COMMUNAUTE

Domaine de 1 ' invention

La présente invention concerne le domaine des objets connectés et à la personnalisation de tels objets pour permettre une exploitation par un utilisateur ou une communauté d'utilisateurs limitée, de manière sécurisée.

En particulier, la présente invention concerne le domaine des traceurs permettant de localiser un objet ou un animal à partir d'un équipement connecté.

Etat de la technique

On connaît dans l'état de la technique la demande de brevet américain US 20140220894 décrivant un procédé d ' appariement entre des appareils Bluetooth. Dans une forme de réalisation, 1 ' appariement concerne un serveur Bluetooth et deux clients Bluetooth. Le procédé permet au premier client Bluetooth d'échanger ses informations d ' appariement avec le serveur Bluetooth et avec le second client Bluetooth. Par conséquent, le serveur Bluetooth peut utiliser les informations d ' appariement interchangées pour se connecter rapidement avec le second client Bluetooth.

La demande de brevet internationale WO 2015102890 décrit une méthode d ' appariement d'un appareil via un serveur cloud. Ce procédé comprend l'envoi d'un signal initial à partir d'un premier dispositif à un second dispositif. Le procédé comprend l'envoi d'une notification à partir du premier dispositif d'un ensemble de capacités de communication du premier dispositif. Le procédé comprend également la réception d'une indication d'une capacité de communication commune entre les premier et second dispositifs. Le procédé comprend de créer une association du premier dispositif et le second dispositif en utilisant la capacité de communication commune en réponse à l'indication reçue. Les systèmes et supports lisibles par machine sont également fournis.

La demande de brevet européen EP 1511235 décrit une solution permettant l'utilisation d'un dispositif portable personnel sur un réseau comprenant des terminaux de communication sans fil. Le procédé prévoit l'attribution d'une adresse unique à un profil personnalisé. Cette adresse unique sera utilisée pour une procédure d ' appariement entre un terminal du réseau et un dispositif portable personnel. Après un couplage réussi, une telle initialisation sera affectée audit profil personnalisé. Ce dernier sera utilisé pour la communication sans fil future entre ledit dispositif portable personnel et un terminal.

Inconvénients de l'art antérieur

Les solutions de l'art antérieur ne sont pas satisfaisantes car 1 ' appariement nécessite l'échange d'une clé qui ne peut être utilisée qu'avec un seul équipement. Cette clé ne peut pas être utilisée par plusieurs utilisateurs ni par plusieurs équipements.

Par ailleurs, elles ne permettent pas de transférer l'information d'appairage d'un utilisateur à un autre, ni d'un équipement à un autre.

Les solutions de l'art antérieur conduisent à des pertes d' appariement en cas de défaillance de l'équipement de l'utilisateur, et ne permettent pas de restaurer 1 ' appariement .

Solution apportée par l'invention

La présente invention concerne selon son acception la plus générale un procédé d' appariement entre un périphérique connecté et une communauté constituée d'au moins un utilisateur U _± disposant d'au moins un équipement connecté ^EC j± ( ^u i) comportant :

a) une première étape de configuration dudit périphérique connecté, consistant à enregistrer dans une mémoire à inscription unique au moins un premier identifiant unique IUP _i et à enregistrer ledit identifiant unique dans une base de données d'un serveur

b) une deuxième étape d'appropriation par un utilisateur U _± dudit périphérique, consistant à procéder à un appariement avec un équipement connecté d'un utilisateur et à transmettre au moins une information d ' appariement ainsi qu'un identifiant unique de l'utilisateur IU audit serveur, et à rapprocher lesdites informations d' appariement avec l'identifiant unique de l'équipement connecté préalablement enregistrée sur ledit serveur.

L'invention concerne plus particulièrement un procédé d' appariement entre un périphérique connecté et une communauté constituée d'au moins un utilisateur U _± disposant d'au moins un équipement connecté ECj _L (U _L ) comportant :

a) une première étape de configuration dudit périphérique, consistant à enregistrer dans une mémoire à inscription unique :

- un premier identifiant unique IUP _i

- un second identifiant unique IUP ₂

- une clé privée PK _reco

et à enregistrer dans une base de données d'un serveur lesdits premier IUPi et second IUP ₂ identifiants et ladite clé privée PK _reco

b) une deuxième étape d'appropriation par un utilisateur U _± dudit périphérique, consistant

- à activer l'émetteur dudit périphérique s'il est dans un état inactif, et à commander le calcul par le microprocesseur dudit périphérique d'une clé d'authenticité CAP par une fonction cryptographique FC à partir dudit second identifiant unique IUP ₂ et de ladite clé privée PK _reco , et à transmettre cette clé d'authenticité CAP dans le signal émis par le périphérique

à commander l'exécution d'une application installée sur un équipement connecté E j _L (U _L ) par la saisie d'un identifiant de l'utilisateur (U _± ) [son adresse mail],

- à commander la recherche d'un signal émis par un périphérique, ledit signal contenant l'information numérique correspondant à ladite clé d'authenticité CAP ainsi que ledit premier identifiant unique IUP _i et un indicateur sur l'état du périphérique non encore approprié et établir une communication entre ledit périphérique, et un équipement connecté E j _L (U _L ) comportant la lecture par ledit équipement connecté ECj _L (U _L ) de l'identifiant unique transmise par ledit signal, et à procéder aux échanges suivants :

- génération par ledit périphérique d'une clé privée aléatoire PK _auth [clé de 128 bits] et enregistrement dans une mémoire volatile dudit périphérique

- lecture par ledit équipement connecté E j _L (U _L ) de ladite clé privée aléatoire PK _auth

- enregistrement dans une mémoire non volatile dudit équipement connecté ECj _L (U _L ) d'un couple C _aut formé par ledit premier identifiant unique IUP _i et ladite clé privée aléatoire PK _auth

commander l'émission par ledit équipement connecté E j _L (U _L ) d'un signal contenant ladite clé privée aléatoire _auth

- commander la comparaison, par un microcontrôleur dudit périphérique, de ladite clé privée aléatoire PK _auth transmise par l'équipement connecté E j _L (U _L ) avec ladite clé privée aléatoire PK _auth enregistrée dans la mémoire volatile dudit périphérique

si la vérification est négative, commander l'interruption de l'émission par le périphérique

et si la vérification est positive, enregistrement de ladite clé privée aléatoire PK _auth enregistrée dans une mémoire non volatile du périphérique et émission par le périphérique d'un signal d'acquittement

- la transmission à un serveur par l'équipement connecté E j _L (U _L ) une information numérique comprenant ledit premier identifiant unique IUP^ ladite clé privée aléatoire ^PK au h ladite clé d'authenticité CAP et ledit identifiant de l'utilisateur (U _± ) ,

l'exécution sur le serveur d'un traitement consistant à lire dans la base de données de la clé PK _reco et du second identifiant unique IUP ₂ associés audit premier identifiant unique IUP _i et l'exécution de ladite fonction cryptographique FC appliquée à la clé PK _reco et du second identifiant unique IUP ₂ , et la comparaison de ce traitement avec la clé d'authenticité CAP transmise

- en cas de vérification positive, l'enregistrement dans ladite base de données de l'identifiant de l'utilisateur (U _± ) en association avec ledit premier identifiant unique IUP _i

- en cas de vérification négative, l'abandon de la procédure .

Avantageusement, le procédé comporte une étape de modification de l'indicateur d'état du périphérique pour passer d'un état « non encore approprié » à un état « approprié » .

De préférence, le procédé comporte les étapes suivantes :

a) activation par l'utilisateur d'une application installée sur l'équipement connecté par la saisie de son identifiant IU, ladite application commandant l'ouverture d'une session de communication avec le serveur, et l'interrogation de la base de données pour lire la liste des périphériques appariés avec ledit identifiant UI, et enregistrer dans une mémoire non volatile dudit équipement des clés PK _auth et des premiers identifiants uniques ΙΌΡ ₁ de chacun desdits périphériques associés b) commander une étape de recherche par l'équipement connecté de signaux émis par au moins un périphérique comportant l'un desdits premiers identifiants IUP _i préalablement enregistrés dans la mémoire de l'équipement lors de l'étape a)

c) en cas de détection dudit signal d'un tel périphérique, établir une communication entre ledit périphérique, et un équipement connecté ECj _L (U _L ) et à procéder aux échanges suivants :

- Cl) génération par ledit périphérique d'un jeton aléatoire T0K _aut [clé de 128 bits] et enregistrement dans une mémoire volatile dudit périphérique

- C2 ) lecture par ledit équipement connecté E j _L (UJ dudit jeton T0K _aut

- C3 ) lecture dans la mémoire non volatile dudit équipement connecté ECji (Ό _± ) la clé PK _auth associée audit périphérique et à l'utiliser pour calculer un challenge numérique CN _aut [cipher] par application de ladite fonction cryptographique FC à partir des variables PK _auth et T0K _aut

- C4 ) commander l'émission par ledit équipement connecté ECji (U _± ) d'un signal contenant ledit challenge numérique CN _aut

C5 ) commander la comparaison, par un microcontrôleur dudit périphérique, dudit challenge numérique CN _aut transmis par l'équipement connecté ECji (Ό _± ) avec le résultat d'un traitement par ladite fonction cryptographique FC à partir des variables PK _auth enregistrée dans la mémoire du périphérique lors de la procédure d ' appariement et T0K _aut enregistrée dans la mémoire volatile lors de l'étape de génération Cl

si la vérification est négative, commander l'interruption de l'émission par le périphérique

- et si la vérification est positive, activation des fonctionnalités du périphérique et envoie d'un signal d'acquittement. L'invention concerne également un procédé de suppression de l'appropriation d'un équipement connecté d'un utilisateur et un périphérique apparié selon le procédé susvisé caractérisé en ce qu'il comporte les étapes suivantes :

a) commande par le serveur de l'ouverture d'une session de communication avec l'équipement connecté d'un utilisateur et transmission de l'identifiant unique IUPi d'un périphérique à réinitialiser

b) commande d'une étape de recherche par l'équipement connecté de signaux émis par au moins un périphérique comportant ledit premier identifiant IUPi préalablement transmis par le serveur lors de l'étape a)

c) en cas de détection dudit signal d'un tel périphérique, établir une communication entre ledit périphérique, et un équipement connecté ECj _L (U _L ) et à procéder aux échanges suivants :

- Cl) génération par ledit périphérique d'un jeton aléatoire T0K _reco [clé de 128 bits] et enregistrement dans une mémoire volatile dudit périphérique

- C2 ) lecture par ledit équipement connecté E j _L (U _± ) dudit jeton T0K _reco

- C3 ) transmission par l'équipement connecté au serveur du jeton T0K _reco , de l'identifiant unique UlPi et de ladite clé d'authenticité CAP

l'exécution sur le serveur d'un traitement consistant à lire dans la base de données de la clé PK _reco et du second identifiant unique IUP ₂ associés audit premier identifiant unique IUPi et l'exécution de ladite fonction cryptographique FC appliquée à la clé PK _reco et du second identifiant unique IUP ₂ , et la comparaison de ce traitement avec la clé d'authenticité CAP transmise

- en cas de vérification négative, l'abandon de la procédure - en cas de vérification positive, utiliser ladite clé PK _reco pour calculer un challenge numérique CN _reco [cipher] par application de ladite fonction cryptographique FC à partir des variables PK _reco et T0K _reco reçu lors de l'étape précédente et la transmission du challenge numérique CN _reco ainsi calculé à l'équipement connecté

commander l'émission par ledit équipement connecté ECji (U _± ) d'un signal contenant ledit challenge numérique CN _reco

- commander la comparaison, par un microcontrôleur dudit périphérique, dudit challenge numérique CN _reco transmis par l'équipement connecté ECji (U _± ) avec le résultat d'un traitement par ladite fonction cryptographique FC à partir des variables PK _reco enregistrée dans la mémoire à inscription unique du périphérique et le jeton T0K _reco enregistrée dans la mémoire volatile lors de l'étape de génération Cl

si la vérification est négative, commander l'interruption de l'émission par le périphérique

si la vérification est positive commande de l'effacement de la clé privée PK _auth enregistrée dans la mémoire non volatile du périphérique et modification de l'indicateur d'état en « non approprié », et envoi d'un signal d'acquittement à l'équipement connecté

- envoi par l'équipement connecté d'une instruction de suppression dans la base de donnée du serveur des informations relatives à l'appropriation du périphérique considéré .

L'invention concerne aussi un procédé de partage de l'appropriation d'un équipement connecté d'un utilisateur et un périphérique apparié selon le procédé d ' appariement susvisé caractérisé en ce qu'il comporte les étapes suivantes :

l'envoi au serveur par l'équipement d'un utilisateur d'une instruction de partage de la clé d ' authentification PK _auth ainsi que l'identifiant unique IUPi du périphérique à partager avec un utilisateur U _z - l'envoi par le serveur à au moins un équipement connecté de l'utilisateur U _z de la clé d'authentification PK _auth ainsi que l'identifiant unique IUPi

- l'engagement par l'équipement de l'utilisateur U _z d'un procédé d'établissement d'une communication entre équipement connecté précité.

L'invention concerne encore un procédé de suppression du partage de l'appropriation d'un équipement connecté d'un utilisateur et un périphérique apparié selon le procédé précité, comportant les étapes suivantes :

l'envoi au serveur par l'équipement d'un utilisateur d'une instruction de suppression de la clé d ' authentification PK _auth ainsi que l'identifiant unique IUPi du périphérique partagé précédemment avec un utilisateur U _z

L'invention concerne aussi le transfert de l'appropriation d'un équipement connecté d'un utilisateur et un périphérique apparié selon le procédé d ' appariement susvisé caractérisé en ce qu'il comporte le remplacement dans la base de données du serveur de l'identifiant de l'utilisateur U\ dans l'information d ' appariement par l'identifiant de l'utilisateur U _z

L'invention concerne également un périphérique connecté pour la mise en œuvre d'un procédé précité caractérisé en ce qu'il comporte :

- une mémoire à inscription unique pour l'enregistrement d'au moins un identifiant unique

- une mémoire volatile pour l'enregistrement des jetons et des clés privées provisoires,

- une mémoire non volatile pour l'enregistrement d'au moins un clé privée

- un processeur pour la réalisation de calculs

- un module de communication sans fil.

L'invention concerne également un serveur pour la mise en œuvre d'un procédé précité caractérisé en ce qu'il comporte une base de données contenant les enregistrements des identifiants uniques des utilisateurs IU, les identifiants uniques des équipements connectés et les identifiants uniques des périphériques et les clés privés PK _auth et PK _reco . Description détaillée d'un exemple non limitatif de

réalisation

La présentation invention sera mieux comprise à la lecture de la description qui suit se référant aux dessins annexés où :

- la figure 1 représente une vue schématique de l'architecture matérielle du système

- la figure 2 représente une vue schématique de l'architecture matérielle d'un périphérique connecté

- la figure 3 représente une vue schématique de l'architecture fonctionnelle du système pour la procédure d ' appariement

- la figure 4 représente une vue schématique de l'architecture fonctionnelle du système pour la procédure d'appropriation

- la figure 5 représente une vue schématique de l'architecture fonctionnelle du système pour la procédure de restauration . Description de l'architecture matérielle

Le système comprend des périphériques ( 1 ) , des équipements connectés (2) et un serveur (3).

Le périphérique (1) dans l'exemple non limitatif décrit comprend des moyens de communication Bluetooth ainsi qu'un circuit électronique décrit plus en détail dans ce qui suit .

L'équipement connecté (2) est par exemple un téléphone cellulaire ou une tablette comportant un moyen de communication bluetooth ainsi que des moyens de communication Internet pour établir une session sécurisée avec un serveur (3).

Le serveur (3) exploite une base de données pour l'enregistrement et la lecture de données qui seront présentés dans la suite.

Description de l'architecture matérielle du périphérique

Pour une application de localiseur, le périphérique comprend un processeur (10), un module Bluetooth (11) ainsi que trois types de mémoires :

- une mémoire (20) à inscription unique

- une mémoire (21) volatile

- une mémoire (22) non volatile.

La mémoire (20) à inscription unique contient l'enregistrement d'un ou plusieurs identifiants uniques inscrit au moment de la fabrication du périphérique.

Le périphérique (1) comprend aussi un générateur sonore (23) de type buzzer ainsi qu'une alimentation électrique (24) et un contacteur (25).

Le processeur (10) comporte une mémoire interne dans laquelle est enregistré le code exécutable de la fonction cryptographique, ainsi de la fonction de génération des clés et jetons et la fonction de vérification des clés et jetons.

Description de l'architecture fonctionnelle de la procédure

d ' appropriation

Lors de la fabrication du périphérique ( 1 ) , la mémoire à inscription unique (20) est chargée avec trois données numériques correspondant à :

- un premier identifiant unique IUPi qui est généré par le fabricant du périphérique. Cet identifiant unique est ensuite utilisé pour calculer l'adresse Mac (Media Access Controll), correspondant à adresse physique un second identifiant unique IUP ₂ appelé MSN (Manufacturing sériai number) généré par le fabricant.

- une clé privée de chiffrement PK _reco par exemple une clé 128 bits.

Le fabricant enregistre également au moment de la fabrication du périphérique ces trois données numériques dans une base de données (4) d'un serveur (3).

Cette base ( 4 ) comporte donc pour chaque périphérique un triplet de données formés par son premier identifiant unique IUPi et son second identifiant unique IUP ₂ et la clé privée secrète PK _reco qui a été générée aléatoirement par le fabricant, pour le périphérique considéré.

Le serveur construit également une table d'indexation de l'ensemble des triplets, en fonction notamment du premier identifiant unique IUPi

Lors de la première utilisation du périphérique (1), un utilisateur qui a acquis le périphérique commence à activer le périphérique (1) à l'aide du contacteur (24) qui commande l'alimentation du processeur (10).

L'utilisateur active également un équipement connecté (2) sur lequel il a préalablement installé une application de gestion du périphérique.

Cette activation comprend une étape d'identification et la saisie d'un mot de passe.

Lors de la première utilisation de cette application, l'utilisateur enregistre son adresse de messagerie ainsi qu'un mot de passe choisi par lui pour assurer la sécurité de l'utilisation de l'application et lier l'exécution de cette application à un utilisateur unique possédant à la fois l'identifiant utilisateur UI et le mot de passe secret. Procédure d'appropriation U _i d'un périphérique (1) par un utilisateur

Pour pouvoir utiliser un périphérique (1) « orphelin », l'invention prévoit une étape d'appropriation par un utilisateur U _± dudit périphérique (1). Un périphérique (1) est dans un état « orphelin » lorsqu'il n'a pas encore été affecté à un utilisateur. Dans ce cas, un indicateur, par exemple un drapeau numérique, est placé dans un état spécifique, dans la mémoire non volatile (22).

Cette étape consiste à activer l'émetteur (11) du périphérique (1) s'il est dans un état inactif.

Le périphérique ( 1 ) peut comporter un interrupteur commandant l'alimentation ou la déconnexion de l'alimentation physiquement. Il peut aussi comporter un circuit de veille, réveillant périodiquement le processeur et le module Bluetooth et le désactivant au bout d'un intervalle de temps prédéterminé en l'absence de réception.

L'activation du périphérique (1) par l'utilisateur déclenche le calcul par le microprocesseur (10) du périphérique d'une clé d'authenticité CAP. Cette clé est calculée par une fonction cryptographique FC dont le code informatique est enregistré dans la mémoire interne du processeur (10).

Le périphérique (1) passe alors e mode d'émission, où le module (11) émet un signal transportant :

- une information correspondant au statut « orphelin » ou « approprié »

- l'identifiant unique UPi

- la clé d'authenticité CAP.

Lorsque ce statut est « orphelin », l'application de l'équipement (2) procède à une recherche (100) du signal correspondant à un périphérique orphelin. Lorsqu'elle détecte dans le signal reçu un tel état, elle commande la connexion (101) avec le périphérique orphelin détecté.

Le périphérique (1) génère alors une clé PK _auth et l'enregistre dans sa mémoire volatile (21) dans une opération (102) et transmet (103) un signal d'acquittement de la connexion .

L'application de l'équipement (2) commande alors la lecture (104) de cette clé PK _auth qui vient d'être générée aléatoirement. Cette clé est transmise (105) à l'application et enregistré dans une mémoire locale (106) de l'équipement (2), conjointement avec le premier identifiant unique du périphérique. Elle envoie un message (107) contenant la clé ^PK au h pour confirmer la bonne réception et l'enregistrement local.

Le microprocesseur (10) commande alors un traitement de vérification (108) par la la comparaison, de la clé privée aléatoire PK _auth transmise par l'équipement connecté ^EC j _± ( ^u i ) avec la clé privée aléatoire PK _auth enregistrée dans la mémoire volatile (21) du périphérique (1).

Si la vérification est positive (109), le processeur (10) commande l'enregistrement de la clé privée aléatoire P _auth dans la mémoire non volatile (22) du périphérique ainsi que la modification du drapeau de « orphelin » à « approprié » .

Il commande ensuite (110) l'émission par le d'un signal d'acquittement.

L'application de l'équipement (2) commande ensuite (111) la transmission au serveur (3) des informations numériques comprenant le premier identifiant unique IWP _{l f} la clé privée aléatoire PK _au , la clé d'authenticité CAP et l'identifiant de l'utilisateur ( U _i ) .

Le serveur (3) déclenche alors un traitement (112) consistant à lire dans la base de données (4) à partir du premier identifiant unique les informations associées correspondant à la clé PK _reco et au second identifiant unique IUP ₂ associés au premier identifiant unique IUPi . Ces informations sont renvoyés (113) au serveur (3) qui commande alors l'exécution (114) de la fonction cryptographique FC appliquée à la clé PK _reco et du second identifiant unique IUP ₂ , et la comparaison (115) de ce traitement avec la clé d'authenticité CAP transmise.

En cas de vérification positive, le serveur commande (116) l'enregistrement dans ladite base de données de l'identifiant de l'utilisateur (U _± ) en association avec ledit premier identifiant unique IUPi et la clé PK _aut

La base de données (4) renvoie (117) au serveur (3) un message d'acquittement. Le serveur (3) envoie ensuite un message d'acquittement (118) à l'équipement (2) de l'utilisateur confirmant le bon enregistrement des données.

En cas de vérification (115) négative, le serveur commande l'abandon de la procédure.

Si la vérification (108) initiale par le périphérique (1) est négative, le périphérique (1) commande l'interruption de l'émission et vide la mémoire volatile (21).

Procédure d'établissement d'une communication (2) A partir du moment où l'état du périphérique (1) est « approprié » et non pas « orphelin » , il reste activé en permanence et émet périodiquement un signal transportant :

- une information correspondant au statut « approprié »

- l'identifiant unique UPi

- la clé d'authenticité CAP.

Lorsque ce statut est « approprié », l'application de l'équipement (2) procède à une recherche (200) du signal correspondant à un périphérique approprié, dont l'identifiant unique U!-Ί appartient à la liste des identifiants uniques enregistrés localement sur l'équipement (2) de l'utilisateur. Cette vérification est commandée par l'application de l'équipement (2).

Lorsque la vérification valide le fait que le périphérique en émission est approprié par l'utilisateur, l'équipement (2) initie une connexion (201) et le périphérique (1) génère (202) un jeton aléatoire TOK _aut enregistré dans la mémoire volatile (21) et envoie un message d'acquittement (203) à l'équipement (2).

L'application commande alors la lecture (204) du jeton aléatoire TOK _aut . Le périphérique transmet alors (205) le jeton aléatoire T0K _aut et l'application procède à un traitement (206) de cryptage de la clé PK _auth enregistrée localement sur l'équipement (2) avec ce jeton aléatoire T0K _aut par une fonction cryptographique FC.

Le résultat de ce traitement est envoyé (207) au périphérique (1) et ce dernier procède (208) au même traitement cryptographique appliqué :

- au jeton aléatoire T0K _aut enregistré dans sa mémoire volatile (21)

- à la clé PK _auth enregistrée dans sa mémoire non volatile ( 22 ) .

Le processeur (10) du périphérique (1) commande alors une comparaison (209) entre le résultat du traitement cryptographique (208) et le résultat du traitement cryptographique réalisé par le périphérique et transmis lors de la transmission (207).

Si les deux résultats sont identiques, le périphérique maintient (211) la communication et active (210) ses services. Sinon, il coupe la communication. Procédure de restauration par un utilisateur

Cette procédure est initiée par le serveur (3) qui transmet (300) à l'équipement (2) un message contenant l'identifiant unique du périphérique (1).

L'application de l'équipement (2) commande (301) la recherche de signal pour identifier le périphérique (1) et lire les informations transmises par les périphériques se trouvant dans la zone de réception. Lorsque la lecture du signal transmis comporte l'identifiant unique recherché, l'application commande la connexion (302) avec ce périphérique

(1) qui doit être dans l'état «approprié » avec un équipement

(2) quelconque.

Le périphérique (1) génère alors (303) un jeton aléatoire TOK _reco [clé de 128 bits] et l'enregistre dans sa mémoire volatile (21). Il envoie un message d'acquittement (304). L'équipement connecté (2) procède à la lecture (305) de ce jeton TOK _reco et reçoit (306) le jeton numérique. L'application commande alors (307) au serveur (3) ce jeton T0K _reco , l'identifiant unique UIP _S et la clé d'authenticité CAP.

Le serveur (3) appelle (308) les informations correspondant enregistrées dans la base de données (4), qui renvoie (309) les informations associés comprenant la clé PK _reco et le second identifiant unique IUP ₂ associés audit premier identifiant unique IUPi

Le serveur (3) commande (310) l'exécution de la fonction cryptographique FC appliquée à la clé PK _reco et au second identifiant unique IUP ₂ , et la comparaison de ce traitement avec la clé d'authenticité CAP transmise.

En cas de vérification négative, le serveur (3) commande l'abandon de la procédure.

En cas de vérification positive (311), le serveur

(3) utilise la clé PK _reco pour calculer un challenge numérique CN _reco [cipher] par application de la fonction cryptographique FC à partir des variables PK _reco et T0K _reco reçues lors de l'étape précédente. Il transmet (312) le challenge numérique CN _reco ainsi calculé à l'équipement connecté (2).

L'équipement (2) commande (313) l'émission d'un signal contenant ledit challenge numérique CN _reco au périphérique ( 1 ) .

Le processeur (10) du périphérique procède à la comparaison (314) du challenge numérique CN _reco transmis par l'équipement connecté (2) avec le résultat d'un traitement par ladite fonction cryptographique FC à partir des variables PK _reco enregistrée dans la mémoire à inscription unique (20) du périphérique et le jeton T0K _reco enregistrée dans la mémoire volatile (21) lors de l'étape de génération.

Si la vérification est négative, le processeur (10) commande l'interruption de l'émission par le périphérique.

Si la vérification est positive, le processeur (10) commande (315) l'effacement de la clé privée PK _auth enregistrée dans la mémoire non volatile (22) du périphérique et la modification de l'indicateur d'état en « non approprié ». Il envoie (316) ensuite un signal d'acquittement à l'équipement connecté ( 2 ) .

L'équipement connecté (2) envoie (317) ensuite au serveur une instruction de suppression dans la base de donnée (4) du serveur (3) des informations relatives à l'appropriation du périphérique (1) considéré. Le serveur (3) procède alors à la suppression (318) de ces données sur la base de données (4) et envoie un acquittement (319) de la base de données (4) vers le serveur (3), et le serveur (3) envoie un acquittement (320) de la base de données (4) vers le l'équipement connecté (2).