FR3157309A1

FR3157309A1 - Anti-intrusion device for an on-board system, particularly integrated into a motor vehicle

Info

Publication number: FR3157309A1
Application number: FR2315221A
Authority: FR
Inventors: Frederic AMEYE
Original assignee: Ampere SAS
Current assignee: Ampere SAS
Priority date: 2023-12-22
Filing date: 2023-12-22
Publication date: 2025-06-27
Also published as: WO2025132674A1

Abstract

Dispositif anti-intrusion pour système embarqué, notamment intégré dans un véhicule motorisé Dispositif anti-intrusion destiné à être intégré dans un système embarqué, notamment dans une unité de contrôle électronique, le système embarqué étant notamment intégré dans un véhicule motorisé, le dispositif comportant un élément d’émission d’ondes ultrasonores, le dispositif comportant ou étant relié à une unité de commande configurée pour recevoir un signal résultant de l’émission des ondes ultrasonores par ledit élément et pour le comparer à un signal de référence afin de détecter une rupture éventuelle de l’intégrité du système embarqué. Figure pour l’abrégé : Fig. 1Anti-intrusion device for an on-board system, in particular integrated in a motor vehicle Anti-intrusion device intended to be integrated in an on-board system, in particular in an electronic control unit, the on-board system being in particular integrated in a motor vehicle, the device comprising an element for emitting ultrasonic waves, the device comprising or being connected to a control unit configured to receive a signal resulting from the emission of ultrasonic waves by said element and to compare it with a reference signal in order to detect a possible breach of the integrity of the on-board system. Figure for the abstract: Fig. 1

Description

Anti-intrusion device for an on-board system, particularly integrated into a motor vehicle

La présente invention concerne un dispositif anti-intrusion destiné à être intégré dans un système embarqué, notamment dans une unité de contrôle électronique, le système embarqué étant notamment intégré dans un véhicule motorisé.The present invention relates to an anti-intrusion device intended to be integrated into an on-board system, in particular into an electronic control unit, the on-board system being in particular integrated into a motorized vehicle.

Les véhicules modernes comprennent des unités de contrôle électroniques (ECU) contenant des processeurs de calcul de plus en plus complexes et puissants, et des mémoires stockant des informations « DATA » de plus en plus confidentielles, telles que des données utilisateurs sous RGPD, des algorithmes et systèmes avancés d'aide à la conduite sous propriété intellectuelle, des clés de sécurité pour le diagnostic ou les mises à jour à distance.Modern vehicles include electronic control units (ECUs) containing increasingly complex and powerful computing processors, and memories storing increasingly confidential “DATA” information, such as user data under GDPR, advanced driver assistance algorithms and systems under intellectual property, security keys for diagnostics or remote updates.

Une telle unité de contrôle électronique « A » est représentée à laFIG. 1. Elle comporte des circuits imprimés « CI », des connecteurs « CO » de circuits imprimés, des composants électroniques « B », des bus internes « C », un boîtier « D » et une interface externe « E ». Un attaquant ayant un accès physique au système, placé dans le véhicule ou extrait du véhicule, peut l’attaquer de plusieurs manières. Il peut supprimer ou couper le boitier mécanique. Il peut avoir accès à des informations confidentielles stockées sur la puce électronique en utilisant une attaque invasive sur le silicone. L’attaquant peut écouter et/ou falsifier les signaux et bus internes. Il peut remplacer la puce authentique avec une mauvaise puce pour déclencher un comportement malveillant.Such an electronic control unit “A” is shown in FIG. 1 . It consists of printed circuit boards "CI", printed circuit board connectors "CO", electronic components "B", internal buses "C", a housing "D" and an external interface "E". An attacker with physical access to the system, placed in the vehicle or extracted from the vehicle, can attack it in several ways. He can remove or cut the mechanical housing. He can gain access to confidential information stored on the electronic chip by using an invasive attack on the silicon. The attacker can listen to and/or tamper with internal signals and buses. He can replace the genuine chip with a bad chip to trigger malicious behavior.

Les véhicules intègrent déjà des mécanismes pour les protéger contre les attaques provenant du réseau interne, ou d’éléments externes, dit « offboard », par exemple des mécanismes de Gateway, Proxy, ou d’un système de type « VLAN », pour réseau local virtuel. Cependant, les attaquants avec de gros moyens financiers peuvent réaliser des attaques physiques sur les cartes électroniques et leurs semi-conducteurs, et réussir à récupérer différentes données.Vehicles already have built-in mechanisms to protect them against attacks from the internal network or from external elements, known as "offboard", such as gateway and proxy mechanisms, or a "VLAN" (virtual local area network) type system. However, attackers with significant financial resources can carry out physical attacks on electronic boards and their semiconductors, and succeed in recovering various data.

Ces attaquants peuvent récupérer directement des informations confidentielles, par exemple stockées dans les mémoires contenant un mot de passe à usage unique, dont l’acronyme anglais est « OTP » du semiconducteur, c’est-à-dire les fusibles, permettant le déchiffrement de données normalement sécurisées (données utilisateurs, firmwares), ou d’amplifier leurs attaques à tout un parc de véhicule (récupération d’une clé MAC non diversifiée utilisée pour la mise à jour, le déverrouillage de fonctionnalités de debug, d’inviolabilité). Ils peuvent aussi récupérer des informations non directement confidentielles, mais qui permettent de comprendre le fonctionnement du système et améliorer la connaissance de l’attaquant, puis lui permettre de généraliser son attaque à tous les véhicules après le démontage d’un seul ECU.These attackers can directly recover confidential information, for example stored in memories containing a one-time password, the English acronym of which is "OTP" of the semiconductor, i.e. fuses, allowing the decryption of normally secure data (user data, firmware), or to amplify their attacks to an entire fleet of vehicles (recovery of a non-diversified MAC key used for updating, unlocking debugging features, tamper-evident features). They can also recover information that is not directly confidential, but which allows them to understand the functioning of the system and improve the attacker's knowledge, then allow them to generalize their attack to all vehicles after dismantling a single ECU.

Ces modes d’attaques sont aujourd’hui partiellement résolus par des semiconducteurs rendus plus robustes avec des systèmes complémentaires tels le Secure Storage, RPMB, ou les HSM intégrés, mais la problématique n’est pas complètement résolue, les attaquants pouvant généralement relire les mémoires OTP par des attaques physiques.These attack methods are now partially resolved by semiconductors made more robust with complementary systems such as Secure Storage, RPMB, or integrated HSMs, but the problem is not completely resolved, as attackers can generally reread OTP memories through physical attacks.

Il reste toujours possible à l’attaquant d’enlever ou couper le boitier mécanique « D » pour avoir un accès physique « AP », de sorte qu’il accède à des informations confidentielles :It is still possible for the attacker to remove or cut the mechanical box “D” to gain physical access “AP”, so that he can access confidential information:

- en utilisant des attaques invasives « AI » sur le silicium stockées sur la puce du composant électronique « B », et/ou- using invasive “AI” attacks on the silicon stored on the chip of the electronic component “B”, and/or

- en interceptant ou falsifiant « IF » des signaux ou bus internes « C », et/ou- by intercepting or falsifying “IF” signals or internal buses “C”, and/or

- remplaçant la puce authentique avec une puce parasitaire « PP » pour déclencher un comportement malfaisant.- replacing the genuine chip with a parasitic “PP” chip to trigger malicious behavior.

Les méthodes connues se concentrent toujours sur les contre-mesures au niveau du semi-conducteur, notamment sur les couches de métallisation, avec des mesures de tensions ou capacitives, des micro-mesh, mais ne permettent pas de protéger une carte électronique complète, ni les interfaces entre plusieurs semi-conducteurs.Known methods still focus on countermeasures at the semiconductor level, particularly on metallization layers, with voltage or capacitive measurements, micro-mesh, but do not allow the protection of a complete electronic card, nor the interfaces between several semiconductors.

D’autres méthodes connues mettent en œuvre des techniques du type « interrupteur anti-intrusion » (anti-tamper switch, infrarouge, capteurs de pression, capteurs capacitifs), ou utilisent une illumination infrarouge lorsqu’un boîtier est étanche à la lumière. Ces dispositifs sont moins robustes, un attaquant pouvant les contourner très simplement après passage aux rayons X du système protégé.Other known methods implement techniques such as "anti-tamper switches" (anti-tamper switches, infrared, pressure sensors, capacitive sensors), or use infrared illumination when a housing is light-tight. These devices are less robust, and an attacker can easily bypass them after X-raying the protected system.

Des techniques se sont également développées dans le domaine des radiofréquences, mais consomment beaucoup d’énergie électrique et nécessitent des volumes et des modifications importantes sur les systèmes, notamment par l’ajout d’une cage de Faraday, ne permettant ainsi pas un fonctionnement adapté à un système embarqué sur un véhicule.Techniques have also been developed in the field of radio frequencies, but they consume a lot of electrical energy and require significant volumes and modifications to the systems, in particular the addition of a Faraday cage, thus not allowing operation suitable for a system on board a vehicle.

Il existe ainsi un besoin pour perfectionner encore les moyens pour assurer l’intégrité des systèmes embarqués, notamment des unités de contrôle électroniques intégrées dans un véhicule motorisé.There is therefore a need to further improve the means of ensuring the integrity of on-board systems, particularly electronic control units integrated into a motor vehicle.

Anti-intrusion device

La présente invention répond à ce besoin grâce à, selon l’un de ses aspects, un dispositif anti-intrusion destiné à être intégré dans un système embarqué, notamment dans une unité de contrôle électronique, le système embarqué étant notamment intégré dans un véhicule motorisé, le dispositif comportant un élément d’émission d’ondes ultrasonores,The present invention meets this need thanks to, according to one of its aspects, an anti-intrusion device intended to be integrated into an on-board system, in particular into an electronic control unit, the on-board system being in particular integrated into a motorized vehicle, the device comprising an ultrasonic wave emission element,

le dispositif comportant ou étant relié à une unité de commande configurée pour recevoir un signal résultant de l’émission des ondes ultrasonores par ledit élément et pour le comparer à un signal de référence afin de détecter une rupture éventuelle de l’intégrité du système embarqué.the device comprising or being connected to a control unit configured to receive a signal resulting from the emission of ultrasonic waves by said element and to compare it to a reference signal in order to detect a possible breach of the integrity of the on-board system.

Grâce à l’invention, des intrusions physiques sur les calculateurs du véhicule peuvent être empêchées. L’invention permet de protéger une carte électronique complète, ainsi que les interfaces entre plusieurs semi-conducteurs.Thanks to the invention, physical intrusions into the vehicle's computers can be prevented. The invention makes it possible to protect an entire electronic card, as well as the interfaces between several semiconductors.

Lorsque l’attaquant réalise un perçage ou toute autre modification mécanique, les ondes transmises sont modifiées par rapport à leur état de référence, à cause d’interférences destructives ou constructives, ou de réflexion. Le signal reçu est modifié, des techniques de corrélation croisée ou d’intelligence artificielle permettent de détecter cette rupture d’intégrité.When the attacker performs a drilling or any other mechanical modification, the transmitted waves are modified compared to their reference state, due to destructive or constructive interference, or reflection. The received signal is modified; cross-correlation or artificial intelligence techniques can detect this integrity breach.

L’invention permet la protection d’un système embarqué complet, c’est-à-dire une carte électronique dans son boîtier, avec ses semiconducteurs, contre les attaques physiques de rétroingénierie, par un mécanisme actif capable de détruire l’information confidentielle si une intrusion est détectée dans le boîtier, ou a minima de pouvoir déterminer à un instant donné si le système a toute son intégrité ou s’il a pu être rendu non-intègre dans son cycle de vie, notamment par une tentative de démontage.The invention allows the protection of a complete embedded system, i.e. an electronic card in its casing, with its semiconductors, against physical reverse engineering attacks, by an active mechanism capable of destroying confidential information if an intrusion is detected in the casing, or at least of being able to determine at a given moment whether the system has all its integrity or whether it could have been rendered non-integral in its life cycle, in particular by an attempt at dismantling.

Contrairement aux méthodes connues dites «anti- tampering», qui peuvent être facilement contournés dès lors que l’attaquant a connaissance du mécanisme, l’invention n’est pas contournable par un attaquant, car les propriétés mécaniques des matériaux et le caractère non-déterministe du signal ne permet pas à l’attaquant de le reproduire. L’invention laisse très peu de marge de manœuvre à l’attaquant, même s’il a une connaissance préalable d’un système identique.Unlike known methods known as " anti -tampering ," which can be easily circumvented once the attacker has knowledge of the mechanism, the invention cannot be circumvented by an attacker, because the mechanical properties of the materials and the non-deterministic nature of the signal do not allow the attacker to reproduce it. The invention leaves very little room for maneuver to the attacker, even if he has prior knowledge of an identical system.

Issuing element

Dans un mode de réalisation préféré, l’élément d’émission d’ondes ultrasonores est un transducteur configuré pour émettre des ondes ultrasonores, étant notamment un transducteur piézoélectrique, notamment de type céramique PZT.In a preferred embodiment, the ultrasonic wave emitting element is a transducer configured to emit ultrasonic waves, being in particular a piezoelectric transducer, in particular of the PZT ceramic type.

Dans un premier mode de réalisation, ledit transducteur est configuré pour émettre des ondes ultrasonores dans au moins une partie du matériau qui constitue le boîtier du dispositif. Les ondes se propagent avantageusement sous la forme d’ondes de surface, dites « ondes de Lamb », dans le matériau.In a first embodiment, said transducer is configured to emit ultrasonic waves into at least a portion of the material that constitutes the housing of the device. The waves advantageously propagate in the form of surface waves, called “Lamb waves”, in the material.

Ce mode de réalisation se fonde sur la transmission mécanique dans le matériau du boîtier du dispositif, par exemple du plastique ABS ou de l’aluminium. Il offre une solution plus robuste mais plus cher, avec un couplage plus difficile avec l’élément d’émission des ondes ultrasonores.This embodiment is based on mechanical transmission in the material of the device housing, for example ABS plastic or aluminum. It offers a more robust but more expensive solution, with more difficult coupling with the ultrasonic wave emitting element.

Le dispositif peut être configuré de sorte que la fréquence de réception des ondes ultrasonores soit déterminée en fonction au moins dudit matériau et/ou d’une plage de température prédéfinie.The device may be configured such that the frequency of reception of the ultrasonic waves is determined as a function of at least said material and/or a predefined temperature range.

Dans ce mode de réalisation, ledit transducteur est avantageusement configuré en outre pour recevoir les ondes ultrasonores après leur propagation dans le matériau et pour émettre ledit signal résultant reçu par l’unité de commande. Dans une variante, le dispositif peut comporter en outre un élément de réception configuré pour recevoir les ondes ultrasonores après leur propagation dans le matériau et pour émettre ledit signal résultant reçu par l’unité de commande, ledit élément de réception étant notamment un transducteurIn this embodiment, said transducer is advantageously further configured to receive the ultrasonic waves after their propagation in the material and to emit said resulting signal received by the control unit. In a variant, the device may further comprise a receiving element configured to receive the ultrasonic waves after their propagation in the material and to emit said resulting signal received by the control unit, said receiving element being in particular a transducer

Dans un deuxième mode de réalisation, ledit transducteur est configuré pour émettre des ondes ultrasonores à l’intérieur de l’espace défini par le boitier du système embarqué, les ondes étant émises notamment dans l’air ou le gaz présent dans ledit espace.In a second embodiment, said transducer is configured to emit ultrasonic waves inside the space defined by the housing of the on-board system, the waves being emitted in particular into the air or gas present in said space.

Dans ce mode de réalisation, le dispositif est configuré de sorte que les ondes ultrasonores se propagent à une fréquence comprise entre 30 kHz et 50 kHz, étant notamment égale à 40 kHz.In this embodiment, the device is configured so that the ultrasonic waves propagate at a frequency between 30 kHz and 50 kHz, being in particular equal to 40 kHz.

Ledit transducteur est avantageusement configuré en outre pour recevoir les ondes ultrasonores après leur propagation à l’intérieur de l’espace défini par le boitier du système embarqué et pour émettre ledit signal résultant reçu par l’unité de commande.Said transducer is advantageously further configured to receive the ultrasonic waves after their propagation within the space defined by the housing of the on-board system and to emit said resulting signal received by the control unit.

Ce mode de réalisation utilise la propagation des ondes par transmission acoustique dans l’air ou le gaz enfermé dans le boîtier du système, et qui contient la carte électronique. Cela constitue une solution à plus faible coût, mais non adaptée à toutes les mécaniques, notamment due à la difficulté d’intégration dans des boîtiers très compacts, et moins robuste.This embodiment uses wave propagation by acoustic transmission in the air or gas enclosed in the system housing, which contains the electronic card. This constitutes a lower cost solution, but is not suitable for all mechanics, in particular due to the difficulty of integration into very compact and less robust housings.

Les ondes ultrasonores se réfléchissent avantageusement sur les parois du boîtier, les circuits imprimés, les connecteurs, les fixations, interagissent entre-elles sous forme d’interférences constructives ou destructives, puis reviennent à leur point de départ au niveau du transducteur. Le signal reçu au transducteur dépend ainsi de la géométrie des éléments à l’intérieur du boîtier, et de la géométrie même du boîtier. Dès lors qu’une intrusion est effectuée, par exemple par le perçage du boîtier, le retrait d’un capot, l’insertion d’une sonde, cette géométrie est modifiée, et une rupture de l’intégrité mécanique est donc détectée par traitement du signal qui revient au transducteur.Ultrasonic waves are advantageously reflected on the walls of the housing, printed circuits, connectors, fasteners, interact with each other in the form of constructive or destructive interference, then return to their starting point at the transducer. The signal received at the transducer thus depends on the geometry of the elements inside the housing, and on the geometry of the housing itself. As soon as an intrusion is carried out, for example by drilling the housing, removing a cover, inserting a probe, this geometry is modified, and a break in the mechanical integrity is therefore detected by processing the signal which returns to the transducer.

Command and control units

L’élément d’émission d’ondes ultrasonores peut comporter ou être relié à une unité de contrôle configurée pour envoyer un train d’ondes, notamment des impulsions gaussiennes, notamment des impulsions d’une durée prédéfinie, notamment à des intervalles prédéfinis ou définis de façon aléatoire. Cela permet de réduire considérablement la quantité d’énergie requise au dispositif. Les impulsions peuvent être modulées par des informations aléatoires. Cela permet d’augmenter la robustesse du dispositif anti-intrusion.The ultrasonic wave emitting element may comprise or be connected to a control unit configured to send a wave train, in particular Gaussian pulses, in particular pulses of a predefined duration, in particular at predefined or randomly defined intervals. This makes it possible to considerably reduce the amount of energy required by the device. The pulses may be modulated by random information. This makes it possible to increase the robustness of the anti-intrusion device.

Ladite unité de contrôle peut être auto-alimentée par une source d’énergie autonome interne au dispositif, notamment une pile. Dans une variante, le dispositif est configuré pour effacer toute information confidentielle si la source d’alimentation externe est retirée.Said control unit may be self-powered by an autonomous energy source internal to the device, in particular a battery. In a variant, the device is configured to erase any confidential information if the external power source is removed.

L’unité de commande est avantageusement configurée pour comparer le signal résultant de l’émission des ondes ultrasonores à un signal de référence en mettant en œuvre des techniques de traitement du signal, notamment la corrélation croisée, des techniques de corrélation temporelle, de statistiques robustes ou d’intelligence artificielle. Cela permet de détecter des différences dans le signal, qui signifient qu’il y a eu une rupture d’intégrité du milieu contrôle, c’est-à-dire le boîtier qui entoure le système embarqué dans le premier mode de réalisation, ou l’air ou le gaz qui entoure les cartes électroniques dans le deuxième mode de réalisation. Cela signifie qu’un attaquant a ouvert le boîtier, ou inséré une sonde par un petit orifice, ou a considérablement déformé le boîtier pour accéder à l’électronique.The control unit is advantageously configured to compare the signal resulting from the emission of the ultrasonic waves to a reference signal by implementing signal processing techniques, including cross-correlation, time correlation techniques, robust statistics or artificial intelligence. This makes it possible to detect differences in the signal, which mean that there has been a breach of integrity of the control medium, i.e. the housing that surrounds the embedded system in the first embodiment, or the air or gas that surrounds the electronic boards in the second embodiment. This means that an attacker has opened the housing, or inserted a probe through a small hole, or has significantly deformed the housing to access the electronics.

L’unité de commande peut comporter un circuit prédiffusé programmable (FPGA ou « Field Programmable Gate Array »), un circuit complexe programmable (CPLD ou Complex Programmable Logic Device), un semiconducteur, notamment un circuit intégré propre à une application (ASIC ou Application-Specific Integrated Circuit), un microcontrôleur, ou un DSP ou microcontrôleur de traitement du signal.The control unit may include a field programmable gate array (FPGA), a complex programmable logic device (CPLD), a semiconductor, including an application-specific integrated circuit (ASIC), a microcontroller, or a DSP or signal processing microcontroller.

L‘unité de commande peut être configurée pour transmettre à au moins un système externe relié au dispositif l’information de détection de la rupture éventuelle de l’intégrité du système embarqué. Ces systèmes externes peuvent déclencher des actions, telles notamment l’envoi d’une notification, l’enregistrement d’un code d’erreur, la suppression de clés de sécurité ou d’informations confidentielles.The control unit may be configured to transmit to at least one external system connected to the device the detection information of the possible breach of the integrity of the embedded system. These external systems may trigger actions, such as sending a notification, recording an error code, deleting security keys or confidential information.

L’unité de commande peut être configurée pour recevoir des signaux de référence résultant de l’émission des ondes ultrasonores par ledit élément d’émission afin de réaliser la calibration du dispositif, lesdits signaux de référence étant notamment stockés dans une mémoire non-volatile du dispositif. Le dispositif nécessite avantageusement une calibration à son démarrage, ainsi qu’une recalibration régulière, par exemple si le matériau se comporte très différemment lorsque les températures vont vers les extrêmes.The control unit may be configured to receive reference signals resulting from the emission of ultrasonic waves by said emission element in order to calibrate the device, said reference signals being stored in particular in a non-volatile memory of the device. The device advantageously requires calibration at start-up, as well as regular recalibration, for example if the material behaves very differently when temperatures go towards extremes.

La calibration peut se faire en environnement contrôlé, notamment en usine, ou bien à des intervalles prédéfinis durant le cycle de vie du dispositif, notamment toutes les 24h.Calibration can be done in a controlled environment, such as a factory, or at predefined intervals during the device's life cycle, such as every 24 hours.

Lorsqu’une rupture d’intégrité est détectée, différentes actions peuvent être effectuées. Si le système est alimenté par l’extérieur, les informations confidentielles peuvent être effacées dès lors que l’alimentation électrique est perdue, ou qu’une rupture d’intégrité est détectée par le dispositif anti-intrusion.When a breach of integrity is detected, various actions can be taken. If the system is powered externally, confidential information can be erased as soon as the power supply is lost, or if a breach of integrity is detected by the anti-intrusion device.

Si le système est alimenté de manière autonome, notamment par pile ou batterie, la rupture d’intégrité peut déclencher diverses actions : passage dans un mode spécifique du système, notamment verrouillage, effacement des informations confidentielles, remplacement des informations confidentielles par un pot-de-miel dit « honeypot » en anglais, auto-protection des entrées/sorties du système, notamment la désactivation de toutes les interfaces des puces électroniques. Le système peut en outre enregistrer des informations pour reporter plus tard un incident, notamment une tentative de démontage du système embarqué à un centre des opérations de sécurité, dit « Security Operations Center » en anglais.If the system is powered autonomously, in particular by battery or battery, the integrity breach can trigger various actions: switching to a specific system mode, in particular locking, erasing confidential information, replacing confidential information with a honeypot, self-protection of the system's inputs/outputs, in particular the deactivation of all electronic chip interfaces. The system can also record information to later report an incident, in particular an attempt to dismantle the embedded system to a security operations center, called "Security Operations Center" in English.

L’unité de commande du dispositif qui réalise le traitement du signal peut être la « racine de confiance » de l’intégrité dans le système complet, par exemple en faisant en sorte que l’unité de commande stocke elle-même les informations confidentielles plutôt que les stocker dans les autres processeurs du système. Si l’unité de commande comporte un élément dit « secure element », notamment un microcontrôleur avec des garanties supplémentaires de sécurité, comme une certification CC EAL7, la robustesse du dispositif s’en trouve ainsi améliorée.The device's control unit that performs signal processing can be the "root of trust" for integrity in the entire system, for example by having the control unit itself store confidential information rather than storing it in other processors in the system. If the control unit includes a so-called "secure element," such as a microcontroller with additional security guarantees, such as CC EAL7 certification, the robustness of the device is thus improved.

Detection method

Selon un autre de ses aspects, l’invention porte sur un procédé de détection de la rupture de l’intégrité d’un système embarqué, notamment une unité de contrôle électronique, le système embarqué étant notamment intégré dans un véhicule motorisé, le procédé utilisant un dispositif anti-intrusion selon l’une quelconque des revendications précédentes et comportant au moins les étapes suivantes :

recevoir un signal résultant de l’émission d’ondes ultrasonores par l’élément d’émission du dispositif, et
comparer ledit signal à un signal de référence afin de détecter une rupture éventuelle de l’intégrité du système embarqué.

According to another of its aspects, the invention relates to a method for detecting the breakdown of the integrity of an on-board system, in particular an electronic control unit, the on-board system being in particular integrated into a motorized vehicle, the method using an anti-intrusion device according to any one of the preceding claims and comprising at least the following steps:

receiving a signal resulting from the emission of ultrasonic waves by the transmitting element of the device, and
compare said signal to a reference signal in order to detect a possible breakdown in the integrity of the on-board system.

Les caractéristiques énoncées en relation avec le dispositif s’appliquent au procédé et vice-versa.The characteristics stated in relation to the device apply to the process and vice versa.

Motor vehicle

Selon un autre de ses aspects, l’invention porte sur un véhicule automobile comprenant un groupe motopropulseur et au moins une unité de contrôle électronique comprenant un dispositif anti-intrusion selon l’invention.According to another of its aspects, the invention relates to a motor vehicle comprising a powertrain and at least one electronic control unit comprising an anti-intrusion device according to the invention.

Les caractéristiques énoncées en relation avec le dispositif s’appliquent au véhicule et vice-versa.The characteristics stated in relation to the device apply to the vehicle and vice versa.

L’invention pourra être mieux comprise à la lecture de la description détaillée qui va suivre, d’un exemple de mise en œuvre non limitatif de celle-ci, et à l’examen du dessin annexé, sur lequelThe invention may be better understood by reading the detailed description which follows, a non-limiting example of its implementation, and by examining the attached drawing, in which

FIG. 1laFIG. 1, déjà décrite, représente un système embarqué selon l’art antérieur, FIG. 1 there FIG. 1 , already described, represents an embedded system according to the prior art,

FIG. 2laFIG. 2, déjà décrite, représente un système embarqué selon l’art antérieur qui subit des attaques, FIG. 2 there FIG. 2 , already described, represents an embedded system according to the prior art which is subject to attacks,

FIG. 3laFIG. 3représente un premier mode de réalisation du dispositif selon l’invention, FIG. 3 there FIG. 3 represents a first embodiment of the device according to the invention,

FIG. 4laFIG. 4représente le dispositif de laFIG. 3en cas d’attaque, FIG. 4 there FIG. 4 represents the device of the FIG. 3 in case of attack,

FIG. 5laFIG. 5représente un deuxième mode de réalisation du dispositif selon l’invention, et FIG. 5 there FIG. 5 represents a second embodiment of the device according to the invention, and

FIG. 6laFIG. 6représente le dispositif de laFIG. 5en cas d’attaque. FIG. 6 there FIG. 6 represents the device of the FIG. 5 in case of attack.

Detailed description

On a représenté à laFIG. 3un dispositif anti-intrusion selon un premier mode de réalisation de l’invention, intégré dans une unité de contrôle électronique, elle-même intégrée dans un véhicule motorisé. Le dispositif 1 comporte un élément d’émission d’ondes ultrasonores 2, un transducteur dans l’exemple considéré, notamment un transducteur piézoélectrique, notamment de type céramique PZT. Le dispositif 1 comporte ou est relié à une unité de commande 3 configurée pour recevoir un signal résultant « SRE » de l’émission des ondes ultrasonores par le transducteur et pour le comparer à un signal de référence « SRF » afin de détecter une rupture éventuelle de l’intégrité du système embarqué.We represented at the FIG. 3 an anti-intrusion device according to a first embodiment of the invention, integrated in an electronic control unit, itself integrated in a motorized vehicle. The device 1 comprises an ultrasonic wave emission element 2, a transducer in the example considered, in particular a piezoelectric transducer, in particular of the PZT ceramic type. The device 1 comprises or is connected to a control unit 3 configured to receive a resulting signal “SRE” from the emission of ultrasonic waves by the transducer and to compare it to a reference signal “SRF” in order to detect a possible breach of the integrity of the on-board system.

Dans l’exemple considéré, le transducteur 2 comporte ou est relié à une unité de contrôle configurée pour envoyer un train d’ondes, notamment des impulsions gaussiennes. L’unité de commande est configurée pour comparer le signal résultant de l’émission des ondes ultrasonores à un signal de référence en mettant en œuvre des techniques de traitement du signal, notamment la corrélation croisée, des techniques de corrélation temporelle, de statistiques robustes ou d’intelligence artificielle.In the example considered, the transducer 2 comprises or is connected to a control unit configured to send a wave train, in particular Gaussian pulses. The control unit is configured to compare the signal resulting from the emission of the ultrasonic waves to a reference signal by implementing signal processing techniques, in particular cross-correlation, time correlation techniques, robust statistics or artificial intelligence.

Dans ce premier mode de réalisation, comme visible à laFIG. 3, le transducteur 2 est configuré pour émettre des ondes ultrasonores dans au moins une partie du matériau qui constitue le boîtier 4 du dispositif 1.In this first embodiment, as seen in the FIG. 3 , the transducer 2 is configured to emit ultrasonic waves into at least a portion of the material that constitutes the housing 4 of the device 1.

Le dispositif 1 selon l’invention est configuré de sorte que la fréquence de réception des ondes ultrasonores soit déterminée en fonction au moins dudit matériau et/ou d’une plage de température prédéfinie.The device 1 according to the invention is configured so that the reception frequency of the ultrasonic waves is determined as a function of at least said material and/or a predefined temperature range.

Dans l’exemple illustré, le transducteur 2 est configuré en outre pour recevoir les ondes ultrasonores après leur propagation dans le matériau et pour émettre ledit signal résultant reçu par l’unité de commande 3. Dans une variante non représentée, le dispositif 1 peut comporter en outre un élément de réception configuré pour recevoir les ondes ultrasonores après leur propagation dans le matériau et pour émettre ledit signal résultant reçu par l’unité de commande, ledit élément de réception étant par exemple un transducteur.In the illustrated example, the transducer 2 is further configured to receive the ultrasonic waves after their propagation in the material and to emit said resulting signal received by the control unit 3. In a variant not shown, the device 1 may further comprise a reception element configured to receive the ultrasonic waves after their propagation in the material and to emit said resulting signal received by the control unit, said reception element being for example a transducer.

Comme visible à laFIG. 4, dès lors qu’une intrusion « INT » est effectuée, par exemple par le perçage du boîtier 4, le retrait d’un capot, l’insertion d’une sonde, la géométrie des ondes ultrasonores est modifiée, et une rupture « RUPT » de l’intégrité mécanique est donc détectée par traitement du signal « SREm » qui revient au transducteur 2. As visible at the FIG. 4 , as soon as an intrusion “INT” is carried out, for example by drilling the housing 4, removing a cover, inserting a probe, the geometry of the ultrasonic waves is modified, and a rupture “RUPT” of the mechanical integrity is therefore detected by processing the signal “SREm” which returns to the transducer 2.

L‘unité de commande 3 est avantageusement configurée pour transmettre à au moins un système externe relié au dispositif 1 l’information de détection de la rupture éventuelle de l’intégrité du système embarqué.The control unit 3 is advantageously configured to transmit to at least one external system connected to the device 1 the information detecting the possible breakdown of the integrity of the on-board system.

Dans le deuxième mode de réalisation illustré à laFIG. 5, le transducteur 2 est configuré pour émettre des ondes ultrasonores « ONDES » à l’intérieur de l’espace 5 défini par le boitier 4 du système embarqué, les ondes étant émises dans l’air ou le gaz présent dans ledit espace 5.In the second embodiment illustrated in the FIG. 5 , the transducer 2 is configured to emit ultrasonic waves “WAVES” inside the space 5 defined by the housing 4 of the on-board system, the waves being emitted into the air or gas present in said space 5.

Dans cet exemple, le dispositif est configuré de sorte que les ondes ultrasonores se propagent à une fréquence comprise entre 30 kHz et 50 kHz, étant notamment égale à 40 kHz. Le transducteur 2 est configuré en outre pour recevoir les ondes ultrasonores après leur propagation à l’intérieur de l’espace 5 défini par le boitier 4 du système embarqué et pour émettre ledit signal résultant reçu par l’unité de commande 3. In this example, the device is configured so that the ultrasonic waves propagate at a frequency between 30 kHz and 50 kHz, being in particular equal to 40 kHz. The transducer 2 is further configured to receive the ultrasonic waves after their propagation inside the space 5 defined by the housing 4 of the on-board system and to emit said resulting signal received by the control unit 3.

Les ondes ultrasonores se réfléchissent sur les parois du boîtier 4, les circuits imprimés, les connecteurs, les fixations, interagissent entre-elles sous forme d’interférences constructives ou destructives, puis reviennent à leur point de départ au niveau du transducteur 2. Le signal reçu au transducteur 2 dépend ainsi de la géométrie des éléments à l’intérieur du boîtier 4, et de la géométrie même du boîtier. Dans le cas d’une attaque, comme représenté à laFIG. 6, dès lors qu’une intrusion « INT » est effectuée, par exemple par le perçage du boîtier 4, le retrait d’un capot, l’insertion d’une sonde, cette géométrie est modifiée, et une rupture de l’intégrité mécanique est donc détectée par traitement du signal qui revient au transducteur 2.The ultrasonic waves are reflected on the walls of the housing 4, the printed circuits, the connectors, the fasteners, interact with each other in the form of constructive or destructive interference, then return to their starting point at the level of the transducer 2. The signal received at the transducer 2 thus depends on the geometry of the elements inside the housing 4, and on the geometry of the housing itself. In the case of an attack, as shown in FIG. 6 , as soon as an intrusion “INT” is carried out, for example by drilling the housing 4, removing a cover, inserting a probe, this geometry is modified, and a break in the mechanical integrity is therefore detected by processing the signal which returns to the transducer 2.

L’invention n’est pas limitée aux exemples qui viennent d’être décrits.The invention is not limited to the examples which have just been described.

En particulier, d’autres éléments d’émission d’ondes ultrasonores peuvent être utilisés.In particular, other ultrasonic wave emitting elements may be used.

L’invention peut être mise en œuvre dans des systèmes embarqués non intégrés à un véhicule automobile, dans des solutions dites « offboard ».The invention can be implemented in on-board systems not integrated into a motor vehicle, in so-called “offboard” solutions.

L’invention peut être utilisée dans l’industrie aéronautique ou ferroviaire, pour des applications très différentes, notamment pour le contrôle non destructif (« Non-Destructive Testing ») des structures, telles que les ailes d’avion ou les rails de chemin de fer, afin de détecter des défauts dans les matériaux, qui peuvent provoquer des dommages ou accidents.The invention can be used in the aeronautical or railway industry, for very different applications, in particular for non-destructive testing of structures, such as aircraft wings or railway rails, in order to detect defects in the materials, which can cause damage or accidents.

Claims

Anti-intrusion device (1) intended to be integrated into an on-board system, in particular into an electronic control unit, the on-board system being in particular integrated into a motorized vehicle, the device comprising an ultrasonic wave emission element (2),
the device being characterized in that it comprises or is connected to a control unit (3) configured to receive a signal resulting from the emission of ultrasonic waves by said element (2) and to compare it to a reference signal in order to detect a possible break in the integrity of the on-board system.

Device according to claim 1, in which the ultrasonic wave emitting element (2) is a transducer configured to emit ultrasonic waves, being in particular a piezoelectric transducer, in particular of the PZT ceramic type.

Device according to claim 2, wherein said transducer (2) is configured to emit ultrasonic waves into at least a portion of the material which constitutes the housing (4) of the device (1).

Device according to the preceding claim, configured so that the reception frequency of the ultrasonic waves is determined as a function of at least said material and/or a predefined temperature range.

Device according to any one of claims 3 or 4, wherein said transducer (2) is further configured to receive the ultrasonic waves after their propagation in the material and to emit said resulting signal received by the control unit (3).

Device according to any one of claims 3 or 4, further comprising a receiving element configured to receive the ultrasonic waves after their propagation in the material and to emit said resulting signal received by the control unit (3), said receiving element being in particular a transducer.

Device according to claim 2, wherein said transducer (2) is configured to emit ultrasonic waves inside the space (5) defined by the housing (4) of the on-board system, the waves being emitted in particular into the air or gas present in said space (4).

Device according to the preceding claim, configured so that the ultrasonic waves propagate at a frequency between 30 kHz and 50 kHz, being in particular equal to 40 kHz.

Device according to any one of claims 7 or 8, wherein said transducer (2) is further configured to receive the ultrasonic waves after their propagation inside the space (5) defined by the housing (4) of the on-board system and to emit said resulting signal received by the control unit (3).

Device according to any one of the preceding claims, in which the ultrasonic wave emitting element (2) comprises or is connected to a control unit configured to send a wave train, in particular Gaussian pulses, in particular pulses of a predefined duration, in particular at predefined or randomly defined intervals.

Device according to the preceding claim, in which said control unit is self-powered by an autonomous energy source internal to the device (1), in particular a battery.

Device according to any one of the preceding claims, wherein the control unit (3) is configured to compare the signal resulting from the emission of the ultrasonic waves to a reference signal by implementing signal processing techniques, in particular cross-correlation, temporal correlation techniques, robust statistics or artificial intelligence.

Device according to any one of the preceding claims, in which the control unit (3) comprises a programmable pre-broadcast circuit, a programmable complex circuit, a semiconductor, in particular an integrated circuit specific to an application, a microcontroller, or a signal processing microcontroller.

Device according to any one of the preceding claims, in which the control unit (3) is configured to transmit to at least one external system connected to the device (1), the information detecting the possible breakdown of the integrity of the on-board system.

Device according to any one of the preceding claims, in which the control unit (3) is configured to receive reference signals resulting from the emission of ultrasonic waves by said emission element (2) in order to carry out the calibration of the device (1), said reference signals being in particular stored in a non-volatile memory of the device (1).

Method for detecting the breakdown of the integrity of an on-board system, in particular an electronic control unit, the on-board system being in particular integrated into a motorized vehicle, the method using an anti-intrusion device (1) according to any one of the preceding claims and being characterized in that it comprises at least the following steps:

receiving a signal resulting from the emission of ultrasonic waves by the emission element (2) of the device (1), and
compare said signal to a reference signal in order to detect a possible breakdown in the integrity of the on-board system.

Motor vehicle comprising a powertrain and at least one electronic control unit comprising an anti-intrusion device (1) according to any one of claims 1 to 15.