Close
  • Français
  • English

Cryptographie résistante au quantique : enjeux et actions

Que diriez-vous d’une entreprise dont les plans stratégiques à 10 ans, les plans d’exploration ou les secrets de R&D qui font sa valeur ajoutée industrielle de demain seraient volés aujourd’hui pour être exploités dans quelques années sans que ces actions ne soient détectables ? Vous répondriez certainement qu’a minima l’entreprise a perdu une partie de sa valeur, si elle n’a pas déjà compromis son avenir.

Que direz-vous dans un futur proche, estimé à 5 à 10 ans, d’une entreprise dont les informations ayant le plus de valeur sont constamment et systématiquement vulnérables aux attaques, et qu’en plus ces attaques sont indétectables ? Vous répondrez certainement que la survie de cette entreprise est menacée et que ses CEO et CIO auraient dû anticiper cette menace et mettre en œuvre suffisamment tôt des contre-mesures adaptées.

Ces deux scénarios ne sont pas des scénarios de fiction ; ils correspondent à la menace réelle que font porter les capacités futures de l’ordinateur quantique sur nos infrastructures informatiques et en particulier sur la résistance des protocoles traditionnels de cryptographie.

Cet article a pour objectif de préciser la nature et l’état de cette menace quantique sur la cybersécurité, les avancées des institutions pour standardiser des solutions robustes face à cette menace, et les préconisations pouvant être faites pour aider les entreprises à engager, dès aujourd’hui, la mise en œuvre de contre-mesures de protection.

Quelles prédictions pour l’ordinateur quantique ?

La « suprématie quantique » ou « avantage quantique » est un concept qui désigne le moment où est démontrée la supériorité d’un ordinateur quantique sur le plus avancé des « superordinateurs » classiques. Le seuil de 50 qubits correspond à la limite, généralement admise, de la suprématie quantique.

En octobre 2019, Google a annoncé avoir atteint cette suprématie quantique ; en septembre 2020, IBM annonce dans sa roadmap un ordinateur quantique de 1000 qubits en 2023 ; en décembre 2020, une équipe de l’Université des sciences et technologies de Chine annonce avoir nettement dépassé les résultats de Google. Tout récemment, c’est une équipe de chercheurs de Sorbonne Université, du CNRS et d’une start-up américaine QC Ware qui annoncent un avantage quantique.  En pratique, même si ces annonces font toujours débat au sein de la communauté scientifique sur leur interprétation, elles montrent des progrès très rapides et tangibles vers un ordinateur quantique avec des capacités effectives de calculs.

Quelles menaces pour la sécurité des infrastructures ?

En pratique, l’ordinateur quantique est la promesse d’une machine qui utilise des phénomènes de physique quantique pour décupler sa puissance de calcul. L’ordinateur quantique permet ainsi de résoudre certains problèmes mathématiques beaucoup plus efficacement qu’une machine classique et ceci remet en cause la sécurité des algorithmes de chiffrement utilisés en cryptographie.

Deux types de systèmes de cryptographie sont couramment utilisés.

1/ Les systèmes à clés privées ou symétriques ne sont pas menacés : la même clé secrète est utilisée pour chiffrer et déchiffrer les messages, typiquement avec l’algorithme AES (Advanced Encryption Standard). L’ordinateur quantique permet d’accélérer la recherche de la clé secrète, mais, un doublement de la taille des clés permettra de se prémunir simplement de cette menace.

2/ Les systèmes à clés publiques ou asymétriques sont menacés : une clé publique est utilisée pour chiffrer le message tandis qu’une clé privée est utilisée pour déchiffrer le message.

Les systèmes de cryptographie à clés publiques reposent sur des problèmes mathématiques complexes à résoudre pour l’ordinateur classique mais simples à résoudre pour l’ordinateur quantique.

  • Le chiffrement à clé publique RSA – du nom de ses inventeurs R. Rivest, A. Shamir, L. Adelman prix Turing en 2002 – repose sur la difficulté de décomposer des grands nombres en produits de facteurs premiers.
  • L’échange de clés de Diffie-Hellman est basé sur la difficulté de trouver un logarithme discret dans des corps finis ou des courbes elliptiques.

On mesure la sécurité d’un cryptosystème par la complexité, ou le temps d’exécution, de la meilleure attaque contre celui-ci. Le niveau de sécurité est défini comme le logarithme binaire du temps d’exécution de la meilleure attaque. Par exemple, le standard RSA-1024 a un niveau de sécurité de 80 bits. La meilleure attaque avec des ordinateurs classiques nécessite de l’ordre de  opérations, soit environ 400 ans. Avec l’accès à une machine quantique, le niveau de sécurité de RSA ou Diffie-Hellman passe à zéro bit et donc ne garantissent plus aucune sécurité.

Un cas d’usage très fréquent est la connexion à un site Internet sécurisé : le système à clé publique permet d’initier et d’authentifier une transaction entre le navigateur de votre ordinateur et le serveur du site Internet, et d’échanger des clés privées. Ces clés privées seront ensuite utilisées pour chiffrer avec un algorithme symétrique l’ensemble de la transaction (car beaucoup plus rapide). La remise en cause de la sécurité des systèmes à clés publiques remet donc en cause ici la confidentialité des clés privées et donc de l’ensemble des données échangées (données personnelles, bancaires, e-commerce…).

En pratique, la cryptographie à clé publique intervient presque partout et toutes les communications aujourd’hui sécurisées sont impactées par l’arrivée de l’ordinateur quantique : les communications sur les réseaux Internet (https, VPN IPSec), les applications mobiles de messagerie (Signal, WhatsApp…), les protocoles de signature électronique, les applications de blockchain…

Pourquoi faut-il agir dès aujourd’hui ?

Le NIST (National Institute of Standards and Technologies – US Agency of Commerce Department) avait annoncé dès 2016 que cette menace se transformerait en réalité d’ici 2030. Une certaine confusion ou incertitude existe encore aujourd’hui parmi les experts sur ce délai (2025 ? 2030 ?). Mais, la NSA (National Security Agency – US) soulignait, dès 2015, que les progrès de l’ordinateur quantique avaient atteint un tel point que le risque ne pouvait plus être ignoré et que les organisations devaient, dès à présent, commencer une transition vers des solutions de cryptographie résistante au quantique. En particulier, un objectif officiel a été annoncé pour basculer les administrations des États-Unis vers une cryptographie résistante au quantique dès 2024 (M. Scholl, NIST, 2017).

Par ailleurs, il faut prendre conscience que la menace est présente dès aujourd’hui.  En effet, suivant le principe « collecter maintenant et décrypter demain » (« harvest now and decrypt later »), les données peuvent être captées et stockées dès aujourd’hui par des organisations disposant de moyens importants de stockage, pour être décryptées et exploitées demain.

Tous les secteurs d’activités et toutes les entreprises sont concernés et doivent agir rapidement. Pour les secteurs qui gèrent des données secrètes et sensibles à longue durée de vie comme la défense, la finance, l’aérospatial, l’énergie, l’automobile, la pharmacie, la santé, un enjeu d’urgence est déjà présent.

En octobre 2018, l’entreprise de recherche et conseil Gartner a positionné l’ordinateur quantique en première position dans la liste des bouleversements informatiques futurs pour lesquels les CIO ne sont pas bien préparés.

Quelles réponses à cette menace ?

Une première réponse opérationnelle est apportée par la « cryptographie résistante au quantique » ou « cryptographie post quantique ». En effet, une approche pratique est de construire des cryptosystèmes à clefs publiques, avec d’autres problèmes mathématiques que les problèmes existants dans les algorithmes menacés, et résistants au quantiques. La cryptographie résistante au quantique inclut la cryptographie fondée sur les réseaux euclidiens, la cryptographie multivariée, la cryptographie fondée sur des codes correcteurs d’erreurs, les isogénies et la cryptographie fondée sur les fonctions de hachage.

Une deuxième réponse complémentaire est apportée par la « cryptographie quantique » et notamment la distribution de clé quantique (QKD pour Quantum Key Distribution). La QKD, dont la sécurité repose sur les lois de la physique quantique, permet d’échanger une clé secrète servant ensuite à sécuriser un protocole de cryptographie symétrique classique.  Certains défis technologiques doivent encore être résolus pour gérer les longues distances, pour l’intégration aux infrastructures de télécommunications, et sur les coûts de déploiement.

Pour accompagner et dynamiser cette transition, le Président de la République Emmanuel Macron a annoncé le 21 janvier 2021 le plan d’investissement national dans le quantique. Ce plan vise à mettre la France dans le trio de tête mondial des technologies quantiques ; il comprend un investissement de 1,8 milliards d’Euros sur 5 ans, avec un volet de 150 millions d’Euros sur la cryptographie résistante au quantique.

Quels standards de cryptographie résistante au quantique ?

Le NIST a lancé en 2016 un appel international pour normaliser les algorithmes résistants au quantique. En priorité, le NIST souhaite avoir des standards pour deux fonctionnalités : signature numérique et échange de clé. Le NIST a appelé la communauté mondiale scientifique à soumettre ses meilleurs algorithmes et à analyser le niveau de confiance pouvant leur être attribué.

Quatre-vingt-quatre équipes de recherches internationales ont transmis leurs soumissions, en provenance de 26 pays (dont treize équipes avec au moins un chercheur français). En 2020, le deuxième round de sélection a retenu quinze soumissions, avec la perspective d’une décision finale en 2022.

D’un point de vue scientifique et technique, ces algorithmes sont plus complexes avec des caractéristiques très différentes des standards actuels et des clés souvent plus longues ; et ceci pose des enjeux de performance en fonction des objectifs attendus et de l’environnement matériel ou applicatif. En pratique, et en fonction des cas d’usage, des algorithmes différents pourront être utilisés. Ces différences sont une raison qui explique le temps très long de sélection des algorithmes normalisés au NIST et rendent plus complexe l’intégration des nouveaux cryptosystèmes aux applications existantes.

Enfin, il est important de souligner que la Chine, toujours très active sur les sujets quantiques, a déjà conclu en janvier 2020 la phase de sélection de ses nouveaux standards.

Quelles solutions techniques de cryptographie résistante au quantique ?

Aujourd’hui, le NIST aux USA et l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) en France préconisent une approche hybride qui permet de conserver la couche de cryptographie traditionnelle existante, et nécessite juste l’intégration d’une couche additionnelle de cryptographie résistante au quantique.

Cette stratégie offre plusieurs avantages :

  • Le risque de migration est diminué car la couche existante n’est pas remise en cause (il n’y a pas de dégradation de la sécurité existante).
  • Les entreprises peuvent conserver plus facilement leurs certifications sur leurs produits.
  • La transition vers la cryptographie résistante au quantique peut être faite de manière transparente.

CryptoNext Security est une startup issue la recherche universitaire Française (CNRS, INRIA et Sorbonne Université), dont les fondateurs participent au processus du NIST avec un algorithme dans la phase finale de la compétition. CryptoNext Security propose dès aujourd’hui une bibliothèque hybride de cryptographie résistante au quantique, intégrant tous les algorithmes candidats finaux du processus de standardisation du NIST et répondant aux principaux cas d’usage.

Quelles actions et quels plans de migration pour les entreprises ?

Le déploiement total d’un nouveau standard cryptographique comme AES (cryptographie à clés privées) a nécessité 20 ans. Les experts estiment à 10 ans le minimum requis pour ce travail de migration de notre infrastructure à clefs publiques vers des algorithmes résistants au quantique.

Pour les entreprises, la transition constitue un défi colossal, un parcours semé d’embuches impliquant une multitude de systèmes et d’acteurs. Mais, le plus tôt l’entreprise investira et structurera sa démarche vers la cryptographie résistante au quantique, le plus tôt elle bénéficiera d’un avantage compétitif sur ses concurrents. Et en pratique, si la menace apparaît comme un bouleversement, la mise en œuvre de cette transition doit être traitée de manière structurée dans le cadre d’un plan de migration faisant partie intégrante du plan courant de cybersécurité de l’entreprise.

Sans attendre les résultats de la compétition du NIST ou, pire, une éventuelle traduction effective de la menace en attaque réelle (sachant qu’elle est indétectable), chaque entreprise peut aujourd’hui se mettre au travail pour établir un plan de transition quantique. Ce plan de transition devra notamment comprendre les volets suivants :

  • La cartographie des systèmes et applications qui utilisent la cryptographie, en particulier, la cryptographie à clé publique.
  • La définition d’une politique sur la cryptographie résistante au quantique, des objectifs dans le temps, et d’une stratégie pour atteindre ces objectifs.
  • La définition d’un plan d’action.

Naturellement, ce plan portant sur la migration des solutions de cryptographie doit être mis en parallèle d’une cartographie des données les plus critiques permettant de hiérarchiser les priorités de migration. Ce plan de migration questionne également les parties prenantes comme les fournisseurs, leurs plans d’avancement et la protection de leurs systèmes critiques.

Les actions de transition pourront toucher des domaines très sensibles en termes de souveraineté, de sécurité et de performance comme les systèmes de paiement ou certaines communications dans l’aérospatiale ou la défense. Le déploiement de cette cryptographie de nouvelle génération peut avoir un impact significatif sur l’infrastructure informatique d’une entreprise (taille des clés, format de fichiers, …) et il est donc nécessaire de faire des tests le plus tôt possible. La mise en œuvre de ces actions prendra donc naturellement du temps et doit être fortement anticipée.

Pour que chaque entreprise puisse initier la démarche, deux leviers sont actionnables immédiatement :

 1/ La crypto-agilité

Aujourd’hui les algorithmes de cryptographie sont souvent intégrés en « dur » dans le code des applications. Leur changement est donc peu flexible et très couteux. De manière simplifiée, il faut rendre « paramétrable » le choix d’un algorithme de cryptographie et les entreprises en obtiendront plusieurs bénéfices :

  • Anticiper : ce changement peut être organisé dès maintenant pour permettre une évolution fluide par la suite des cryptosystèmes selon les standards préconisés.
  • Créer de la flexibilité technique pour changer d’algorithme en fonction des cas d’usage, des besoins de performance ou pour passer d’un fournisseur de solution de cryptographie résistante au quantique à un autre.
  • Créer de la flexibilité pour s’adapter à des standards qui pourront être différents en fonction des territoires, par exemple aux USA et en Chine.

2/ L’engagement de projets sur des périmètres limités

Si la sécurité d’une infrastructure face à la menace quantique ne pourra naturellement être évaluée que dans son ensemble, il parait indispensable de démarrer dès à présent des projets de migration sur des périmètres limités de l’entreprise. Ceci permettra d’initier et de tester la démarche, mais également et surtout, d’intégrer et diffuser les enjeux, la culture et les savoir-faire de cryptographie résistante au quantique dans les équipes.

De grandes organisations ont déjà franchi le pas et initié des projets dans le cadre de leur plan quantique. Par exemple, pour l’OTAN, CryptoNext Security fournit une application de messagerie mobile bien connue, dans laquelle une surcouche de cryptographie résistante au quantique a été intégrée. Avec Thales, un partenariat a été noué pour intégrer une option de cryptographie résistante au quantique dans les HSM (Hardware Security Module) Luna ; le HSM étant le cœur d’infrastructure de sécurité de nombreuses entreprises.

En conclusion, la US National Academy of Sciences a efficacement synthétisé les enjeux pour les entreprises dans une étude publiée en 2018 : “Even if a quantum computer that can decrypt current cryptographic ciphers is more than a decade off, the hazard of such a machine is high enough—and the time frame for transitioning to a new security protocol is sufficiently long and uncertain—that prioritization of the development, standardization, and deployment of post-quantum cryptography is critical for minimizing the chance of a potential security and privacy disaster”.