(19)
(11) EP 2 402 913 A1

(12) DEMANDE DE BREVET EUROPEEN

(43) Date de publication:
04.01.2012  Bulletin  2012/01

(21) Numéro de dépôt: 11171844.1

(22) Date de dépôt:  29.06.2011
(51) Int. Cl.: 
G07C 5/08(2006.01)
 G07C 5/00(2006.01)
(84) Etats contractants désignés:
AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR
Etats d'extension désignés:
BA ME

(30) Priorité: 30.06.2010 FR 1002736

(71) Demandeur: FRANCE TELECOM
75015 Paris (FR)

(72) Inventeurs:
  • Bodin, Pascal
    06130 Grasse (FR)
  • Chambon, Jacques
    06130 Grasse (FR)

(74) Mandataire: Pecher, Gilles 
Cabinet Beau de Loménie 158, rue de l'Université
75340 Paris Cedex 07
75340 Paris Cedex 07 (FR)

   


(54) Communication de la mise en fonction d'un équipement embarqué dans un véhicule


(57) Procédé de communication avec un dispositif de vérification (5) de la mise en fonction d'un équipement (2) embarqué dans un véhicule (1), ledit procédé étant effectué par ledit équipement (2) embarqué et étant caractérisé en ce qu'il comprend :
- une étape d'obtention de données générées par un chronotachygraphe électronique (3) embarqué dans ledit véhicule (1) et datées avec une date courante à laquelle lesdites données ont été obtenues du chronotachygraphe électronique, lesdites données obtenues étant signées avec une signature du chronotachygraphe,
- une étape de transmission des données obtenues vers un dispositif de vérification (5) comprenant des moyens pour vérifier l'intégrité desdites données à partir de ladite signature et pour générer une information représentative de l'existence ou de l'abscence d'une preuve de la mise en fonction dudit équipement à ladite date courante.




Description

Arrière-plan de l'invention



[0001] L'invention se rapporte au domaine général des véhicules équipés d'un chronotachygraphe électronique et d'un équipement embarqué pour la gestion de flottes de véhicules. En particulier, la présente invention concerne la vérification de la mise en fonction d'un équipement embarqué dans un véhicule.

[0002] Les applications de gestion de flottes de véhicules sont maintenant courantes. Les services offerts sont notamment le positionnement du véhicule, la remontée des positions vers un site central, l'envoi de missions à un véhicule depuis le site central, etc. Ce type d'application utilise un équipement embarqué dans le véhicule qui contient un dispositif de positionnement par satellite et qui peut communiquer avec le site central.

[0003] Il arrive que certaines fonctions des applications de gestion de flottes de véhicules ne soient pas perçues de façon positive par les conducteurs des véhicules concernés. On peut par exemple penser aux fonctions ayant pour but de vérifier les parcours effectués, ou le type d'utilisation du véhicule. Dans ces cas, certains conducteurs peuvent être tentés de mettre en place des mécanismes de fraude. L'un de ces mécanismes consiste simplement à éviter que l'équipement embarqué n'entre en fonction, par exemple en l'arrêtant volontairement, ou en sabotant l'alimentation électrique de l'équipement.

[0004] Pour certaines applications, certaines fraudes peuvent être réalisées de façon suffisamment discrète pour qu'il soit difficile de les détecter. Par exemple, pour une application basée sur le parcours effectué, une fraude peut consister à manipuler les données relatives au parcours.

[0005] C'est par exemple le cas de l'éco-taxe poids-lourds, qui va obliger chaque camion de plus de 3,5 tonnes roulant en France à être équipé d'un équipement embarqué qui aura pour but de fournir les données nécessaires au calcul d'une taxe proportionnelle à l'utilisation des routes françaises. Dans cet exemple, afin d'empêcher la fraude, la solution actuelle envisagée est l'installation de systèmes fixes de vérification, répartis sur les routes soumises à la taxe. Ces systèmes sont souvent de type portique, supportant des équipements électroniques, permettant par exemple la mise en place d'un dialogue avec les poids-lourds passant à proximité, afin de relever, entre autre, t'identité du poids-lourds, Ces équipements sont chers, complexes, et imposants. Ils nécessitent le raccordement au réseau électrique.

Objet et résumé de l'invention



[0006] L'invention vise à faciliter la lutte contre la fraude relative à un équipement embarqué sur un véhicule. En particulier, l'invention vise à fournir un procédé de communication permettant la vérification de la mise en fonction d'un équipement, qui ne présente pas au moins certains des inconvénients de l'art antérieur.

[0007] A cet effet, l'invention concerne un procédé de communication avec un dispositif de vérification de la mise en fonction d'un équipement embarqué dans un véhicule, ledit procédé étant effectué par ledit équipement embarqué et étant caractérisé en ce qu'il comprend :
  • une étape d'obtention de données générées par un chronotachygraphe électronique embarqué dans ledit véhicule et datées avec une date courante à laquelle lesdites données ont été obtenues du chronotachygraphe électronique, lesdites données obtenues étant signées avec une signature du chronotachygraphe,
  • une étape de transmission des données obtenues vers le dispositif de vérification comprenant des moyens pour vérifier l'intégrité desdites données à partir de ladite signature et pour générer une information représentative de l'existence ou de l'absence d'une preuve de la mise en fonction dudit équipement à ladite date courante.


[0008] Comme les données sont signées, il est possible d'authentifier leur origine (la signature étant propre au chronotachygraphe, elles proviennent bien du chronotachygraphe concerné) et de leur intégrité (elles n'ont pas été modifiées par rapport à ce qu'elles étaient lors de leur génération dans le chronotachygraphe). Ainsi, le fait que les données signées soient mémorisées par l'équipement embarqué constitue une preuve que l'équipement embarqué, et bien entendu le chronotachygraphe, était en fonction à la date courante mémorisée. Une fraude consistant à empêcher la mise en fonction de l'équipement embarqué peut donc être facilement détectée en constatant l'absence de données signées mémorisées.

[0009] Le fait de pouvoir obtenir des données en provenance du chronotachygraphe permet de prouver que le chronotachygraphe et l'équipement embarqués étaient en fonction, au moment de la récupération des données.

[0010] Le dispositif de vérification permet à un tiers de prendre connaissance des données signées, ce qui lui permet de vérifier que l'équipement embarqué était en fonction à la date courante contenue dans les données obtenues du chronotachygraphe. Le dispositif de vérification peut par exemple se trouver sur le site central d'une entreprise de transport ou être un dispositif portable utilisé sur les routes par une personne responsable du contrôle.

[0011] Le procédé de communication peut comprendre, avant l'étape d'obtention, une étape de demande comprenant l'envoi d'une demande de données audit chronotachygraphe électronique.

[0012] Ainsi, l'équipement embarqué peut obtenir les données signées quand il le souhaite, en réponse à la demande de données. Par exemple, l'équipement embarqué envoie une demande de données lorsqu'il est mis en fonction.

[0013] Selon un de réalisation, ladite étape de demande est répétée sur une période de temps pendant laquelle la vérification de la mise en fonction est souhaitée.

[0014] La répétition de l'étape de demande permet donc de vérifier la mise en fonction sur période de temps et pas seulement de manière ponctuelle. De plus, l'équipement embarqué peut éventuellement être mis en fonction avant le chronotachygraphe électronique. La répétition de l'étape de demande permet, dans ce cas, d'obtenir les données signées dés que le chronotachygraphe est mis en fonction.

[0015] Selon un mode de réalisation, ledit équipement embarqué comprend un dispositif de positionnement et ledit procédé comprend une étape de vérification de données censées avoir été générées par ledit dispositif de positionnement, ladite étape de vérification de données comprenant
  • une étape d'obtention des premières données censées avoir été déterminées par ledit dispositif de positionnement, les premières données contenant une première suite de vitesses instantanées et la date d'au moins une des vitesses instantanées de la première suite de vitesses instantanées,
  • une étape d'obtention des deuxièmes données signées déterminées par ledit chronotachygraphe électronique, les deuxièmes données contenant une deuxième suite de vitesses instantanées et la date d'au moins une vitesse instantanée de la deuxième suite de vitesses instantanées,
  • une étape de recherche d'une correspondance entre les premières données et les deuxièmes données.


[0016] Les deuxièmes données étant signées, il est possible de s'assurer de leur origine (elles proviennent bien du chronotachygraphe concerné) et de leur intégrité (elles n'ont pas été modifiées par rapport à ce qu'elles étaient lors de leur génération dans le chronotachygraphe). Ainsi, en cas de fraude consistant à manipuler les données fournies par le dispositif de positionnement, la recherche d'une correspondance entre les premières données et les deuxièmes données peut ne donner aucun résultat, ce qui peut permettre de détecter la fraude. La fraude est donc plus difficile à réaliser.

[0017] Selon une variante, les premières données contiennent un indicateur de données manquantes, ladite étape de vérification de données comprenant, si aucune correspondance n'a été trouvée entre les premières données et les deuxièmes données, une étape de détermination de l'authenticité des premières données en fonction dudit indicateur de données manquantes.

[0018] Si aucune correspondance n'est trouvée, cela signifie que les premières données censées être fournies par le dispositif de positionnement sont incorrectes ou manquantes en très grande partie. L'utilisation de l'indicateur de données manquantes permet de faire la distinction entre les deux cas. Dans le cas de données incorrectes, l'impossibilité de trouver une correspondance indique avec une forte probabilité une fraude.

[0019] Selon un mode de réalisation, les premières données contiennent une suite de positions correspondants à la première suite de vitesses instantanées, ladite étape de vérification de comprenant, si une correspondance a été trouvée entre les premières données et les deuxièmes données, une étape de détermination de l'authenticité des premières données comprenant :
  • une étape de détermination de troisièmes données contenant une troisième suite de vitesses instantanées déterminée en fonction de la suite de positions,
  • une étape de recherche d'une correspondance entre les troisièmes données et les deuxièmes données.


[0020] Même en cas de fraude consistant à manipuler les données fournies par le dispositif de positionnement, une correspondance entre les premières données et les deuxièmes données peut être trouvée, dans certains cas. La recherche d'une correspondance entre les deuxièmes données et les troisièmes données, contenant une suite de vitesses instantanées déterminée en fonction de la suite de positions, constitue un test complémentaire permettant de détecter une fraude ou au contraire d'augmenter la confiance en l'intégrité des données fournies par le dispositif de positionnement.

[0021] Selon un mode de réalisation, le procédé comprend, en cas de correspondance entre au moins une première vitesse instantanée de la première suite de vitesses instantanées et au moins une deuxième vitesse instantanée de la deuxième suite de vitesses instantanées, une étape d'obtention de la date de cette première vitesse instantanée ou de cette deuxième vitesse instantanée et d'au moins une donnée de positionnement pour laquelle la première vitesse instantanée a été générée par le dispositif de positionnement.

[0022] Une telle exploitation des données de positionnement peut être utile dans certaines applications de la circulation des véhicules.

[0023] L'invention propose également un équipement destiné à être embarqué dans un véhicule, caractérisé en ce qu'il comprend :
  • des moyens d'obtention de données générées par un chronotachygraphe électronique embarqué dans ledit véhicule et datées avec une date courante à laquelle lesdites données ont été obtenues du chronotachygraphe électronique, lesdites données obtenues étant signées avec une signature du chronotachygraphe,
  • des moyens de transmission desdites données obtenues vers un dispositif de vérification comprenant des moyens pour vérifier l'intégrité desdites données à partir de ladite signature et pour générer une information représentative de l'existence ou de l'absence d'une preuve de la mise en fonction dudit équipement à ladite date courante.


[0024] Selon un mode de réalisation, l'équipement comprend un dispositif de positionnement et des moyens de vérification de données générées par ledit dispositif de positionnement, lesdits moyens de vérification de données comprenant:
  • des moyens d'obtention de premières données censées avoir été déterminées par ledit dispositif de positionnement, les premières données contenant une première suite de vitesses instantanées et la date d'au moins une des vitesses instantanées de la première suite de vitesses instantanées,
  • des moyens d'obtention de deuxièmes données signées déterminées par ledit chronotachygraphe électronique, les deuxièmes données contenant une deuxième suite de vitesses instantanées et la date d'au moins une vitesse instantanée de la deuxième suite de vitesses instantanées,
  • des moyens de recherche d'une correspondance entre les premières données et les deuxièmes données.


[0025] L'invention concerne aussi un véhicule comprenant un équipement selon l'invention ci-dessus et un chronotachygraphe électronique relié audit équipement.

[0026] Les caractéristiques et avantages discutés ci-dessus en référence au procédé de communication s'appliquent de manière correspondante à l'équipement et au véhicule.

[0027] L'invention propose aussi un procédé de vérification de la mise en fonction d'un équipement embarqué dans un véhicule, ledit procédé étant exécuté par un dispositif de vérification apte à communiquer avec ledit équipement embarqué et étant caractérisé en ce qu'il comprend :
  • une étape d'obtention de données de vérification générées par un chronotachygraphe électronique embarqué dans ledit véhicule et datées avec une date courante à laquelle lesdites données ont été obtenues du chronotachygraphe électronique, les données de vérification obtenues étant signées avec une signature du chronotachygraphe,
  • une étape de vérification de l'intégrité desdites données de vérification à partir de ladite signature,
  • une étape de génération d'une information représentative de l'existence ou de l'absence d'une preuve de la mise en fonction dudit équipement à ladite date courante.


[0028] Les données de vérification peuvent comprendre une identification de véhicule, ladite identification de véhicule étant enregistrée en association avec ladite information.

[0029] Le procédé de vérification peut comprendre :
  • une étape de mémorisation, pour chaque date courante d'un ensemble de dates courantes, de ladite information en association avec ladite date courante;
  • une étape de vérification consistant à déterminer, à partir des données de vérification reçues ou des informations mémorisées, si ledit équipement était en fonction pendant une plage horaire donnée ou à une date donnée.


[0030] Le procédé de vérification peut comprendre :
  • une étape d'obtention de données de positionnement et/ou de vitesse générées par un dispositif de positionnement placé dans ledit véhicule,
  • une étape de vérification consistant à déterminer, à partir desdites données de positionnement et/ou de vitesse, si le véhicule a circulé ou non sur une route soumise au paiement d'une taxe.


[0031] L'invention vise aussi un programme d'ordinateur comportant des instructions pour l'exécution des étapes du procédé de communication ou du procédé de vérification ci-dessus lorsque ledit programme est exécuté par un ordinateur.

[0032] Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable.

[0033] L'invention vise aussi un support d'enregistrement ou support d'informations lisible par un ordinateur, et comportant des instructions d'un programme d'ordinateur tel que mentionné ci-dessus.

[0034] Les supports d'enregistrement mentionnés ci-avant peuvent être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une disquette (floppy disc) ou un disque dur.

[0035] D'autre part, les supports d'enregistrement peuvent correspondre à un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.

[0036] Alternativement, les supports d'enregistrement peuvent correspondre à un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.

Brève description des dessins



[0037] D'autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins annexés qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif. Sur les figures :
  • la figure 1 est un schéma d'un véhicule selon un mode de réalisation de l'invention et d'un dispositif de vérification,
  • la figure 2 représente schématiquement l'équipement de gestion de flotte du véhicule de la figure 1,
  • la figure 3 représente schématiquement le chronotachygraphe électronique du véhicule de la figure 1,
  • la figure 4 représente de manière plus détaillée le dispositif de vérification de la figure 1,
  • la figure 5 est un diagramme d'étapes illustrant un procédé de communication selon un mode de réalisation de l'invention, et
  • la figure 6 est un diagramme d'étapes représentant des étapes mises en oeuvre par l'équipement embarqué ou par le dispositif de vérification de la figure 1,
  • la figure 7 est un schéma d'un véhicule et d'un dispositif de vérification, selon un mode de réalisation utile à la compréhension de l'invention.

Description détaillée de modes de réalisation



[0038] La figure 1 représente un véhicule 1 poids-lourd équipé d'un équipement 2 embarqué et d'un chronotachygraphe 3 électronique. L'équipement 2 et le chronotachygraphe 3 peuvent communiquer par une liaison 4. La figure 1 représente également un dispositif de vérification 5 qui peut communiquer avec l'équipement 2 par une liaison 6.

[0039] L'équipement 2 permet la mise en oeuvre d'applications de gestion de flottes de véhicules. Ainsi, l'équipement 2 peut communiquer avec un site central (non représenté) par exemple pour le positionnement du véhicule 1, la remontée des positions vers le site central, l'envoi de missions au véhicule 1 depuis le site central, etc.

[0040] L'équipement 2 est représenté schématiquement sur la figure 2. Il comprend notamment un microprocesseur 20, une interface de communication 21, une mémoire morte 22, une mémoire vive 23, un dispositif de positionnement 24 et une interface de communication 25. Le microprocesseur 20 permet d'exécuter de programmes mémorisés dans la mémoire morte 22, en utilisant la mémoire vive 23. L'interface de communication 21 permet à l'équipement 2 de communiquer avec le chronotachygraphe 3 par la liaison 4, qui est par exemple une liaison filaire. Le dispositif de positionnement 24 est par exemple un dispositif de positionnement par satellite de type GPS, Glonass, Galileo, etc. Il est capable de générer des données de position, de vitesse instantanée, de date et d'heure. Les données générées par le dispositif de positionnement 24 peuvent être mémorisées dans la mémoire vive 23. En variante, l'équipement 2 comprend également une mémoire de type Flash dans laquelle sont mémorisées les données générées par le dispositif de positionnement 24, ce qui permet d'éviter une perte de données en cas de perte momentanée de l'alimentation électrique. L'interface de communication 25 permet à l'équipement 2 de communiquer avec le dispositif de vérification 5 ou avec le site central, par la liaison 6. La liaison 6 peut être une liaison filaire ou sans fils.

[0041] Le chronotachygraphe 3 est un chronotachygraphe électronique, dont l'installation est obligatoire dans tout camion neuf de plus de 3,5 tonnes. Le chronotachygraphe 3 comprend notamment une interface de communication 31 et un enregistreur 32. L'enregistreur 32 enregistre en permanence de nombreuses informations : identité du conducteur, durée de conduite, distance parcourue, vitesse instantanée, vitesse moyenne, vitesse maximale, etc. L'interface de communication 31 comprend un connecteur normalisé, situé en face avant et relié à l'équipement 2 par la liaison 4, qui permet l'accès aux données enregistrées. L'accès aux données se fait normalement en utilisant une carte à puce dite « carte entreprise », qui permet d'accéder à toutes les données concernant les conducteurs de l'entreprise concernée. Il est toutefois possible d'accéder aux données sans la carte entreprise. Simplement, certaines données nominatives sont masquées.

[0042] Lorsque des données sont extraites du chronotachygraphe 3 par le connecteur en face avant, elles sont signées, Cette signature, reposant sur un schéma habituel de chiffrement à clés asymétriques, permet de s'assurer de l'authentification des données (elles proviennent bien du chronotachygraphe concerné) et de leur intégrité (elles n'ont pas été modifiées par rapport à ce qu'elles étaient lors de leur génération dans le chronotachygraphe).

[0043] La communication entre l'équipement 2 et le chronotachygraphe 3 est par exemple effectuée selon le protocole normalisé décrit dans l'annexe 1B du règlement CEE n° 3821/85.

[0044] Le dispositif de vérification 5 est représenté schématiquement sur la figure 4. Il comprend notamment un microprocesseur 50, une interface de communication 51, une mémoire morte 52 et une mémoire vive 53. Le microprocesseur 50 permet d'exécuter des programmes mémorisés dans la mémoire morte 52, en utilisant la mémoire vive 53. L'interface de communication 51 permet au dispositif de vérification 5 de communiquer avec l'équipement 2 par la liaison 6.

[0045] Le dispositif de vérification 5 peut par exemple être situé sur le site central d'une entreprise de transport ou être un dispositif portatif utilisé sur les routes par une personne responsable du contrôle des véhicules en circulation, par exemple un agent chargé de vérifier l'application de la réglementation en vigueur.

[0046] La figure 5 est un diagramme d'étapes qui illustre un procédé de vérification de la mise en fonction de l'équipement 2. Ce procédé est effectué par l'équipement 2 lors de l'exécution d'un programme correspondant mémorisé dans la mémoire morte 22. L'exécution de ce programme est lancée automatiquement lorsque l'équipement 2 est mis en fonction.

[0047] Le procédé débute à l'étape 40, dans laquelle l'équipement 2 envoie une demande de données vers le chronotachygraphe 3, en utilisant l'interface de communication 21 et la liaison 4. Cette demande de données est effectuée chaque fois qu'une vérification de mise en fonction est souhaitée ou nécessaire, ou bien périodiquement ou à des instants définis aléatoirement.

[0048] Lorsqu'il reçoit cette demande de données, le chronotachygraphe 3 répond en envoyant un paquet de données, ayant été générées par un chronotachygraphe 3, ces données étant datées avec une date courante à laquelle s'effectue cette opération d'obtention de données auprès du chronotachygraphe 3. La date courante est une information temporelle précise, contenant par exemple la date calendaire et l'heure à la seconde près.

[0049] Outre la date (et heure) courante et la signature, les données fournies par le chronotachygraphe 3 contiennent les informations suivantes (fixées par la réglementation européenne):
  • le certificat de sécurité de l'état européen du véhicule,
  • le certificat de sécurité du chronotachygraphe,
  • l'identification du véhicule,
  • la date et l'heure chronotachygraphe de fourniture du paquet de données par la chronotachygraphe,
  • éventuellement d'autres données, par exemple la vitesse instantanée du véhicule à la date courante.


[0050] Les données fournies par le chronotachygraphe répondent par exemple au règlement CEE n°3821/85.

[0051] Les données envoyées par le chronotachygraphe 3 sont en outre signées avec une signature propre au chronotachygraphe 3, afin de pouvoir authentifier l'origine de ces données, et de disposer d'un jeu de données de référence dont l'intégrité est vérifiable.

[0052] Ainsi, à l'étape 41, l'équipement 2 teste s`il a reçu un paquet de données signées de la part du chronotachygraphe 3.

[0053] Si, à l'étape 41, aucun paquet de données n'a été reçu, l'équipement 2 attend un temps ΔT1à l'étape 42 avant de répéter la demande de données à l'étape 40. Ainsi, si le chronotachygraphe 3, n'est pas en fonction lors de la première demande de données, la répétition des étapes 40, 41 et 42 permet de recevoir un paquet de données signées dés que le chronotachygraphe 3 est mis en fonction.

[0054] Si, à l'étape 41, un paquet de données a été reçu, l'équipement 2 passe à l'étape 43 où le paquet de données reçu est mémorisé dans la mémoire vive 23 (ou dans la mémoire Flash décrite précédemment). Comme les données sont signées, il sera possible de s'assurer par analyse des données signées que la date et l'heure courantes mémorisées sont authentiques et intègres. Ainsi, la présence du paquet de données signées dans la mémoire vive 23 constitue une preuve que le chronotachygraphe 3 et l'équipement 2 étaient en fonction à la date et l'heure courantes mémorisées.

[0055] Ensuite, à l'étape 44, l'équipement 2 teste s'il a reçu une demande de transmission de la part du dispositif de vérification 5, par l'intermédiaire de la liaison 6 et de l'interface de communication 25.

[0056] Si, à l'étape 44, aucune demande de transmission n'a été reçue, l'équipement 2 attend un temps ΔT2 à l'étape 46 avant de répéter la demande de données à l'étape 40. Ainsi, par la répétition des étapes 40, 41 et 43, plusieurs paquets de données signées, contenant des dates et heures courantes différentes, peuvent être mémorisés dans la mémoire vive 23 (ou dans la mémoire Flash décrite précédemment). Le temps ΔT2 peut différer d'une exécution de l'étape 46 à l'autre, en fonction des besoins de l'application. Par exemple, le temps ΔT2 est aléatoire. En pratique, la demande de données de l'étape 40 est :
  • soit répétée (aléatoirement ou périodiquement) sur une période de temps pendant laquelle la vérification de mise en fonction est souhaitée ou sur une période de temps incluant les instants pour lesquels la vérification est souhaitée,
  • soit répétée ponctuellement, à chaque fois qu'il est requis de disposer d'une information sur cette mise en fonction.


[0057] Si, à l'étape 44, une demande de transmission a été reçue, ('équipement 2 passe à l'étape 45 où le ou les paquets de données mémorisés dans la mémoire vive 23 (ou dans la mémoire Flash décrite précédemment) sont transmis au dispositif de vérification 5. Ces paquets de données constituent, lorsqu'ils sont intègres, une preuve de la mise en fonction de l'équipement 2, aux dates indiquées dans ces paquets. Ces données sont appelées ici « données de vérification » et notées DATA0.

[0058] Ainsi, l'utilisateur du dispositif de vérification 5 peut prendre connaissance de la ou des dates et heures mémorisées et ainsi vérifier que l'équipement 2 était en fonction aux dates et heures mémorisées.

[0059] Le dispositif de vérification 5 vérifie l'intégrité des données de vérification DATAO reçues à partir de la signature jointe à ces données, puis génère et mémorise, en association avec la date courante pour laquelle des données de vérification ont été reçues, une information représentative de l'existence ou de l'absence d'une preuve de la mise en fonction dudit équipement à ladite date courante. Cette date courante est donc la date à laquelle les données ont été obtenues auprès du chronotachygraphe.

[0060] Afin de vérifier l'intégrité des données, le dispositif de vérification 5 applique lors de l'étape 60 les traitements décrits dans l'appendice 11 (intitulé "Mécanismes de sécurité communs") du règlement CEE n° 3821/85, réglementant le chronotachygraphe électronique en Europe. Une fois cette intégrité établie, il a la certitude que l'équipement 2 était bien en fonction dans le véhicule identifié sur la base de l'identification de véhicule fournie, à la date et heure indiquées dans les données reçues de l'équipement 2. Le dispositif de vérification 5 enregistre, en association avec les dates pour lesquelles un paquet de données intègres a été reçu, une information représentative de l'existence d'un tel paquet, c'est-à-dire représentative de l'existence d'une preuve de mise en fonction pour ces dates.

[0061] En cas de fraude consistant à empêcher temporairement la mise en fonction de l'équipement 2, aucun paquet de données contenant des dates et heures correspondant à la période de non fonctionnement ne sera mémorisé, ce qui permet de détecter la fraude. Dans une telle situation, le dispositif de vérification 5 détecte l'absence de paquet de données pour certaines plages horaires et/ou certaines dates et enregistre en association avec ces plages horaires et/ou dates une information représentative de cette absence de paquet de données, c'est-à-dire représentative de l'absence de preuve de mise en fonction pour ces plages horaires et/ou dates.

[0062] Les différentes informations ainsi mémorisées, représentatives de l'existence ou de l'absence d'une preuve de la mise en fonction de l'équipement 2 (ou directement les données de vérification DATAO reçues), sont utilisées par le dispositif de vérification 5 pour exécuter au moins une étape de vérification consistant à déterminer si l'équipement 2 était en fonction pendant une plage horaire donnée ou à une date donnée. Par exemple, par balayage des informations mémorisées ou interrogation d'une base de données dans laquelle ces informations sont mémorisées. Les informations mémorisées constituent ainsi un historique indiquant pour quelles dates l'équipement 2 était en fonction.

[0063] Lorsque les données de vérification DATA0 reçues comprennent une identification de véhicule, cette identification de véhicule est enregistrée en association avec les informations représentatives de l'existence ou de l'absence d'une preuve de la mise en fonction, afin de disposer d'un historique pour chaque véhicule identifié.

[0064] Comme expliqué précédemment, outre la non mise en fonction de l'équipement 2, une tentative de fraude peut consister à manipuler les données fournies par le dispositif de positionnement 24. Ainsi, le procédé de vérification peut comprendre une étape de vérification de données visant à détecter ce type de fraude. La figure 6 est un diagramme d'étapes qui illustre les étapes permettant cette vérification de données.

[0065] A l'étape 61, l'équipement 2 obtient des données DATA1 censées être fournies par le dispositif de positionnement 24. A cet effet, le dispositif de positionnement 24 est configuré pour fournir des informations de position, de vitesse instantanée, de date et d'heure, de manière régulière, par exemple une fois par seconde. Les données DATA1 comprenant ces informations sont mémorisées dans la mémoire vive 23 pour une période dite « période de stockage pour vérification », par exemple de 1 à 24 heures. Une période de stockage pour vérification longue, par exemple de 24 heures, permet une meilleure détection des manipulations de données, mais nécessite une mémoire plus importante et une puissance de calcule plus élevée que pour une période plus courte.

[0066] Ainsi, la mémoire vive 23 contient des données DATA1 censées avoir été déterminées par le dispositif de positionnement 24. Par « données censées avoir été déterminées par le dispositif de positionnement 24 », on entend des données qui, en l'absence de fraude, ont effectivement été déterminées par le dispositif de positionnement 24 ou qui, en cas de fraude, ont été manipulées et sont mémorisées à la places des données qui ont effectivement été déterminées par le dispositif de positionnement 24.

[0067] Les données DATA1 contiennent une suite de positions, une suite de vitesses instantanées et pour chaque position, une date. La date est une information temporelle précise contenant par exemple la date calendaire et l'heure à la seconde près. En variante, les données ne pourraient contenir la date que pour certaines positions, par exemple la première et la dernière, et la date des autres positions peut être calculée, par exemple en connaissant un intervalle de temps constant qui sépare chaque position. Les données DATA1 contiennent également un indicateur de données manquantes indiquant les moments où une mauvaise réception des données satellites n'a pas permis au dispositif de positionnement 24 de générer les informations.

[0068] A l'étape 62, l'équipement 2 obtient des données DATA2 signées de la part du chronotachygraphe 3. Pour obtenir les données DATA2, l'équipement 2 envoie périodiquement une demande de téléchargement de données au chronotachygraphe 3. En réponse à cette demande de téléchargement, le chronotachygraphe 3 fournit les données DATA2 qui contiennent une suite de vitesses instantanées, dites vitesse chronotachygraphe » et la date d'au moins une vitesse instantanée parmi les vitesses chronotachygraphe, par exemple de la première vitesse instantanée de la suite. Dans ce cas, il est possible de déterminer la date et l'heure de toutes les vitesses instantanées, par exemple sachant que l'intervalle de temps entre chaque vitesse instantanée est d'une seconde. Les vitesses chronotachygraphe correspondent par exemple aux dernières 24 heures de trajet du véhicule 1.

[0069] Sur la figure 6, l'étape 61 est suivie par l'étape 62. En pratiques, les étapes 61 et 62 peuvent également être effectuées en parallèles ou dans l'ordre inverse de celui représenté.

[0070] A l'étape 63, l'équipement 2 recherche une correspondance entre les données DATA1 et les données DATA2. Plus précisément, l'équipement 2 extrait des vitesses chronotachygraphe celles qui correspondent à la période de stockage pour vérification, en prenant en compte la dérive possible de l'horloge du chronotachygraphe 3 (maximum légal de +- 2 secondes par jour). Ensuite, l'équipement 2 effectue une recherche de correspondance entre les positions / vitesses instantanées contenues dans les données DATA1, et les vitesses chronotachygraphe extraites des données DATA2.

[0071] Cette recherche de correspondance entre deux suites de vitesses peut être effectuée par exemple par un algorithme du type « comparaison de séquences de symboles » ou « reconnaissance de motifs ». Ce type d'algorithme permet de tenir compte d'une suite incomplète de vitesses de la période de stockage (pour prendre en compte les moments où une mauvaise réception des données satellites n'a pas permis au dispositif de positionnement 24 de générer les informations) et est capable d'accepter un léger écart entre les deux suites de vitesses, pour tenir compte de la tolérance légale de +/- 6 km/h sur les vitesses chronotachygraphe.

[0072] La recherche de correspondance vise à établir s'il y a un degré de corrélation suffisant (par exemple supérieur à un seuil prédéterminé) entre les deux suites de données : en termes d'amplitude de vitesse, de variations d'amplitude de vitesse, de spectre fréquentiel, de valeur moyenne, d'écart type, etc.

[0073] Si, à l'étape 63, aucune correspondance n'est trouvée, le procédé passe à l'étape 64. L'absence de correspondance peut signifier que les données DATA1 censées avoir été fournies par le dispositif de positionnement 24 sont incorrectes ou manquantes entre très grande partie. L'indicateur de données manquantes permet de faire la différence entre les deux cas. Ainsi, à l'étape 64, l'équipement 2 détermine l'authenticité des données DATA1 en tenant compte de l'indicateur de données manquantes. Plus précisément, si l'équipement 2 conclut que l'absence de correspondance est due à des données incorrectes, cela indique une forte probabilité de fraude. Le procédé passe alors à l'étape 65 où cette conclusion, symbolisée sur la figure 6 par un « X », est traitée de manière appropriée (par exemple, elle est mémorisée dans l'équipement 2 et/ou transmise à un site distant, immédiatement ou ultérieurement). Par contre, si l'équipement 2 conclu que l'absence de correspondance est due à de nombreuses données manquantes, il passe à 66 et ne peut pas conclure sur la présence ou l'absence de fraude, ce qui est symbolisé par un « ? » sur la figure 6.

[0074] Selon une variante, si à l'étape 63 une correspondance est trouvée, le procédé peut passer à l'étape 70 et conclure à l'absence de fraude, ce qui est symbolisé par un « V » sur la figure 6.

[0075] Lors de l'étape 71, le dispositif de vérification 5 effectue un calcul de parcours et une vérification de parcours, en vue de déterminer à partir des données de positionnement et/ou de vitesse DATAlobtenues de l'équipement 2, si le véhicule a circulé ou non sur une route soumise au paiement d'une taxe et dans l'affirmative, de déterminer quel sera le montant de la taxe à payer.

[0076] Le montant de cette taxe dépend entre autres, en ce qui concerne l'éco-taxe définie en France pour les poids lourds, du type de la route utilisée et de la distance parcourue sur cette route. Toutes les routes ne sont pas soumises à l'éco-taxe. Une route peut ne pas être non plus complètement soumise à l'éco-taxe.

[0077] La vérification consiste donc à déterminer, à partir des données DATA1, produites par dispositif de positionnement 24 de l'équipement embarqué et validées par le dispositif de vérification 5 suite à l'établissement d'une correspondance avec les données DATA2 du chronotachygraphes, si le véhicule a circulé ou non sur une route soumise au paiement d'une taxe.

[0078] Dans le cas du transport de marchandises de valeur, la vérification de parcours consiste en outre à reconstituer à partir des données DATA1 le parcours réel du véhicule. En cas de disparition de marchandise entre la prise en charge de celle-ci, et sa livraison, il est ainsi possible de déterminer quel a été le parcours suivi par le véhicule et/ou si, parmi les données de vérification DATA0 reçues par le dispositif de vérification lors d'une étape 45, il y absence de données de vérification pour une partie du parcours et/ou pour une plage horaire ou date donnée.

[0079] Lorsque ces vérifications sont effectuées, le dispositif de vérification 5 enregistre dans une base de données la taxe à payer en association avec l'identification du véhicule obtenue à l'étape 61: les données ainsi enregistrées serviront au déclenchement d'une opération de paiement.

[0080] Selon une autre variante représentée sur la figure 6, le procédé passe d'abord aux étapes 67 et 68 qui constituent un test complémentaire. A l'étape 67, des données DATA3 contenant une nouvelle suite de vitesses instantanées sont déterminées. Plus précisément, la nouvelle suite de vitesses instantanées est déterminée en fonction de la suite de positions contenues dans les données DATA1. Ensuite, à l'étape 68, l'équipement 2 effectue une recherche de correspondance similaire à celle de l'étape 63, mais dans ce cas entre la nouvelle suite de vitesses déterminée à l'étape 67 et les vitesses chronotachygraphe. L'absence de correspondance indique à nouveau une forte probabilité de fraude. Cette conclusion est traitée à l'étape 69 comme à l'étape 65. Par contre, en cas de correspondance, la confiance en l'intégrité des données obtenues à l'étape 61 peut être renforcée.

[0081] Les données DATA2 étant signées, il est possible de s'assurer de leur authentification et de leur intégrité. Ainsi, en cas de fraude consistant à manipuler les données fournies par le dispositif de positionnement 24, la recherche d'une correspondance entre les données DATA1 et les données DATA2 permet de vérifier l'intégrité des données fournies par le dispositif de positionnement 24, ou au contraire de détecter une fraude,

[0082] La figure 7 représente un véhicule et un dispositif de vérification selon un mode de réalisation utile à la compréhension de l'invention. Les éléments identiques ou similaires à des éléments des figures 1 et 4 sont désignés par les mêmes références, sans risques de confusion.

[0083] Dans le mode de réalisation de la figure 7, l'équipement 2 et le chronotachygraphe 3 ne sont pas reliés par une liaison. Par contre, le chronotachygraphe 3 peut communiquer avec le dispositif de vérification 5 par une liaison 7 et l'interface de communication 51.

[0084] Ainsi, l'équipement 2 peut envoyer au dispositif de vérification 5 des données censées avoir été déterminées par son dispositif de positionnement, et le chronotachygraphe 3 peut envoyer au dispositif de vérification 5 des données signées. Le dispositif de vérification 5 peut alors exécuter un procédé de vérification similaire à celui représenté sur la figure 6 pour vérifier l'intégrité des données provenant de l'équipement 2.

[0085] En variante, le chronotachygraphe 3 peut être relié à l'équipement embarqué 2. Dans ce cas, les données provenant du chronotachygraphe 3 peuvent être fournie au dispositif de vérification 5 par l'intermédiaire de l'équipement 2.

[0086] Ainsi, le présent document concerne de manière générale un procédé de vérification de données censées avoir été générées par un dispositif de positionnement, comprenant :
  • une étape d'obtention de premières données censées avoir été déterminées par le dispositif de positionnement, les premières données contenant une première suite de vitesses instantanées et la date d'au moins une des vitesses instantanées de la première suite de vitesses instantanées,
  • une étape d'obtention de deuxièmes données signées déterminées par un chronotachygraphe électronique, les deuxièmes données contenant une deuxième suite de vitesses instantanées et la date d'au moins une vitesse instantanée de la deuxième suite de vitesses instantanées,
  • une étape de recherche d'une correspondance entre les premières données et les deuxièmes données.


[0087] Ce procédé de vérification peut être effectué par un équipement embarqué sur le véhicule dans lequel se trouvent le chronotachygraphe et le dispositif de positionnement, ou par un dispositif de vérification externe auquel sont transmises les données.

[0088] Dans un mode de réalisation les étapes 62 et suivantes sont mise en ouvre par le dispositif de vérification qui reçoit les données DATA1 et DATA2 puis effectue toutes les vérifications requises, selon ce qui est décrit ci-dessus pour les étapes 63 à 71.

[0089] Pour les besoins de la preuve de mise en fonction sur une plage temporelle donnée, le dispositif de vérification 5 peut utiliser :
  • des paquets de données de vérification DATA0 générés pour plusieurs dates courantes, obtenues du chronotachygraphe indépendamment de données de vitesse DATA2 et /ou
  • des données jointes par le chronotachygraphe aux données de DATA2 par le chronotachygraphe.


[0090] En effet, les données jointes (répondant par exemple au règlement CEE n°3821/85) comprennent généralement une identification du véhicule, le certificat de sécurité du chronotachygraphe une date courante et une signature permettant de vérifier simultanément l'intégrité de la date courante et des données de vitesses et peuvent donc également servir de données de vérification quant à la mise en fonction de l'équipement 2.

[0091] Il faut noter à ce propos que les données de vérification DATA0 et les données de vitesse DATA2 peuvent être obtenues avec des périodicités différentes et donc être associées à des dates courantes espacées différemment dans le temps : une utilisation croisée de ces deux types de données permet de couvrir une même plage temporelle avec des précisions différentes. En pratique, la périodicité d'obtention de données de vérification peut être d'une heure seulement ou de 10mn, alors que les données de vitesses et dates / heures associées sont générées à chaque seconde.

[0092] La vérification peut également s'effectuer pour des dates et/ou heures définies aléatoirement, déterminées par un serveur distant central ou encore par le dispositif de vérification 5. Ce dernier obtiendrait alors une suite de paquets de données à vérifier, par exemple lorsque la communication entre le central et l'équipement est possible (en couverture réseau mobile). Ensuite, la vérification serait effectuée pour les paquets de données obtenus du chronotachygraphe aux dates et/ou heures indiquées. Il faut bien sûr prendre en compte la gestion des pauses autorisées pour le conducteur du véhicule (pauses et/ou temps de repos) et donc sélectionner les dates et/ou heures pour lesquelles la vérification est requise en conséquence.

[0093] De manière générale, la périodicité / les instants d'obtention des données de vérification (ou des données DATA2) ainsi que la définition les dates et/ou heure pour lesquelles la vérification est effectuée seront adaptés aux besoins de l'application visée.


Revendications

1. Procédé de communication avec un dispositif de vérification (5) de la mise en fonction d'un équipement (2) embarqué dans un véhicule (1), ledit procédé étant effectué par ledit équipement (2) embarqué et étant caractérisé en ce qu'il comprend :

- une étape (41) d'obtention de données générées par un chronotachygraphe électronique (3) embarqué dans ledit véhicule (1) et datées avec une date courante à laquelle lesdites données ont été obtenues du chronotachygraphe électronique, lesdites données obtenues étant signées avec une signature du chronotachygraphe,

- une étape (45) de transmission des données obtenues vers le dispositif de vérification (5) comprenant des moyens pour vérifier l'intégrité desdites données à partir de ladite signature et pour générer une information représentative de l'existence ou de l'absence d'une preuve de la mise en fonction dudit équipement à ladite date courante.


 
2. Procédé de communication selon la revendication 1, comprenant, avant l'étape (41) d'obtention, une étape de demande (40) comprenant l'envoi d'une demande de données audit chronotachygraphe électronique (3).
 
3. Procédé de communication selon la revendication 2, dans lequel ladite étape (40) de demande est répétée sur une période de temps pendant laquelle la vérification de la mise en fonction est souhaitée.
 
4. Procédé de communication selon la revendication 1, dans lequel ledit équipement (2) embarqué comprend un dispositif de positionnement (24), ledit procédé comprenant une étape de vérification de données censées avoir été générées par ledit dispositif de positionnement (24), ladite étape de vérification de données comprenant :

- une étape (61) d'obtention de premières données (DATA1) censées avoir été déterminées par ledit dispositif de positionnement (24), les premières données (DATA1) contenant une première suite de vitesses instantanées et la date d'au moins une des vitesses instantanées de la première suite de vitesses instantanées,

- une étape (62) d'obtention de deuxièmes données (DATA2) signées déterminées par ledit chronotachygraphe électronique (3), les deuxièmes données (DATA2) contenant une deuxième suite de vitesses instantanées et la date d'au moins une vitesse instantanée de la deuxième suite de vitesses instantanées,

- une étape (63) de recherche d'une correspondance entre les premières données (DATA1) et les deuxièmes données (DATA2).


 
5. Procédé de communication selon la revendication 4, comprenant, en cas de correspondance entre au moins une première vitesse instantanée de la première suite de vitesses instantanées et au moins une deuxième vitesse instantanée de la deuxième suite de vitesses instantanées, une étape d'obtention de la date de cette première vitesse instantanée ou de cette deuxième vitesse instantanée et d'au moins une donnée de positionnement pour laquelle la première vitesse instantanée a été générée par le dispositif de positionnement.
 
6. Procédé de communication selon la revendication 4, dans lequel les premières données (DATA1) contiennent un indicateur de données manquantes, ladite étape de vérification de données comprenant, si aucune correspondance n'a été trouvée entre les premières données (DATA1) et les deuxièmes données (DATA2), une étape (64) de détermination de l'authenticité des premières données (DATA1) en fonction dudit indicateur de données manquantes.
 
7. Procédé de communication selon la revendication 4, dans lequel les premières données (DATA1) contiennent une suite de positions correspondant à la première suite de vitesses instantanées, ladite étape de vérification de données comprenant, si une correspondance a été trouvée entre les premières données (DATA1) et les deuxièmes données (DATA2), une étape de détermination de l'authenticité des premières données (DATA1) comprenant :

- une étape (67) de détermination de troisièmes données (DATA3) contenant une troisième suite de vitesses instantanées déterminée en fonction de la suite de positions,

- une étape (68) de recherche d'une correspondance entre les troisièmes données (DATA3) et les deuxièmes données (DATA2).


 
8. Programme d'ordinateur comportant des instructions pour l'exécution des étapes du procédé de vérification selon la revendication 1 lorsque ledit programme est exécuté par un ordinateur.
 
9. Support d'informations lisible par un ordinateur et comportant des instructions d'un programme d'ordinateur selon la revendication 8.
 
10. Equipement (2) destiné à être embarqué dans un véhicule (1), caractérisé en ce qu'il comprend :

- des moyens d'obtention (21) de données générées par un chronotachygraphe électronique (3) embarqué dans ledit véhicule (1) et datées avec une date courante à laquelle lesdites données ont été obtenues du chronotachygraphe électronique, lesdites données obtenues étant signées avec une signature du chronotachygraphe,

- des moyens de transmission (25) desdites données obtenues vers un dispositif de vérification (5) comprenant des moyens pour vérifier l'intégrité desdites données à partir de ladite signature et pour générer une information représentative de l'existence ou de l'absence d'une preuve de la mise en fonction dudit équipement à ladite date courante.


 
11. Equipement selon la revendication 10, comprenant un dispositif de positionnement (24) et des moyens de vérification de données générées par ledit dispositif de positionnement (24), lesdits moyens de vérification de données comprenant:

- des moyens d'obtention (23) de premières données (DATA1) censées avoir été déterminées par ledit dispositif de positionnement (24), les premières données (DATA1) contenant une première suite de vitesses instantanées et la date d'au moins une des vitesses instantanées de la première suite de vitesses instantanées,

- des moyens d'obtention (21) de deuxièmes données (DATA2) signées déterminées par ledit chronotachygraphe électronique (3), les deuxièmes données (DATA2) contenant une deuxième suite de vitesses instantanées et la date d'au moins une vitesse instantanée de la deuxième suite de vitesses instantanées,

- des moyens de recherche (20) d'une correspondance entre les premières données (DATA1) et les deuxièmes données (DATA2).


 
12. Véhicule (1) comprenant un équipement (2) selon la revendication 10 et un chronotachygraphe électronique (3) relié audit équipement (2).
 
13. Procédé de vérification de la mise en fonction d'un équipement (2) embarqué dans un véhicule (1), ledit procédé étant exécuté par un dispositif de vérification (5) apte à communiquer avec ledit équipement embarqué et étant caractérisé en ce qu'il comprend :

- une étape (45) d'obtention de données de vérification générées par un chronotachygraphe électronique (3) embarqué dans ledit véhicule (1) et datées avec une date courante à laquelle lesdites données ont été obtenues du chronotachygraphe électronique, les données de vérification obtenues étant signées avec une signature du chronotachygraphe,

- une étape (70) de vérification de l'intégrité desdites données de vérification à partir de ladite signature,

- une étape de génération d'une information représentative de l'existence ou de l'absence d'une preuve de la mise en fonction dudit équipement à ladite date courante.


 
14. Procédé selon la revendication 13, dans lesdits données de vérification comprennent une identification de véhicule, ladite identification de véhicule étant enregistrée en association avec ladite information.
 
15. Procédé selon la revendication 13 ou 14 comprenant

- une étape de mémorisation, pour chaque date courante d'un ensemble de dates courantes, de ladite information en association avec ladite date courante;

- une étape de vérification consistant à déterminer, à partir des données de vérification reçues ou des informations mémorisées, si ledit équipement était en fonction pendant une plage horaire donnée ou à une date donnée.


 
16. Procédé selon la revendication 13 ou 14 comprenant

- une étape d'obtention de données (DATA1) de positionnement et/ou de vitesse générées par un dispositif de positionnement placé dans ledit véhicule,

- une étape de vérification consistant à déterminer, à partir desdites données de positionnement et/ou de vitesse, si le véhicule a circulé ou non sur une route soumise au paiement d'une taxe.


 




Dessins










Rapport de recherche