TITRE : Procédé de communication entre deux équipements, premier équipement, deuxième équipement et programme d'ordinateur correspondants.

1. Domaine de l'invention

Le domaine de l'invention est celui des communications au sein d'au moins un réseau de communication, par exemple un réseau informatique mettant en œuvre le protocole IP.

Plus précisément, l'invention concerne la gestion d'au moins une adresse MAC (en anglais « Media Access Control ») affectée à au moins une interface d'un équipement connecté à un réseau de communication.

L'invention propose notamment une solution permettant d'offrir une continuité de service en cas de renouvellement d'adresse MAC.

2. Art antérieur

Les adresses MAC sont des identifiants affectés à des interfaces réseau pour les besoins de communication. Ces identifiants sont généralement affectés par les fabricants des cartes réseau. Une adresse MAC est souvent considérée comme unique et permanente (c'est-à-dire non modifiée dans le temps), ce qui permet de suivre et d'identifier un équipement tel qu'un terminal, même lorsque celui-ci est en mouvement. De ce fait, il est possible pour un équipement d'accès au réseau (par exemple un routeur ou un CPE (« Customer Premises Equipment »), etc.) d'acquérir de façon dynamique l'adresse MAC d'un autre équipement connecté au réseau ou de déclarer cette adresse MAC audit équipement d'accès. Par ailleurs, il est possible de paramétrer l'équipement d'accès au réseau pour qu'il filtre certaines adresses MAC déclarées ou acquises dynamiquement, par exemple pour qu'il autorise le trafic entrant ou sortant uniquement pour les équipements déclarés ou de confiance.

Toutefois, l'acquisition dynamique ou la déclaration d'adresses MAC repose sur des messages échangés sur le réseau auquel sont connectés ledit autre équipement et ledit équipement d'accès. Ces messages ne sont pas chiffrés, et les adresses MAC peuvent donc être piratées et utilisées pour suivre un équipement, et notamment déterminer son emplacement. Ceci peut ainsi nuire à la confidentialité des données échangées par des utilisateurs de tels équipements ou des données caractéristiques de ces utilisateurs.

De plus en plus d'équipements (machines, systèmes d'exploitation, etc.) utilisent désormais une procédure de génération aléatoire (ou « randomisation ») d'adresses MAC, c'est-à-dire que ces équipements utilisent des adresses MAC aléatoires pour communiquer avec d'autres équipements connectés au même réseau (par exemple réseau local, points d'accès public) ou à un réseau distinct, ce qui permet notamment de contribuer à la préservation de la confidentialité des données échangées par des utilisateurs ou des données caractéristiques des utilisateurs. Une configuration inadéquate d'un mode de génération d'adresses MAC peut avoir des implications négatives sur la stabilité des services offerts dans certains réseaux. En effet, plusieurs services reposent sur l'adresse MAC pour l'identification des équipements et l'application de certaines politiques, telles que les règles d'accès aux services, la priorisation d'accès aux ressources locales (imprimante, par exemple), les règles de mitigation d'attaques de déni de service (DDoS, en anglais « Distributed Denial of Service »), le contrôle parental, l'allocation d'adresses IP fixes, etc., ou lorsqu'il s'agit de solliciter l'approbation d'un administrateur lorsqu'un nouvel équipement se connecte au réseau. L'utilisation d'adresses MAC aléatoires peut alors conduire au filtrage ou au rejet du trafic d'un équipement normalement autorisé par un équipement d'accès (par exemple un CPE), parce qu'il n'aurait pas reconnu l'adresse MAC affectée à l'équipement. L'utilisation d'adresses MAC aléatoires peut ainsi empêcher un équipement « légitime », habilité à communiquer par l'équipement d'accès, d'accéder à des services locaux ou distants (Internet, etc.), ce qui est préjudiciable à l'expérience client.

Des solutions reposant sur l'utilisation d'adresses IP (IPv4 ou IPv6) ont également été proposées dans le contexte des attaques DDoS pour les besoins d'identification et de mitigation. Par exemple, lorsqu'une attaque DDoS est détectée (soit par un signalement d'une victime ou d'un opérateur tiers, soit par détection locale effectuée par le fournisseur de connectivité, par exemple), le réseau d'accès cherche à isoler la ou les source(s) de l'attaque (c.-à-d. le réseau local qui est à l'origine de l'attaque). Pour ce faire, des filtres reposant notamment sur l'adresse IPv4 ou le préfixe IPv6 alloués à l'équipement d'accès (par exemple au CPE) qui connecte ledit réseau local et le réseau d'accès peuvent être mis en place dans l'un des équipements d'accès.

Cependant, le filtrage reposant sur une adresse IPv4 n'est pas optimal car l'adresse IPv4 qui fait l'objet d'un tel filtrage est généralement utilisée pour transmettre le trafic envoyé par, ou à destination de, tous les équipements connectés à l'équipement d'accès, ce qui rend difficile, voire impossible, l'identification de l'équipement à l'origine de l'attaque par cette seule adresse IPv4 partagée. En d'autres termes, si les différents équipements connectés à l'équipement d'accès via le réseau local partagent une même adresse IPv4, l'équipement d'accès filtrera le trafic en provenance ou à destination desdits équipements, et il ne sera pas possible d'identifier précisément l'équipement malveillant parmi les différents équipements connectés à l'équipement d'accès via le réseau local.

De tels filtres ont par ailleurs l'inconvénient d'impacter l'accès aux différents services par des équipements légitimes connectés au même équipement d'accès (et donc étrangers à l'attaque). Le client est alors d'une part victime d'une entité malveillante qui utilise certains des équipements connectés à son réseau local pour servir de relais du trafic d'attaque (par exemple une caméra IP ou tout autre objet connecté), et d'autre part, il subit une dégradation sensible de la qualité voire l'indisponibilité des services auxquels il a souscrit dès que de tels filtres sont activés par l'opérateur du réseau d'accès. Une telle dégradation peut notamment être provoquée par une procédure d'écrêtage du trafic (« rate-limiting », en anglais) mise en œuvre par un ou plusieurs équipements du réseau de l'opérateur d'accès.

On note également que maintenir et appliquer des filtres reposant sur une liste d'adresses autorisées ou non (liste couramment appelée ACL (« Access Control List ») en anglais) par un routeur provoque très souvent une dégradation de ses performances, puisqu'un tel routeur doit balayer l'intégralité des entrées de ces listes avant de décider d'acheminer (ou non) un paquet reçu. Le filtrage reposant sur une adresse ou un préfixe IPv6 n'est pas plus efficace car un équipement malveillant peut générer de nouvelles adresses IPv6 (2 ⁶⁴ adresses disponibles) et échapper ainsi aux règles de filtrage mises en place par un réseau d'accès. L'application de règles de filtrage reposant sur des adresses ou des préfixes IPv6 peut ainsi être détournée de son objectif initial pour générer une attaque DDoS contre le routeur qui maintient ladite liste de filtrage. En effet, un équipement malveillant peut générer un grand nombre d'adresses IPv6 à une fréquence élevée afin d'atteindre rapidement la capacité maximale de traitement des paquets par un équipement d'accès, de sorte que celui-ci devienne hors service.

Afin de s'affranchir de telles limitations, une solution a été documentée dans le document RFC 9066 (« Distributed Denial-of-Service Open Threat Signaling (DOTS) Signal Channel Call Home ») daté de décembre 2021, pour signaler à l'équipement d'accès, typiquement à un CPE, qu'un équipement du réseau local émet/relaie du trafic d'attaque. Ce signalement comporte plusieurs informations telles que l'adresse source, le numéro de port source, le protocole, etc. Ces informations sont utilisées par l'équipement d'accès pour identifier (par exemple par consultation de sa table ARP (« Address Resolution Protocol » en anglais, ou protocole de résolution d'adresses)) l'adresse IP interne (par exemple l'adresse IPv4 privée) affectée à l'équipement malveillant (ou exploitée à des fins malveillantes) et qui correspond aux informations ainsi signalées. Ensuite, l'équipement d'accès configure des filtres sur la base de l'adresse MAC de l'équipement ainsi identifié pour contrôler l'accès aux services (trafic entrant, trafic sortant, etc.). Ce contrôle consiste typiquement à restreindre l'accès au réseau audit équipement.

Toutefois, une telle solution est difficile à mettre en œuvre en cas de renouvellement de l'adresse MAC.

Il existe donc un besoin d'une nouvelle solution permettant par exemple d'assurer une continuité de service en cas de renouvellement d'adresse MAC.

3. Exposé de l'invention

L'invention propose une solution sous la forme d'un procédé de communication entre un premier équipement et un deuxième équipement. Selon l'invention, le premier équipement met en œuvre les étapes suivantes : l'établissement d'une première connexion sécurisée entre le premier équipement et le deuxième équipement, via une première interface de communication du premier équipement, la transmission, en utilisant la première connexion sécurisée, d'un message comportant au moins une adresse MAC chiffrée, associée ou apte à être associée à la première interface et utilisée pour communiquer avec ou via le deuxième équipement ou un équipement intermédiaire localisé sur un chemin de communication entre le premier équipement et le deuxième équipement.

Ainsi, selon ce mode de réalisation de l'invention, le premier équipement peut déclarer au deuxième équipement l'adresse MAC courante qu'il utilise pour communiquer avec ou via le deuxième équipement, ou au moins une adresse MAC candidate qu'il souhaite utiliser pour communiquer avec ou via le deuxième équipement. Le chiffrement d'au moins une adresse MAC permet de renforcer la confidentialité de l'information transmise. De plus, ce mode de réalisation permet de communiquer cette ou ces adresses MAC au deuxième équipement lorsqu'il n'est pas directement connecté au premier équipement (cas d'un réseau hiérarchique par exemple). Enfin, il est possible pour un équipement destinataire dudit message de comparer l'adresse MAC source du message (qui peut être transportée en clair dans l'entête du message) avec l'adresse MAC chiffrée telle que déclarée dans le message, pour détecter une éventuelle manipulation frauduleuse des adresses MAC.

La solution proposée permet ainsi, selon au moins un mode de réalisation, de contribuer à la préservation de la confidentialité des communications.

Par exemple, la première connexion sécurisée repose sur un protocole de transport sécurisé, comme le protocole Q.UIC, ou sur un protocole applicatif sécurisé tel que le protocole CoAP (en anglais « Constrained Application Protocol ») sur DTLS (en anglais « Datagram Transport Layer Security »), ou le protocole PCP (en anglais « Port Control Protocol »), etc. La solution proposée offre ainsi l'avantage d'utiliser des fonctions supportées par un protocole sécurisé, et ne repose pas simplement sur l'utilisation d'adresses MAC. L'utilisation d'un canal sécurisé et le chiffrement des adresses MAC permet notamment d'obtenir une autorisation d'accès au réseau sur la base de l'adresse MAC même si le contrôle d'accès est activé par un équipement qui n'est pas sur le même lien (c'est-à-dire, situé à plusieurs sauts IP).

Ainsi, le message correspond par exemple à au moins une trame appartenant au groupe comprenant : une trame qui décrit l'adresse MAC courante que le premier équipement utilise pour communiquer avec ou via le deuxième équipement, par exemple une trame Q.UIC appelée ici « CURRENT_MAC_ADDRESS », une trame qui décrit une adresse MAC candidate que le premier équipement envisage d'utiliser pour communiquer avec ou via le deuxième équipement, par exemple une trame Q.UIC appelée ici « CANDIDATE_MAC_ADDRESS », une trame qui décrit une liste d'adresses MAC que le premier équipement prévoit d'utiliser pour communiquer avec ou via le deuxième équipement, par exemple une trame Q.UIC appelée ici « LIST_MAC_ADDRESS ».

Dans un mode de réalisation particulier, la solution proposée permet d'offrir une continuité de service, même en cas de renouvellement d'adresse MAC. La solution proposée est, dans la suite de ce document, dénommée MUSC (en anglais « Efficient MAC address Update for Service Continuity »).

Le premier équipement et le deuxième équipement peuvent être connectés à un même réseau, par exemple un réseau local, tel qu'un réseau domestique ou un réseau intranet d'entreprise, ou à des réseaux distincts. Un tel réseau peut éventuellement être un réseau hiérarchique, c'est-à-dire un réseau au sein duquel un ou plusieurs routeurs IP ont été déployés. La connectivité IP peut être fournie via un réseau filaire, ou sans fil (par ex. 5G), ou les deux.

Par exemple, le premier équipement est un terminal (fixe ou mobile, comme un ordinateur, un smartphone, etc.) et le deuxième équipement est un équipement d'accès tel qu'un CPE, un point d'accès (en anglais « hotspot »), une STB (en anglais « Set-Top Box » ou décodeur TV), un routeur, une passerelle, etc. Un tel équipement d'accès permet par exemple de connecter un équipement à un réseau local, notamment s'il s'agit d'un CPE. En variante, un tel équipement d'accès permet de connecter un équipement d'un réseau local à un réseau externe, notamment s'il s'agit d'un routeur d'accès.

La première interface du premier équipement est par exemple une interface WLAN (Wireless LAN), une interface Ethernet, etc. L'équipement intermédiaire peut être un autre routeur localisé sur le chemin entre le premier équipement et le deuxième équipement. Aucune hypothèse n'est faite quant à la nature des équipements impliqués ou l'architecture du ou des réseaux. De même, aucune hypothèse n'est faite quant à la nature du ou des services mis en place sur la base des adresses MAC.

En particulier, la solution proposée ne requiert pas d'authentification explicite ou d'établissement d'association de sécurité entre le premier équipement (terminal par exemple) et le deuxième équipement (CPE par exemple) pour chaque échange de paquets avec des équipements externes au réseau.

Selon un mode de réalisation particulier, ladite au moins une adresse MAC comprend une adresse MAC courante associée à la première interface et utilisée pour communiquer avec ou via le deuxième équipement ou l'équipement intermédiaire, et le premier équipement met en œuvre la réception, en utilisant la première connexion sécurisée, d'un message de vérification d'absence de conflit d'utilisation de l'adresse MAC courante.

Dans ce cas, le premier équipement peut générer une (nouvelle) adresse MAC, l'affecter à la première interface, puis le deuxième équipement peut vérifier l'absence de conflit d'utilisation de cette adresse MAC courante. Si un conflit est détecté, le deuxième équipement peut transmettre au premier équipement une demande de renouvellement de l'adresse MAC courante.

Selon un autre mode de réalisation particulier, ladite au moins une adresse MAC comprend au moins une adresse MAC candidate apte à être associée à la première interface et utilisée pour communiquer avec ou via le deuxième équipement ou l'équipement intermédiaire, et le premier équipement met en œuvre la réception, en utilisant la première connexion sécurisée, d'un message de vérification d'absence de conflit d'utilisation d'au moins une des adresses MAC candidates, et, en cas d'absence de conflit, l'association de la première interface avec une adresse MAC candidate vérifiée.

Dans ce cas, le premier équipement peut générer au moins une adresse MAC candidate, le deuxième équipement peut vérifier l'absence de conflit d'utilisation de cette ou ces adresses MAC candidates, puis affecter l'une des adresses MAC candidates vérifiées (i.e. ne présentant pas de conflit d'utilisation) à la première interface. Si un conflit est détecté, le deuxième équipement peut transmettre au premier équipement une demande de renouvellement de la ou des adresses MAC candidates concernées.

Dans un mode de réalisation particulier, le procédé mis en œuvre par le premier équipement comprend la réception, en utilisant la première connexion sécurisée, d'une clé de sécurité générée par le deuxième équipement.

Une telle clé peut être utilisée de manière permanente ou être renouvelée de façon dynamique, et éventuellement régulière. Ainsi, une telle clé peut être générée aléatoirement, de façon périodique ou suite à un événement déclencheur. De cette façon, le premier équipement peut utiliser cette clé pour transmettre le message chiffré comportant au moins une adresse MAC associée ou apte à être associée à la première interface, ce qui permet d'améliorer la sécurité des échanges et éventuellement de détecter une usurpation de l'identité du premier équipement.

Par exemple, lorsque le protocole Q.UIC est utilisé pour la première connexion sécurisée, une telle clé peut être reçue dans une trame Q.UIC, appelée par exemple MAC_TOKEN.

Dans un mode de réalisation particulier, une adresse IP temporaire est allouée au premier équipement pour la transmission du message, et le procédé met en œuvre une allocation d'une nouvelle adresse IP au premier équipement après validation, par le deuxième équipement, de ladite au moins une adresse MAC. En particulier, une telle adresse IP temporaire permet d'établir une communication avec le deuxième équipement, mais pas avec les autres équipements du réseau. Une fois seulement que ladite au moins une adresse MAC est validée par le deuxième équipement (i.e. en cas d'absence de conflit d'utilisation de ladite au moins une adresse MAC et vérification éventuelle d'un contexte de sécurité), l'adresse IP temporaire peut être reconfigurée en adresse IP permanente, et utilisée par le premier équipement pour communiquer avec les autres équipements du réseau ou des réseaux externes. Cette adresse temporaire est utilisée pour contrôler plus généralement si le premier équipement est habilité à se connecter au réseau.

Cette approche a l'avantage d'assurer une étanchéité des communications, en utilisant une adresse IP temporaire pour les échanges liés à la vérification des droits d'accès, particulièrement la déclaration d'adresse MAC auprès du deuxième équipement, et une autre adresse IP pour les communications avec les équipements du réseau local ou des réseaux externes.

Cette solution permet également d'assurer la sécurisation des connexions (y compris le contrôle d'accès à un réseau WLAN) sans nécessiter de fonction de sécurité au niveau de la couche 2 (Layer 2 (L2) du modèle OSI).

Dans un mode de réalisation particulier, le procédé comprend la réception, par le premier équipement, d'une demande de génération d'au moins une nouvelle adresse MAC apte à être associée à la première interface du premier équipement

Une telle demande peut provenir du deuxième équipement ou d'un autre équipement, par exemple d'un serveur distant.

Selon un premier exemple, le premier équipement peut contacter le serveur distant au titre d'un service donné, recevoir une demande de génération d'au moins une nouvelle adresse MAC en provenance du serveur distant, puis mettre en œuvre les étapes permettant d'associer sa première interface avec une nouvelle adresse MAC comme présenté ci-dessus.

Selon un deuxième exemple, le premier équipement peut disposer d'une liste d'au moins une adresse MAC candidate que le premier équipement prévoit d'utiliser pour communiquer avec le deuxième équipement (« LIST_MAC_ADDRESS »), et associer sa première interface avec une adresse candidate de la liste suite à la réception de la demande de génération d'au moins une nouvelle adresse MAC.

La réception de la demande de génération d'au moins une nouvelle adresse MAC peut donc être mise en œuvre avant ou après l'obtention d'au moins une adresse MAC candidate.

L'invention concerne par ailleurs un procédé de communication entre le premier équipement et le deuxième équipement, mis en œuvre par le deuxième équipement, et comprenant : l'établissement d'une première connexion sécurisée entre le premier équipement et le deuxième équipement, via une première interface de communication du premier équipement, la réception, en utilisant la première connexion sécurisée, d'un message comportant au moins une adresse MAC chiffrée, associée ou apte à être associée à la première interface et utilisée pour communiquer avec ou via le deuxième équipement ou un équipement intermédiaire localisé sur un chemin de communication entre le premier équipement et le deuxième équipement, la validation de ladite au moins une adresse MAC.

Comme indiqué ci-dessus, le premier équipement peut ainsi déclarer au deuxième équipement l'adresse MAC courante qu'il utilise pour communiquer avec ou via le deuxième équipement, ou au moins une adresse MAC candidate qu'il souhaite utiliser pour communiquer avec ou via le deuxième équipement.

Le deuxième équipement peut notamment valider ladite au moins une adresse MAC ; plus particulièrement, il peut vérifier l'absence de conflit d'utilisation de ladite au moins une adresse MAC, et éventuellement vérifier un contexte de sécurité partagé entre le premier équipement et le deuxième équipement.

En particulier, comme également indiqué ci-dessus, le deuxième équipement peut vérifier que l'adresse MAC source du message, véhiculée en clair dans le message transmis via la première connexion sécurisée, est conforme à l'adresse MAC courante chiffrée et telle que déclarée dans le message, ce qui permet de détecter la manipulation éventuelle des informations véhiculées en clair dans la première connexion.

Selon un mode de réalisation particulier, ladite validation met en œuvre la vérification d'absence de conflit d'utilisation de ladite au moins une adresse MAC et, si aucun conflit n'est détecté, la transmission au premier équipement d'un message de vérification d'absence de conflit d'utilisation. Par exemple, lorsque le protocole Q.UIC est utilisé pour la première connexion sécurisée, le deuxième équipement peut transmettre au premier équipement une trame Q.UIC, par exemple appelée « MAC_IN_USE », si l'adresse MAC courante ou l'adresse MAC candidate n'est pas disponible (parce qu'elle est par exemple déjà utilisée par un autre équipement du réseau ou parce qu'elle a été utilisée récemment). A l'inverse, si l'adresse MAC est disponible, le deuxième équipement peut transmettre au premier équipement un message d'acquittement (« ACK ») en réponse au message comprenant l'adresse MAC chiffrée.

Selon un mode de réalisation particulier, ladite validation met en œuvre la vérification d'un contexte de sécurité partagé entre le premier équipement et le deuxième équipement, associé à ladite au moins une adresse MAC.

Par exemple, un tel contexte de sécurité appartient au groupe comprenant : une clé de sécurité connue du premier équipement et du deuxième équipement, une information représentative d'un certificat d'authentification du premier équipement, telle que par exemple : o le certificat d'authentification lui-même, o un identifiant d'un certificat d'authentification du premier équipement, o un condensé d'un certificat d'authentification du premier équipement, etc.

Ainsi, le premier équipement peut transmettre, en plus de ladite au moins une adresse MAC associée ou apte à être associée à la première interface et utilisée pour communiquer avec ou via le deuxième équipement ou l'équipement intermédiaire, un contexte de sécurité, que le deuxième équipement peut vérifier pour confirmer l'identité du premier équipement.

Dans un mode de réalisation particulier, le deuxième équipement met en œuvre la création, ou la mise à jour, d'au moins une règle de filtrage associée au premier équipement, avec ladite au moins une adresse MAC.

Une règle de filtrage peut ainsi être associée à au moins une adresse MAC et éventuellement un contexte de sécurité.

Une règle de filtrage peut être associée à une action de type acceptation ou rejet du trafic (incluant le trafic correspondant aux demandes de connexion au réseau) en provenance et/ou à destination du premier équipement, identifié par ladite adresse MAC.

Une règle de filtrage peut être active ou non. Par défaut, elle est active si elle est associée à une adresse MAC.

Éventuellement, une durée de validité peut être configurée pour une règle de filtrage.

Selon un mode de réalisation particulier, le procédé met en œuvre une phase préalable de configuration des règles de filtrage. Une telle phase de configuration peut par exemple être mise en œuvre par un administrateur via une interface d'administration et/ou en utilisant un protocole de configuration.

Dans un mode de réalisation particulier, le procédé mis en œuvre par le deuxième équipement comprend la transmission, en utilisant la première connexion sécurisée, d'une clé de sécurité générée par le deuxième équipement.

Comme indiqué précédemment, une telle clé peut être exploitée de façon permanente ou être renouvelée de façon dynamique. Dans ce dernier cas, la clé de sécurité peut être générée aléatoirement, de façon périodique, suite à un événement déclencheur, etc. Une telle clé peut par exemple être transmise dans une trame Q.UIC « MAC_TOKEN ».

Dans un mode de réalisation particulier, une adresse IP temporaire étant allouée au premier équipement pour la transmission du message, le procédé met en œuvre une allocation d'une nouvelle adresse IP au premier équipement après ladite validation de ladite au moins une adresse

MAC.

Comme indiqué précédemment, le deuxième équipement alloue ainsi une nouvelle adresse IP au premier équipement une fois seulement que ladite au moins une adresse MAC est validée par le deuxième équipement et plus généralement lorsque les règles d'accès au service ont été validées (par exemple, prise en compte des plages horaires d'accès pour les besoins de contrôle parental). Dans un mode de réalisation particulier, le deuxième équipement transmet au premier équipement une proposition d'au moins une nouvelle adresse MAC apte à être associée à la première interface du premier équipement, en utilisant la première connexion sécurisée entre le premier équipement et le deuxième équipement.

Par exemple, une telle proposition peut être transmise suite à la détection d'un conflit avec l'adresse MAC courante ou une adresse MAC candidate chiffrée, telle que déclarée par le premier équipement dans le message. Si la première connexion sécurisée repose sur le protocole Q.UIC, une telle proposition peut être transmise dans la trame Q.UIC « MAC_IN_USE ».

Dans un mode de réalisation particulier, le premier équipement et le deuxième équipement peuvent échanger des messages pour confirmer qu'ils sont aptes à mettre en œuvre l'invention, selon au moins un mode de réalisation.

Par exemple, le premier équipement met en œuvre la transmission d'un premier paramètre signalant au deuxième équipement que le premier équipement est apte à transmettre un message comportant au moins une adresse MAC chiffrée, associée ou apte à être associée à la première interface et utilisée pour communiquer avec ou via le deuxième équipement ou l'équipement intermédiaire. En d'autres termes, ce premier paramètre signale au deuxième équipement que le premier équipement est apte à changer son adresse MAC courante (soit spontanément, soit à la réception d'une demande de renouvellement d'adresse MAC), à transmettre au moins une adresse MAC candidate, etc.

Le deuxième équipement met également en œuvre, par exemple à réception de ce premier paramètre, la transmission d'un deuxième paramètre signalant au premier équipement que le deuxième équipement est apte à recevoir le message comportant au moins une adresse MAC chiffrée, associée ou apte à être associée à la première interface et utilisée pour communiquer avec ou via le deuxième équipement ou l'équipement intermédiaire.

Par exemple, de tels paramètres sont des paramètres de transport Q.UIC appelés ici « mac-update », et valorisés à 1 pour indiquer que l'équipement émetteur du message Q.UIC comportant un tel paramètre supporte le procédé selon l'invention.

L'échange de tels paramètres peut être mis en œuvre avant la transmission, par le premier équipement, du message comprenant au moins une adresse MAC chiffrée. Dans d'autres modes de réalisation, l'invention concerne un premier équipement et un deuxième équipement correspondants.

Un mode de réalisation de l'invention vise aussi à protéger un ou plusieurs programmes d'ordinateur comportant des instructions adaptées à la mise en œuvre du procédé de communication selon au moins un mode de réalisation de l'invention tel que décrit ci-dessus, lorsque ce ou ces programmes sont exécutés par un processeur, ainsi qu'au moins un support d'informations lisible par un ordinateur comportant des instructions d'au moins un programme d'ordinateur tel que mentionné ci-dessus.

4. Liste des figures

D'autres caractéristiques et avantages de l'invention apparaîtront plus clairement à la lecture de la description suivante d'un mode de réalisation particulier, donné à titre de simple exemple illustratif et non limitatif, et des dessins annexés, parmi lesquels : la figure 1 présente un exemple d'architecture de réseaux ; la figure 2 illustre les principales étapes d'un procédé de communication selon au moins un mode de réalisation de l'invention ; la figure 3 illustre l'échange de paramètres pour vérifier la compatibilité de deux équipements selon un mode de réalisation de l'invention ; les figures 4, 5 et 6 illustrent des exemples de messages échangés entre un premier équipement et un deuxième équipement pour déclarer des adresses MAC selon un mode de réalisation de l'invention ; la figure 7 présente un mode de réalisation particulier basé sur l'utilisation d'une adresse IP temporaire pour le raccordement au réseau ; la figure 8 présente la structure simplifiée d'un premier équipement, respectivement deuxième équipement, selon un mode de réalisation particulier.

5. Description d'un mode de réalisation de l'invention

5.1 Principe général

Le principe général de l'invention repose sur l'utilisation d'une connexion sécurisée entre un premier équipement et un deuxième équipement, permettant au premier équipement de gérer l'adresse ou les adresses MAC courante(s) qu'il utilise pour communiquer avec ou via le deuxième équipement, ou au moins une adresse MAC candidate qu'il envisage d'utiliser pour communiquer avec ou via le deuxième équipement. De cette façon, le deuxième équipement peut valider l'adresse ou les adresses MAC courantes ou une liste d'au moins une adresse MAC candidate, c'est- à-dire vérifier notamment l'absence de conflit d'utilisation des adresses MAC courantes ou candidates, et éventuellement vérifier un contexte de sécurité partagé entre le premier équipement et le deuxième équipement. Le premier équipement peut ainsi renouveler ses adresses MAC courantes en utilisant au moins une adresse MAC candidate préalablement validée par le deuxième équipement, sur décision du premier équipement ou à réception d'une demande de renouvellement d'adresse MAC en provenance du deuxième équipement ou d'un autre équipement, par exemple un serveur distant.

A titre d'exemple, comme illustré dans la figure 1, on considère un réseau local LAN (« Local Area Network ») comprenant au moins un premier équipement 11, par exemple un terminal Hll, et un deuxième équipement 12, par exemple une passerelle résidentielle, encore appelée HG pour « Home Gateway » ou CPE. Le premier équipement 11 peut notamment être en communication avec un serveur distant S 13, via le deuxième équipement 12.

On rappelle qu'une passerelle résidentielle sert classiquement d'interface entre le réseau local de l'utilisateur et le réseau d'un opérateur auprès duquel l'utilisateur a souscrit une offre de service (ISP, « Internet Service Provider » en anglais). C'est donc un équipement d'accès au réseau d'un opérateur par lequel transite l'ensemble du trafic caractéristique des différents services souscrits par l'utilisateur, et qui supporte également un ensemble de services fournis localement aux terminaux (par exemple service FTP « File Transfer Protocol », service NFS « Network File System », serveur média, etc.).

Comme indiqué au préalable, d'autres architectures réseau ou d'autres natures d'équipements peuvent être utilisés dans le cadre de l'invention.

La figure 2 illustre les principales étapes mises en œuvre par le premier équipement 11 et le deuxième équipement 12 pour la mise en œuvre du procédé de communication selon un mode de réalisation de l'invention.

Au cours d'une première étape 21, une première connexion sécurisée est établie entre le premier équipement 11 et le deuxième équipement 12, via une première interface de communication du premier équipement 11. Par exemple, une telle connexion sécurisée utilise un protocole Q.UIC, CoAP/DTLS, PCP, etc. L'établissement d'une telle connexion sécurisée étant classique, il n'est pas décrit plus en détail ici.

Au cours d'une étape suivante 111, le premier équipement 11 transmet un message au deuxième équipement 12, en utilisant la première connexion sécurisée. Un tel message comporte au moins une adresse MAC chiffrée, associée ou apte à être associée à la première interface et utilisée pour communiquer avec ou via le deuxième équipement ou un équipement intermédiaire localisé sur un chemin de communication entre le premier équipement et le deuxième équipement.

Le deuxième équipement 12 peut ainsi recevoir un tel message au cours d'une étape 121, et valider la ou les adresses MAC reçues au cours d'une étape 122.

5.2 Exemple de mise en œuvre

On présente ci-après un mode de réalisation particulier, selon lequel le premier équipement 11 peut changer d'adresse MAC tout en bénéficiant d'une continuité de service (c'est-à-dire, l'équipement peut continuer de fournir ou d'accéder à ses services même en cas de changement d'adresse MAC). Pour ce faire, des règles de filtrage associées aux adresses MAC sont configurées dans le deuxième équipement 12 (CPE). De telles règles permettent d'accepter le trafic provenant / à destination d'un équipement ayant une interface configurée avec une adresse MAC donnée (si cette adresse MAC est associée à une action de type « autorisation à émettre du trafic avec cette adresse MAC », ou appartient à une « accept-list ») ou de rejeter le trafic provenant ou à destination d'une adresse MAC donnée (si cette adresse MAC est associée à une action de type « rejet du trafic utilisant cette adresse MAC », ou appartient à une « discard-list »).

5.2.1 Configuration des règles

Certaines règles peuvent être configurées ou pré-configurées dans le deuxième équipement, par exemple via une interface d'administration et/ou l'utilisation d'un protocole de configuration, par exemple tel que PCP, NETCONF, RESTCONF, etc. Elles peuvent notamment être mises à jour lorsqu'une nouvelle adresse MAC est associée à une interface du premier équipement.

On note que la configuration des règles ne suppose pas que l'équipement concerné par la règle est connecté au réseau local au moment de la configuration.

On décrit ci-après quelques exemples de règles de filtrage. On considère par exemple qu'une règle de filtrage comprend plusieurs paramètres : un paramètre de type « adresse MAC », un paramètre de type « action », par exemple une autorisation (« accept ») ou un rejet (« discard ») du trafic, un paramètre de type « état de la règle », par exemple règle active ou candidate, un paramètre de type « contexte de sécurité », un paramètre de type « validité de la règle », par exemple validité permanente, validité jusqu'à une certaine date, etc.

Le tableau suivant présente un exemple d'une table de règles de filtrage qui peut être maintenue par le deuxième équipement 12. Bien entendu, certains de ces paramètres peuvent être facultatifs.

Ainsi, on considère par exemple que si au moins une adresse MAC est associée à une règle, alors la règle de filtrage est activée (état de la règle valorisé à « Active »), c'est-à-dire que la règle est prise en compte lors du traitement par le deuxième équipement du trafic à destination ou en provenance de cette adresse MAC (par exemple rejet du trafic à destination ou en provenance de l'adresse @MAC2). En revanche, si aucune adresse MAC n'est associée à une règle, alors la règle est identifiée avec un état valorisé à « Candidate »).

Une règle peut passer à l'état « Active » quand au moins une adresse MAC est associée à la règle, comme décrit ci-après.

Une règle peut également être associée à un contexte de sécurité entre le premier équipement (identifié par l'adresse MAC) et le deuxième équipement (maintenant les règles de filtrage). Le contexte de sécurité peut être : une clé de sécurité partagée, connue du premier et du deuxième équipement, une information représentative d'un certificat d'authentification du premier équipement, telle que : o un certificat d'authentification du premier équipement ; o un identifiant d'un certificat d'authentification du premier équipement, par exemple un identifiant de certificat PKIX (par exemple, un nom de domaine ou une adresse IP). A titre d'exemple, des mécanismes d'authentification de noms de domaine peuvent être mis en œuvre, comme ACME (« Automatic Certificate Management Environment », tel que décrit dans le document RFC 8555 daté de mars 2019), o un condensé d'un certificat d'authentification du premier équipement (« Certificate Digest », en anglais) dont la production repose sur un algorithme de hachage (« Hash algorithm » en anglais) tel que SHA2-256 (« Secure Hash Algorithm v2 », 256 bits). Ce condensé peut être utilisé, par exemple, pour la validation d'une demande de modification d'une règle de filtrage d'adresse MAC.

Une règle peut être instanciée et activée lors de la connexion d'un équipement au réseau local et/ou à la suite de la réception par le deuxième équipement 12 d'un message de consentement d'un administrateur du réseau local.

Une règle par défaut peut être configurée sur le deuxième équipement 12 pour contrôler le traitement des paquets qui ne correspondent à aucune des règles de filtrage d'adresses MAC explicitement déclarées. Par exemple, cette règle par défaut peut consister à interdire l'accès au réseau local ou à la connectivité Internet pour toutes les adresses MAC non-déclarées.

Une règle peut également être associée à une durée de validité, par exemple permanente, ou indiquer une date d'échéance de la règle. Une règle peut être automatiquement supprimée de la table à cette échéance.

La table peut aussi inclure un paramètre de configuration qui permet de partager une clé (« Token », en anglais) avec un équipement qui se connecte pour la première fois à un réseau. En particulier, une telle clé peut être utilisée pour initialiser l'association entre le premier équipement et le deuxième équipement (par ex. lors d'une première association avec le réseau). Elle peut par la suite être remplacée par une autre clé de sécurité, qui peut être transmise par le deuxième équipement dans la trame Q.UIC « MAC_TOKEN » comme décrit par la suite.

5.2.2 Connexion d'un équipement au réseau

On considère que le premier équipement 11 souhaite se connecter au réseau LAN.

Pour ce faire, le premier équipement peut utiliser son adresse MAC par défaut (adresse MAC courante) ou générer une nouvelle adresse MAC pour se connecter au réseau LAN. Cette adresse MAC peut être utilisée pour générer du trafic de service au moment de la connexion (par exemple un message de broadcast ARP ou un message NS (« Neighbor Solicitation »)).

On note que le premier équipement peut communiquer avec d'autres équipements du réseau en utilisant une ou plusieurs interfaces de communication, par exemple une interface WLAN, une interface Ethernet, etc.

Le premier équipement 11 détecte sa passerelle par défaut, qui peut éventuellement être différente pour chacune de ses interfaces. Selon l'exemple considéré, la passerelle par défaut est le deuxième équipement, i.e. le CPE connecté au même réseau local que le premier équipement. Ainsi, le deuxième équipement 12 (CPE) est la passerelle par défaut pour la première interface du premier équipement 11.

L'identité d'une telle passerelle peut être communiquée par un message DHCP_OFFER, classiquement utilisé pour affecter une adresse IP à un équipement et le renseigner notamment sur sa passerelle par défaut, la valeur MTU (« Maximum Transmission Unit »), etc.

On note que la passerelle par défaut peut être connectée au même réseau LAN que le premier équipement ou se situer à plusieurs sauts IP du premier équipement, par exemple dans le cas où le réseau local est un réseau routé qui comprend un routeur en plus du CPE. Dans ce cas, le CPE peut centraliser la procédure de contrôle d'accès et particulièrement la procédure de gestion et de mise à jour des adresses MAC, et le routeur supplémentaire est un « équipement intermédiaire » au sens de l'invention.

Comme indiqué dans la figure 2, le premier équipement établit alors une première connexion sécurisée avec le deuxième équipement 12 (CPE), qui est la passerelle par défaut pour la première interface du premier équipement 11. Pour ce faire, le premier équipement peut utiliser comme adresse de destination l'adresse IP de la passerelle par défaut, découverte par exemple à partir du message DHCP_OFFER. Si aucune adresse IP permettant de joindre la passerelle par défaut n'est acquise par le premier équipement, celui-ci utilise une adresse anycast dédiée telle que 192.0.0.9/32 ou 2001:l::l/128, comme proposé dans le document RFC 6890 (avril 2013). On considère par la suite que la première connexion sécurisée utilise un protocole QUIC/UDP. Comme déjà indiqué, dans d'autres modes de réalisation, la première connexion sécurisée peut utiliser le protocole CoAP/DTLS ou tout autre protocole permettant l'établissement d'une connexion sécurisée.

Selon un mode de réalisation particulier, illustré dans la figure 3, le premier équipement utilise un nouveau paramètre de transport Q.UIC (comme prévu en section 7.4.2 du document RFC 9000, mai 2021), appelé ici « mac-update », pour signaler au deuxième équipement qu'il supporte la procédure MUSC qui permet d'assurer une continuité de service même lorsque les adresses MAC sont générées de façon aléatoire (« randomisation »). En d'autres termes, le premier équipement

11 met en œuvre la transmission 31 d'un premier paramètre signalant au deuxième équipement

12 que le premier équipement 11 est apte à changer son adresse MAC courante (soit spontanément, soit à réception d'une demande de renouvellement d'adresse MAC), à transmettre au moins une adresse MAC candidate, etc. Si le deuxième équipement supporte également la procédure MUSC, il peut répondre en utilisant le nouveau paramètre de transport Q.UIC « mac- update ». En d'autres termes, le deuxième équipement 12 met en œuvre la transmission 32 d'un deuxième paramètre signalant au premier équipement 11 que le deuxième équipement 12 est apte à traiter la ou les adresses MAC reçues du premier équipement 11.

Ces premier et deuxième paramètres sont par exemple valorisés à « 1 » (mac-update = 0x1) pour indiquer le support de la procédure MUSC. On suppose dans la suite que le premier équipement 11 et le deuxième équipement 12 supportent la procédure MUSC.

Dans un mode de réalisation particulier, le deuxième équipement 12 envoie, au premier équipement 11 à l'origine de l'établissement d'une première connexion sécurisée Q.UIC, une trame comportant une clé de sécurité partagée par les deux équipements. Une telle trame est transmise en utilisant la première connexion sécurisée (trame Q.UIC selon l'exemple considéré). Par exemple une telle trame est appelée « MAC_TOKEN ». La clé de sécurité est de préférence générée par le deuxième équipement, de manière aléatoire. Lorsque le premier équipement souhaite communiquer ultérieurement avec le deuxième équipement, il doit, dans le mode de réalisation décrit ici, présenter la clé de sécurité (par exemple en la transmettant avec l'adresse MAC chiffrée dans une trame Q.UIC), ce qui permet au deuxième équipement de vérifier l'identité du premier équipement. La clé de sécurité est donc un exemple de contexte de sécurité qui peut être associé à une règle.

Le deuxième équipement peut également renouveler sa clé de sécurité (par exemple périodiquement) et transmettre la nouvelle clé au premier équipement dans une nouvelle trame « MAC_TOKEN », en utilisant la première connexion sécurisée.

Comme indiqué dans la figure 2, une fois la première connexion sécurisée établie, le premier équipement peut transmettre un message au deuxième équipement en utilisant la première connexion sécurisée. Un tel message comporte au moins une adresse MAC chiffrée, associée ou apte à être associée à la première interface du premier équipement et utilisée pour communiquer avec ou via le deuxième équipement (CPE) ou un équipement intermédiaire (routeur) localisé sur un chemin de communication entre le premier équipement et le deuxième équipement.

Différents types de messages peuvent être envoyés du premier équipement 11 au deuxième équipement 12 (étape 111 de la figure 2).

Selon un premier exemple, le message correspond à au moins une trame Q.UIC qui décrit l'adresse MAC courante que le premier équipement utilise pour communiquer avec ou via le deuxième équipement, appelée par exemple ici « CURRENT_MAC_ADDRESS ». Une telle adresse MAC courante est donc d'ores et déjà affectée à la première interface utilisée pour contacter le deuxième équipement.

L'insertion de l'adresse MAC courante dans la nouvelle trame, et donc son chiffrement lié à l'utilisation de la connexion sécurisée Q.UIC, permet au deuxième équipement de comparer des informations portées dans la partie chiffrée du message (par exemple l'adresse MAC courante) avec des informations véhiculées en clair dans la connexion Q.UIC (par exemple l'adresse MAC source) et de détecter la manipulation éventuelle des informations véhiculées en clair.

L'insertion de l'adresse MAC courante dans la nouvelle trame permet aussi de communiquer l'adresse MAC courante au deuxième équipement même s'il n'est pas directement connecté au premier équipement (cas d'un équipement intermédiaire de type routeur par exemple).

La figure 4 illustre un exemple de messages échangés entre le premier équipement 11 et le deuxième équipement 12. Une fois la première connexion sécurisée établie, le premier équipement 11 et le deuxième équipement 12 peuvent échanger des messages 31, 32 pour vérifier qu'ils supportent tous les deux la procédure MUSC. Plusieurs trames « CURRENT_MAC_ADDRESS » peuvent être présentes dans un message.

Si tel est le cas, le premier équipement 11 peut envoyer un message comportant au moins une trame « CURRENT_MAC_ADDRESS » 41 sur la première connexion sécurisée, à partir de son adresse MAC courante @MAC1 affectée à la première interface du premier équipement 11 pour communiquer avec ou via le deuxième équipement 12. Selon ce mode de réalisation, ce message comporte l'adresse courante @MAC1 chiffrée.

Le deuxième équipement 12 peut notamment effectuer une étape de validation de l'adresse MAC courante @MAC1.

Par exemple, le deuxième équipement 12 peut vérifier si l'adresse MAC source @MAC1 et l'adresse MAC courante @MAC1 chiffrée sont identiques.

Le deuxième équipement 12 peut également mettre en œuvre une vérification d'absence de conflit d'utilisation de l'adresse MAC courante @MAC1. En effet, le deuxième équipement 12 est classiquement un équipement d'accès au réseau d'un opérateur par lequel transite l'ensemble du trafic caractéristique des différents services souscrits par l'utilisateur. Il dispose donc d'une connaissance des différentes adresses MAC utilisées dans le réseau. Par exemple, si aucun conflit d'utilisation n'est détecté avec l'adresse MAC courante @MAC1, le deuxième équipement 12 transmet (42) un message d'acquittement (ACK) au premier équipement 11.

Le deuxième équipement 12 peut également mettre en œuvre une vérification d'un contexte de sécurité entre le premier équipement 11 et le deuxième équipement 12. Par exemple, le deuxième équipement 12 vérifie la réception d'une trame « MAC_TOKEN » comportant une clé de sécurité pour authentifier le premier équipement 11 avant de transmettre le message d'acquittement (ACK) au premier équipement 11.

Le deuxième équipement 12 peut alors extraire l'adresse MAC courante @MAC1 du message portant au moins une trame « CURRENT_MAC_ADDRESS » 41 et mettre à jour la ou les règles de filtrage associées au premier équipement 11.

Selon un mode de réalisation particulier, le deuxième équipement 12 peut accepter ou refuser la première connexion sécurisée en fonction du ou des contextes de sécurité qu'il maintient avec le premier équipement 11, ou selon un consentement que le deuxième équipement 12 sollicite auprès d'un administrateur.

Si aucun contexte de sécurité n'est présent ou si le consentement de l'administrateur n'a pas été obtenu, la connexion sécurisée peut être refusée par le deuxième équipement 12. Une règle par défaut selon laquelle toutes les adresses MAC sont filtrées peut alors être appliquée.

Si la première connexion sécurisée est établie, le premier équipement 11 peut communiquer avec des équipements connectés au réseau local et avec des équipements connectés au réseau Internet, en application des règles de filtrage mises en place par le deuxième équipement 12.

On a décrit ci-dessus un premier exemple selon lequel le message transmis via la première connexion sécurisée correspond à une trame Q.UIC « CURRENT_MAC_ADDRESS ».

Selon un deuxième exemple, le premier équipement 11 peut générer au moins une nouvelle adresse MAC (par exemple d6:e2:d6:33:bb:61), et transmettre cette nouvelle adresse MAC (d6:e2:d6:33:bb:61) chiffrée dans un message transmis qui utilise la première connexion sécurisée. Le deuxième équipement 12 peut alors procéder à la mise à jour des règles de filtrage, comme décrit ci-dessus.

En particulier, la mise à jour des règles de filtrage peut avoir lieu avant ou après le changement de l'adresse MAC, selon un mode préventif ou correctif.

Selon un troisième exemple, le premier équipement 11 peut préparer la migration d'adresse MAC en indiquant au préalable au deuxième équipement 12 au moins une adresse MAC qu'il prévoit d'utiliser, dite adresse MAC candidate.

Selon ce troisième exemple, le message envoyé du premier équipement 11 au deuxième équipement 12, via la première connexion sécurisée (étape 111 de la figure 2), correspond à une trame Q.UIC, appelée par exemple ici « LIST_MAC_ADDRESSES », comportant au moins une adresse MAC candidate chiffrée que le premier équipement prévoit d'utiliser pour communiquer avec ou via le deuxième équipement (par exemple a5:c7:ef:82:58:e9, el:44:5c:32:3c:72, ee:3c:50:18:7e:44). A ce stade, aucune de ces adresses MAC candidates n'est associée à la première interface du premier équipement 11.

En particulier, avant d'associer une adresse MAC candidate à une interface du premier équipement 11, le premier équipement 11 peut vérifier auprès du deuxième équipement 12 que l'adresse MAC candidate est disponible. Ceci permet notamment d'éviter un conflit avec les adresses MAC utilisées par d'autres équipements connectés au même réseau et évite d'impacter le délai d'accès au service induit par un changement d'adresse MAC.

Ainsi, selon un quatrième exemple, le message envoyé par le premier équipement 11 au deuxième équipement 12, via la première connexion sécurisée (étape 111 de la figure 2), correspond à une trame Q.UIC, appelée par exemple ici « CANDIDATE_MAC_ADDRESS », comportant au moins une adresse candidate chiffrée.

Comme illustré dans la figure 5, le premier équipement 11 qui souhaite procéder au changement de son adresse MAC courante @MAC1 peut utiliser la trame « CANDIDATE_MAC_ADDRESS » 51, transmise via la première connexion sécurisée, pour demander au deuxième équipement 12 si l'adresse MAC candidate @MAC2 (par exemple @MAC2=a5:c7:ef:82:58:e9) est déjà utilisée par un équipement du réseau.

Si l'adresse MAC candidate @MAC2 est disponible, le deuxième équipement 12 peut retourner un message d'acquittement ACK 52 via la première connexion sécurisée, et l'adresse MAC candidate @MAC2 (a5:c7:ef:82:58:e9) peut être affectée à la première interface du premier équipement 11.

Si l'adresse MAC candidate @MAC2 n'est pas disponible, comme illustré dans la figure 6, le deuxième équipement 12 peut retourner un message, appelé par exemple ici « MAC_IN_USE » 61 via la première connexion sécurisée. Le premier équipement 11 peut générer une nouvelle adresse MAC candidate @MAC3 (par exemple @MAC3=3f:el:48:la:13:6c) et utiliser la trame « CANDIDATE_MAC_ADDRESS » 62, transmise via la première connexion sécurisée, pour demander au deuxième équipement 12 si l'adresse MAC candidate @MAC3 est déjà utilisée par un équipement du réseau.

Si l'adresse MAC candidate @MAC3 est disponible, le deuxième équipement 12 peut retourner un message d'acquittement ACK 63 via la première connexion sécurisée, et l'adresse MAC candidate @MAC3 (3f:el:48:la:13:6c) peut être affectée à la première interface du premier équipement 11. Dans un mode de réalisation particulier, le deuxième équipement 12 peut transmettre au premier équipement 11 une proposition d'adresse MAC à utiliser pour la première interface du premier équipement 11, par exemple dans un champ dédié de la trame « MAC_IN_USE ». Ce champ est appelé ici « SUGGESTED_MAC ». La trame peut également inclure une recommandation de durée de validité des adresses MAC utilisées dans ce réseau. Le premier équipement 11 peut accepter ou refuser la proposition d'adresse MAC en provenance du deuxième équipement 12.

Dans un mode de réalisation particulier, si aucun conflit n'a été détecté, le premier équipement 11 peut ensuite envoyer la trame « CURRENT_MAC_ADDRESS » ou la trame « LIST_MAC_ADDRESSES » selon l'utilisation ou non de l'adresse candidate.

Ainsi, dans un mode de réalisation, plusieurs messages comportant des adresses MAC chiffrées peuvent être transmis en utilisant la première connexion sécurisée.

On présente ci-après un mode de réalisation particulier permettant notamment de vérifier que l'identité du premier équipement 11 n'a pas été usurpée.

Selon ce mode de réalisation, illustré dans la figure 7, une adresse IP temporaire @ IPI est allouée au premier équipement 11. Une telle adresse IP temporaire est utilisée pour permettre la configuration des informations locales au premier équipement 11 au cours d'une étape de configuration 71 (identification de la passerelle par défaut associée à la première interface du premier équipement notamment). Une telle adresse IP temporaire peut ainsi être utilisée pour établir une communication avec le deuxième équipement 12 (i.e. la passerelle par défaut), mais pas avec les autres équipements du réseau ou d'un réseau externe.

Une première connexion sécurisée peut alors être établie via la première interface du premier équipement 11 et le deuxième équipement 12, et des messages comportant des adresses MAC chiffrées tels que les messages comportant au moins une trame « CURRENT_MAC_ADDRESS », « CANDIDATE_MAC_ADDRESS », ou « LIST_MAC_ADDRESS », peuvent être transmis du premier équipement 11 vers le deuxième équipement 12 en utilisant la première connexion sécurisée, au cours de la procédure MUSC 72.

Lorsque la configuration de ces informations est confirmée par le premier équipement 11 auprès du deuxième équipement 12 (procédure d'acquittement au sein de la communication Q.UIC, correspondant par exemples aux messages ACK 42 de la figure 4, ou ACK 52 de la figure 5, ou ACK 63 de la figure 6), alors une procédure de reconfiguration d'adresses IP 73 peut être déclenchée par le deuxième équipement 12. Une telle procédure de reconfiguration d'adresse IP 73 permet d'affecter au premier équipement 11 une adresse IP extraite d'une autre plage (@IP2 selon la figure 7), ce qui permet au premier équipement 11 d'être joignable sur le réseau.

En particulier, afin d'éviter, ou à tout le moins réduire le risque que des équipements usurpent l'adresse MAC d'autres équipements du réseau local pour obtenir des privilèges de communication (c'est-à-dire, bénéficier de leurs capacités/autorisations de communication) notamment, le deuxième équipement 12 peut générer un message Q.UIC PATH_CHALLENGE 74 vers l'adresse IP source d'un paquet reçu (@IP2), sur réception d'un paquet IP avec une adresse source (@IP2) différente de celle connue du deuxième équipement 12 (@IP1) pour l'adresse MAC associée (@MAC1). Le premier équipement 11 doit renvoyer une réponse valide PATH_RESPONSE 75 vers le deuxième équipement 12, ce qui permet au deuxième équipement 12 de valider la nouvelle adresse IP (@IP2) et d'accorder les privilèges d'accès associés à ladite adresse MAC (@MAC1) utilisée par le premier équipement 11 qui a utilisé la nouvelle adresse IP (@IP2) pour communiquer (avec le deuxième équipement 12 ou via le deuxième équipement 12).

Une autre variante d'implémentation repose sur l'établissement d'une première connexion sécurisée utilisant le protocole PCP, tel que décrit dans le document RFC 7652 de septembre 2015. Un nouveau message comportant au moins une adresse MAC chiffrée, appelé par exemple message MAC_FILTER, est transmis du premier équipement vers le deuxième équipement. L'adresse MAC chiffrée correspond par exemple à une nouvelle adresse MAC associée ou apte à être associée à une première interface du premier équipement et utilisée pour communiquer avec ou via le deuxième équipement ou un équipement intermédiaire localisé sur un chemin de communication entre le premier équipement et le deuxième équipement.

La présence du message MAC_FILTER indique que la nouvelle adresse MAC peut être utilisée pour instancier une entrée d'une requête MAP ou PEER. Sur réception d'un message MAC_FILTER transmis en utilisant le protocole PCP, le deuxième équipement 12 calcule le condensé du certificat présenté par le premier équipement 11 en utilisant le même algorithme (par exemple un algorithme de type SHA2-256). Si le condensé ainsi obtenu correspond à un condensé de confiance maintenu par le deuxième équipement 12, ce dernier procède à la création ou la mise à jour d'une règle de filtrage d'adresses MAC avec la nouvelle adresse MAC.

En résumé, grâce à la procédure MUSC, un premier équipement peut procéder au renouvellement de son adresse MAC sans pour autant impacter les services (par exemple, contrôle parental) et les règles de filtrage mises en place au sein d'un réseau. En particulier, la coordination du premier équipement avec le deuxième équipement pour mettre à jour une règle de filtrage à l'aide d'une connexion sécurisée est avantageuse car elle permet de détecter les usurpations d'adresses MAC. On note que la procédure décrite ci-dessus peut être mise en œuvre pour une ou plusieurs interfaces du premier équipement, et pour un ou plusieurs équipements du réseau. Différents deuxièmes équipements (passerelles, routeurs, etc.) peuvent notamment être contactés via les différentes interfaces d'un même premier équipement (par exemple une interface WLAN, une interface Ethernet, etc.).

En particulier, si l'on considère plusieurs deuxièmes équipements contactés via différentes interfaces, des identifiants de sécurité par deuxième équipement peuvent être exploités pour conditionner l'établissement de la connexion sécurisée (c'est-à-dire que ces identifiants sont utilisés pour confirmer que le premier équipement contacte bien, via son interface de communication, le deuxième équipement habilité à établir une connexion sécurisée avec le premier équipement au travers de cette interface).

5.3 Dispositifs correspondants

On présente finalement, en relation avec la figure 8, les structures simplifiées d'un premier équipement El et d'un deuxième équipement E2 selon au moins un mode de réalisation de l'invention.

Un premier équipement El (respectivement un deuxième équipement E2), selon un mode de réalisation de l'invention, comprend une mémoire 81 _E I (respectivement 81 _E 2), une unité de traitement 82 _E I (respectivement 82 _E2 ), équipée par exemple d'une machine de calcul programmable ou d'une machine de calcul dédiée, par exemple un processeur P, et pilotée par le programme d'ordinateur 83 _E I (respectivement 83 _E2 ), mettant en œuvre des étapes du procédé de communication selon au moins un mode de réalisation de l'invention.

A l'initialisation, les instructions de code du programme d'ordinateur 83 _E I (respectivement 83 _E2 ) sont par exemple chargées dans une mémoire RAM avant d'être exécutées par le processeur de l'unité de traitement 82 _E I (respectivement 82 _E2 ).

Le processeur de l'unité de traitement 82 _E I du premier équipement met en œuvre des étapes du procédé de communication décrit précédemment, selon les instructions du programme d'ordinateur 83 _E I, pour : établir une première connexion sécurisée avec le deuxième équipement E2, via une première interface de communication du premier équipement, transmettre, en utilisant la première connexion sécurisée, un message comportant au moins une adresse MAC chiffrée, associée ou apte à être associée à la première interface et utilisée pour communiquer avec ou via le deuxième équipement ou un équipement intermédiaire localisé sur un chemin de communication entre ledit premier équipement et ledit deuxième équipement. Le processeur de l'unité de traitement 82 _E 2 du deuxième équipement met en œuvre des étapes du procédé de communication décrit précédemment, selon les instructions du programme d'ordinateur 83 _E 2, pour : établir une première connexion sécurisée avec le premier équipement El, via une première interface de communication du premier équipement, recevoir, en utilisant la première connexion sécurisée, un message comportant au moins une adresse MAC chiffrée, associée ou apte à être associée à ladite première interface et utilisée pour communiquer avec ou via ledit deuxième équipement ou un équipement intermédiaire localisé sur un chemin de communication entre ledit premier équipement et ledit deuxième équipement, valider ladite au moins une adresse MAC.