’utilisation de la carte UCA, est qu’une attaque venant d’internet permette à un pirate de prendre le contrôle des calculateurs et environnements d’exécution non sécurisés du véhicule, ce qui pourrait permettre au pirate de couper la communication entre le serveur distant de gestion SG et l’environnement d’exécution de confiance TEE, empêchant ce dernier de recevoir des ordres pour déclencher des actions correctives et revenir à la normale. Afin de remédier à ce problème, le module de supervision MS supervise la connexion entre le véhicule V et le serveur distant de gestion SG lors de l’utilisation du véhicule V, en testant notamment cette connexion régulièrement. Le module de supervision est ainsi apte à détecter une interruption anormale de la communication entre le véhicule V et le serveur distant de gestion SG. Lorsqu’ une telle anomalie de connexion est détectée, le module de supervision MS active des fonctions sécuritaires SF, implémentées dans des modules M1 à M4, comme représenté à la figure 2. On doit donc comprendre dans cette demande que le module de supervision MS met en place une supervision de la connexion entre le véhicule et le serveur distant de gestion SG, distincte des mécanismes de supervision normalisés implémentés par le module de communication MC, notamment distincte des mécanismes d’encryption des messages tels que rendus obligatoires par le standard de communication GSM, 3G, 4G, 5G ou Wi-Fi utilisé par le module de communication MC. En effet ce module de supervision est apte à détecter une interruption anormale de la communication entre le véhicule V et le serveur distant de gestion SG c’est-à-dire due à une atteinte à l’intégrité logicielle du module de communication MC.

Plus précisément le module de supervision MS comporte un module d’activation MA recevant en entrée un code d’anomalie, l’état de la connexion cellulaire et l’état du véhicule V. En fonction de ces paramètres d’entrée, le module d’activation MA active un ou plusieurs des modules M1 à M4.

Le module M1 est un moyen logiciel d’envoi d’une instruction au microcontrôleur sécurisé du module de communication MC, déclenchant l’inhibition des communications avec l’extérieur pour les applications non sécurisées du véhicule, c’est-à-dire coupant toute communication émanant de l’environnement d’exécution EESM et à destination d’internet.

Le module M2 est un moyen logiciel d’envoi d’une instruction au microcontrôleur sécurisé du module de communication MC, déclenchant la sélection par le module de communication MC de la carte VCA pour communiquer avec l’extérieur, et l’inhibition par le module de communication MC de toute communication autre qu’avec le serveur distant de gestion SG,

Le module M3 est un moyen logiciel d’envoi d’une instruction au microcontrôleur sécurisé du module de communication MC, déclenchant le redémarrage du module de communication MC, et d’une instruction à une partie sécurisée MB1 de l’environnement d’exécution EESM pour redémarrer celui-ci. En variante une seule instruction est nécessaire notamment lorsque le microcontrôleur est relié à la partie sécurisée MB1. Ces redémarrages sécurisés déclenchent l’effacement de la mémoire vive de ces systèmes, et forcent la sélection de l’utilisation de la carte VCA pour communiquer avec le serveur distant de gestion SG, sans connexion à internet.

Le module M4 est un moyen logiciel d’envoi d’une instruction déclenchant le redémarrage sécurisé de tout ou partie d’autres environnements d’exécution ou d’autres logiciels MB2 à MBn du véhicule V. Ce redémarrage sécurisé déclenche l’effacement de la mémoire vive de ces autres environnements et logiciels et bloque éventuellement l’utilisation de certaines parties de logiciel qui sont plus sensibles aux attaques que les autres. Un exemple d’utilisation d’un de ces moyens par le module de supervision MS est représenté sous la forme d’un procédé de sécurisation de la connexion entre le véhicule V et le serveur distant de gestion SG selon l’invention, à la figure 3. Dans cet exemple, le module de communication MC utilise dans un premier temps la carte UCA pour communiquer avec l’extérieur.

L’étape E1 est l’envoi et la réception de messages signés, uniques et prédéfinis, respectivement à destination du serveur distant de gestion SG et en provenance du véhicule V, par le module de supervision MS. Pour cela le module de supervision MS envoie un message périodiquement au serveur distant de gestion SG, qui permet au serveur distant de gestion SG de l’authentifier. Ce message est par exemple signé en utilisant un algorithme de chiffrement asymétrique comme par exemple le chiffrement RSA (d’après ses inventeurs Rivest, Shamir et Adleman). En variante le module de supervision MS utilise une signature obtenue par un algorithme de hachage de type HMAC (d’après l’anglais «keyed-hash message authentication code») utilisant une clef de chiffrement connue du constructeur seulement (et contenue de manière sécurisée dans le véhicule V et le serveur distant de gestion SG). Bien sûr d’autre algorithmes de chiffrement symétriques ou asymétriques sont utilisables pour la signature des messages envoyés par le module de supervision MS. Ces messages comportent également une donnée anti-rejeu telle qu’un horodatage, un comptage ou un nombre prédéfini généré par un algorithme connu seulement du véhicule V et du serveur distant de gestion SG. Les messages envoyés par le module de supervision MS comportent également un code d’anomalie dont les valeurs et leurs significations sont par exemple :

- 0 : pas d’anomalie détectée par le module de supervision MS - 1 : rupture de connexion avec indication par le module de communication MC d’un manque de couverture réseau pendant une durée supérieure à un premier seuil de durée prédéterminée T1 - 2 : rupture de connexion avec indication par le module de communication MC d’un manque de couverture réseau pendant une durée supérieure à un deuxième seuil de durée prédéterminée T2 supérieur au premier seuil de durée prédéterminée T1

- 3 : rupture de connexion inexpliquée

Le premier seuil de durée prédéterminée T1 est par exemple fixé à 30 minutes et le deuxième seuil de durée prédéterminée T2 est par exemple fixé à 60 minutes.

Il est à noter que dans ce mode de réalisation de l’invention, les codes d’anomalie sont axés notamment sur les ruptures de connexion dues à de vrais ou faux manques de couverture réseau, pour simplifier. En pratique les codes d’anomalie sont possiblement plus nuancés. Par exemple en variante un code différent est alloué aux situations suivantes :

- le module de supervision MS a envoyé un message de test et reçu un retour protocolaire immédiat, mais ne reçoit pas de réponse du serveur distant de gestion SG,

- le module de supervision MS a envoyé un message de test mais n’a pas reçu de retour protocolaire immédiat, alors que le module de communication MC indique qu’une connexion est établie avec le serveur distant de gestion SG,

- le module de supervision MS n’arrive pas à transmettre de message de test et le module de communication MC indique qu’il n’y a plus de connexion établie avec le serveur distant de gestion SG, alors que la connexion cellulaire fonctionne en mode transfert de données,

- le module de communication MC indique qu’il n’y a plus de connexion cellulaire disponible en mode transfert de données alors qu’une couverture réseau est disponible,

- le module de communication MC indique qu’il n’y a plus de couverture réseau.

Dans cette variante on applique par exemple des compteurs de temps correspondant aux durées T1 et T2 plus largement aux cas où le module de communication MC indique il n’y a plus de connexion établie avec le serveur distant SG, afin d’activer les modules M1 et respectivement M2. Les messages envoyés par le serveur distant de gestion SG en réponse aux messages qu’il reçoit émanant du module de supervision MS, sont signés et comportent une donnée anti-rejeu, de manière similaire aux messages envoyés par le module de supervision MS. De plus les messages de réponse du serveur distant de gestion SG comportent éventuellement une information confirmant ou infirmant l’existence d’un manque de couverture réseau précédemment remonté par le module de supervision MS, ou une instruction déclenchant une action curative sur le véhicule V, tel qu’une mise à jour logicielle ou une instruction de redémarrage sécurisé dès l’arrêt du véhicule V.

L’étape E2 du procédé est la détection d’une anomalie de connexion par le module de supervision MS. Le module de supervision MS détecte une telle anomalie :

- lorsqu’il ne reçoit pas de réponse à l’un des messages qu’il a envoyé ou lorsque le module de communication MC indique ne pas avoir pu transmettre un des messages du module de supervision MS au serveur distant de gestion SG, alors même que le module de communication MC indique qu’une couverture réseau est disponible. Cette détection s’effectue éventuellement après plusieurs essais de retransmission ou à l’expiration d’un compteur de temps réglé à un temps de réponse prédéfini, par exemple fixé à quinze minutes; cette détection correspond au code 3 d’anomalie défini plus haut ;

- lorsque le module de communication MC indique que la couverture réseau est indisponible, depuis une durée supérieure à un seuil de durée prédéfini T1 ou T2 ; cette détection correspond au code 1 ou 2 d’anomalie défini plus haut en fonction du seuil correspondant.

L’étape E3 est l’activation de moyens curatifs par le module de supervision MS, permettant de rétablir une communication de confiance entre le véhicule V et le serveur distant de gestion SG même si l’environnement d’exécution EESM est compromis par une attaque. Ces moyens sont choisis de façon à préserver au mieux l’expérience utilisateur, notamment au cas où l’anomalie détectée ne correspond pas à une cyber-attaque mais à une vraie perte de couverture réseau. Pour cela l’impact en termes de possibilités de connexion de l’utilisateur et du véhicule V est progressivement augmenté en fonction de l’état du véhicule V et du risque réel de cyber-attaque. Par exemple lorsque le module de communication MC indique un manque de couverture réseau, le module de supervision MS effectue plus de tentatives pour renvoyer un message que lorsque le module de communication MC indique une couverture réseau disponible. De même les seuils de durée prédéfinie T1 ou T2 sont par exemple fixés en fonction de données de géolocalisation. Ainsi si le véhicule détecte une entrée dans une zone blanche, ces seuils sont par exemple adaptés à la durée estimée de trajet dans cette zone. En fonction du code de l’anomalie détectée les actions curatives sont également plus ou moins impactantes. Dans cet exemple d’utilisation de l’invention on suppose que le véhicule V est en cours d’utilisation et que le code d’anomalie remonté est 3. Dans ce cas l’étape E3 consiste en l’activation du module M2, qui déclenche le basculement de la communication entre le véhicule V et le serveur distant de gestion SG sur une connexion utilisant la carte VCA. Autrement dit le module M2 envoie une instruction au module de communication MC pour couper momentanément la communication entre le véhicule V et le serveur distant de gestion SG et ré établir une connexion entre ces deux entités en utilisant l’abonnement du constructeur du véhicule V. Une fois la communication ré-établie entre le véhicule V et le serveur distant de gestion SG, le module de supervision MS envoie le code d’anomalie 3 dans un message au serveur distant de gestion SG. Le module de supervision SMM du serveur distant de gestion SG envoie alors dans le message de réponse correspondant ou séparément, une instruction permettant la mise en œuvre d’une action curative par les fonctions sécuritaires SF du véhicule, par exemple une mise à jour logicielle ou un redémarrage sécurisé de l’environnement EESM, qui sera mis en œuvre dès l’arrêt du véhicule, préférentiellement moteur éteint. En cas de non-réponse du serveur distant de gestion SG, le véhicule V met lui-même en œuvre cette action curative. II est à noter qu’après un rétablissement de communication entre le véhicule V et le serveur distant de gestion SG, lorsque le code d’anomalie remonté par le module de supervision est 1 ou 2, le serveur distant de gestion SG est en mesure de vérifier si le véhicule V est dans une zone dans laquelle la couverture réseau est effectivement mauvaise ou inexistante. Si c’est le cas, le module de supervision SMM du serveur distant de gestion SG informe le véhicule V qu’il était dans une telle zone dès que la communication avec le véhicule V est rétablie, ce qui permet d’éviter un redémarrage sécurisé inutile de l’environnement d’exécution EESM au prochain arrêt du véhicule V. Au contraire lorsque ce n’est pas le cas, le module de supervision SMM du serveur distant de gestion SG en informe le véhicule V dès que la communication avec le véhicule V est rétablie et lui envoie une instruction de redémarrage sécurisé ou de mise à jour de l’environnement d’exécution EESM dès l’arrêt du véhicule, préférentiellement moteur éteint. Il est à noter que préférentiellement les re démarrages sécurisés du module de communication MC et de l’environnement EESM sont différés de quelques dizaines de secondes après l’arrêt du véhicule pour que les traitements de fin de mission ne soient pas interrompus. De plus à l’arrêt du véhicule l’envoi et la réception de messages de tests sont arrêtés pour préserver la batterie du véhicule.

De plus, le serveur distant de gestion SG administrant toute une flotte de véhicules, il est en mesure de détecter une cyber-attaque par corrélation des anomalies remontées par les véhicules de cette flotte. Notamment si cette flotte de véhicules remonte un nombre d’anomalies supérieur à un seuil prédéfini, par exemple 1000 sur une courte période et sur des zones géographiques comportant une couverture réseau acceptable, le module de supervision SMM détecte une cyber-attaque et programme une mise à jour logicielle sur ses véhicules avec redémarrage sécurisé.

En référence à la figure 4, un exemple de logique implémentée dans le module de supervision MS et permettant de minimiser l’impact du procédé de sécurisation selon l’invention sur l’expérience utilisateur, comporte les états S0 à S5. Dans l’état SO, le véhicule V est à l’arrêt moteur éteint et non allumé, c’est-à-dire que le contact n’est pas mis. Dans cet état, le véhicule V communique avec le serveur distant de gestion SG uniquement avec la carte VCA, aucune communication internet n’est établie. Lorsqu’un utilisateur allume le véhicule V en mettant le contact, la logique passe à l’état S1 .

A l’état S1 , l’utilisateur peut entrer les données de sa carte SIM personnelle dans le véhicule et accéder à internet sur l’environnement d’exécution EESM via la carte UCA. Si ces données ont déjà été entrées dans le véhicule V lors d’une précédente utilisation du véhicule V, le module de communication MC commute sur la carte UCA dès que le véhicule est allumé. Le module de supervision MS supervise alors la connexion entre le véhicule V et le serveur distant de gestion SG. Dans cet état S1 , la logique retourne à l’état SO lorsque l’utilisateur éteint le véhicule.

Si, dans l’état S1 , le module de supervision MS reçoit une instruction du serveur distant de gestion SG pour effectuer un redémarrage sécurisé du module de communication MC et de l’environnement d’exécution EESM avec une éventuelle mise à jour de ces entités, alors la logique passe à l’état S2 de redémarrage sécurisé (avec éventuelle mise à jour) de ces entités. A l’issue de ce redémarrage sécurisé dans cet état S2 la logique passe à l’état S4 de communication sécurisée qui sera décrite plus loin.

Si, dans l’état S1 , le module de supervision MS détecte une anomalie de code 1 ou 3, alors le module de supervision MS active le module M1 et la logique passe à l’état S3 dans lequel le module de communication MC continue d’utiliser la carte UCA mais interdit toute communication internet autre qu’avec le serveur distant de gestion SG.

Si dans cet état S3, le module de supervision MS détecte une anomalie de code 2 ou 3, c’est-à-dire que le module de communication MC indique qu’il n’y a pas de couverture réseau depuis une heure ou que le module de communication MC n’envoie ou ne reçoit plus de message depuis quinze minutes sans indication de perte de couverture réseau, alors la logique passe à l’état S4 de communication sécurisée. Si à l’état S3, le véhicule V est éteint par l’utilisateur sans que le serveur distant de gestion SG ait pu infirmer l’anomalie de code 1 ou 3 qui a déclenché le passage à l’état S3 et en notifier le véhicule V, alors la logique passe à l’état S5 de redémarrage sécurisé du module de communication MC forçant le module de communication à utiliser la carte VCA seulement ; à l’issue de ce redémarrage la logique passe à l’état S4 de communication sécurisée.

Si à l’état S3, le serveur distant de gestion SG infirme l’anomalie de code 1 ou 3 qui a déclenché le passage à l’état S3, alors la logique passe à l’état S1 .

A l’état S4 de communication sécurisée, le module de communication MC est habilité à n’utiliser que la carte VCA pour communiquer avec le serveur distant de gestion SG, que le véhicule V soit allumé ou éteint. Si le véhicule V est allumé dans cet état S4, et que l’utilisateur éteint son véhicule V sans que le serveur distant de gestion SG ait pu infirmer l’anomalie 1 ,2 ou 3 ayant conduit au passage à l’état S4 et le notifier au véhicule V, alors la logique reboucle sur l’état S4. Au contraire si dans cet état S4, le serveur distant de gestion SG infirme l’anomalie 1 ,2 ou 3 ayant conduit au passage à l’état S4 et le notifie au véhicule V, alors la logique reboucle sur l’état S0 si le véhicule est éteint, ou sur l’état S1 si le véhicule est allumé.

Bien sûr cette logique n’est qu’un exemple de réalisation de l’invention. D’autres logiques sont implémentables dans d’autres variantes de réalisation du véhicule, du système ou du procédé selon l’invention. Par exemple dans une variante où le véhicule n’implémente que les modules M2 et M3, les états S3 et S4 sont confondus. De plus dans une autre variante de réalisation de l’invention, le serveur distant de gestion SG est détenu par un tiers. Dans cette variante, l’échange d’une clef privée pour la signature des messages échangés entre le module de supervision MS et le serveur distant de gestion SG s’effectue par un premier échange chiffré utilisant par exemple l’algorithme de chiffrement asymétrique RSA. Bien d’autres variantes de réalisation sont bien entendu possibles. Notamment, dans une autre variante de réalisation de l’invention, le module de supervision MS supervise le bon fonctionnement de la connexion entre le module de communication MC et le serveur distant de gestion SG en surveillant la bonne réception de messages signés, uniques et prédéfinis envoyés par le serveur distant de gestion SG, mais n’envoie pas lui-même de messages de test au serveur distant de gestion SG. Cette variante ne couvre toutefois qu’une supervision de la connexion dans un sens. Dans une autre variante, le module de supervision envoie des messages de test au serveur distant de supervision SG, ces messages de test ne contenant pas de code d’anomalie, ou n’en contenant que lorsqu’une anomalie est détectée. Enfin dans une autre variante, le serveur de gestion SG envoie un message alertant le véhicule V juste avant l’entrée de celui-ci dans une zone blanche, afin de désactiver les compteurs de temps liés aux seuils T1 et T2, jusqu’à la sortie de la zone blanche.