(EN) The invention relates to a method for client-side credential control to allow remote access to a second (protected) device, the method comprising: - providing a gateway integrated into the second (protected) device, or independent thereof capable for communication using electronic data channel with the first (client) device, - providing a secure storage device to first (client) device, - providing user privileges to at least one command executable by the second (protected) device and storing user credentials (privilege data) in the secure storage device; - providing a key pair of asymmetric cryptography having a private key and a public key, - storing the private key of the key pair used for the asymmetric encryption in the secure storage device, - generating at least one data related to the command executable by the second (protected) device, - checking in the secure storage device, whether the data related to the command executable by the second (protected) device corresponds to at least one user credential related to the command executable by the second (protected) device, stored in the secure storage device, - in case of correspondence generating in the secure storage device a data block derived from the data related to the command executable by the second (protected) device, - signing the data block with the support of the secure storage device using the private key stored in the secure storage device, - generating at least one data packet from the data block signed with the private key - transmitting the at least one data packet to the gateway via the electronic communication channel. The invention further relates to a gateway, a secure storage device and computer program products for performing the method according to the invention.
(FR) La présente invention concerne un procédé de contrôle de justificatif d'identité côté client pour permettre un accès à distance à un second dispositif (protégé). Ledit procédé comprend : - la fourniture d'une passerelle, intégrée dans le second dispositif (protégé) ou indépendante, capable de communiquer à l'aide d'un canal de données électronique avec le premier dispositif (client), - la fourniture d'un dispositif de mémoire sécurisé au premier dispositif (client), - la fourniture de privilèges d'utilisateur à au moins une commande exécutable par le second dispositif (protégé) et le stockage de justificatifs d'identité d'utilisateur (données de privilège) dans le dispositif de mémoire sécurisé; - la fourniture d'une paire de clés de cryptographie asymétrique ayant une clé privée et une clé publique, - le stockage de la clé privée de la paire de clés utilisées pour le chiffrement asymétrique dans le dispositif de mémoire sécurisé, - la génération d'au moins une donnée relative à la commande exécutable par le second dispositif (protégé), - le fait de vérifier dans le dispositif de mémoire sécurisé si les données relatives à la commande exécutable par le second dispositif (protégé) correspondent à au moins un justificatif d'identité d'utilisateur relatif à la commande exécutable par le second dispositif (protégé), stocké dans le dispositif de mémoire sécurisé, - en cas de correspondance, la génération, dans le dispositif de mémoire sécurisé, d'un bloc de données déduit des données relatives à la commande exécutable par le second dispositif (protégé), - la signature du bloc de données avec l'assistance du dispositif de mémoire sécurisé à l'aide de la clé privée stockée dans le dispositif de mémoire sécurisé, - la génération d'au moins un paquet de données à partir du bloc de données signé avec la clé privée, - la transmission du ou des paquets de données à la passerelle via le canal de communication électronique. La présente invention concerne en outre une passerelle, un dispositif de mémoire sécurisé et des produits-programmes d'ordinateur pour réaliser le procédé selon la présente invention.